Le financement du programme CVE finalement pérennisé

La crise de financement qui a failli mettre fin au système mondial de suivi des vulnérabilités l'année dernière a été discrètement résolue, apaisant les craintes de disparition brutale d'un pilier de l'écosystème de la cybersécurité.

L'Agence nationale américaine de la sécurité des systèmes d'information (Cisa) et Mitre ont renégocié le contrat soutenant le référentiel des failles CVE (common vulnerabilities and exposures), vieux de 26 ans, dont l’expiration imminente avait semé la panique dans la communauté de la sécurité en 2025. Selon certaines sources, il semble que, dans le budget de cette agence, le programme est passé d'un poste de financement discrétionnaire à une ligne protégée. Ce changement structurel pourrait empêcher toute crise comme celle ayant menacé le système l'année dernière. Il s'en est fallu de peu pour que le programme sur lequel s’appuient les outils de gestion des vulnérabilités, les plateformes de renseignements sur les menaces et les systèmes de gestion des correctifs dans le monde entier semblait soit brutalement arrêté. Le monde de la cybersécurité avait été pris au dépourvu lorsque Mitre a révélé que son contrat avec le département de la Sécurité intérieure (homeland security) pour l'exploitation du programme allait expirer sans renouvellement.

Finalement, une intervention de dernière minute de la Cisa a débouché sur une prolongation d'urgence de 11 mois du contrat. Mais, si le fonctionnement du système a pu être maintenu pendant cette période, la communauté mondiale de la sécurité craignait que le problème se renouvèle ce printemps. Près d'un an plus tard, cette solution provisoire a été remplacée par un arrangement que certaines sources qualifient de « plus durable ». Lors de sa réunion du 21 janvier 2026, le conseil d'administration du CVE a été informé qu'il n'y aurait « aucune interruption de financement en mars » et que « les opérations et la planification en cours s'étendraient bien au-delà de cette période », comme l’indique le procès-verbal de la réunion rendu public par la suite. « Sous la direction et le parrainage de la Cisa, le programme CVE est entièrement financé et n'a cessé d'évoluer et de se moderniser pour soutenir l'écosystème mondial des vulnérabilités », a déclaré Nick Andersen, directeur par intérim et directeur adjoint de la Cisa. De son côté, Jordan Graham, porte-parole de Mitre, a déclaré que « Mitre, en soutien à la Cisa, s'engage en faveur du CVE en tant que ressource mondiale essentielle. »

Un accord rassurant mais qui manque de transparence

Pour les défenseurs de longue date de la divulgation des failles, le changement le plus important n'est peut-être pas le renouvellement en soi, mais la manière dont le financement est structuré. Selon Pete Allor, expert en cybersécurité, cofondateur de la CVE Foundation et membre du conseil d'administration du programme CVE, ce dernier était historiquement en concurrence avec d'autres initiatives pour obtenir les fonds restants du budget de la Cisa. « D'après ce que j'ai compris, il ne s’agit plus de savoir si le programme CVE mérite d’être financé parmi d’autres choses », a déclaré M. Allor. « C'est un changement énorme. » Concrètement, il semble que le financement du programme de référentiel des failles n’est plus un élément facultatif, susceptible d'être écarté au profit d'autres priorités, mais qu’il est désormais considéré comme un programme opérationnel essentiel. L'amélioration des perspectives de financement a également incité la CVE Foundation, créée l'année dernière dans un contexte d'incertitude afin d'explorer d'autres modèles de gouvernance, à réévaluer ses prochaines étapes.

Malgré la stabilité apparente du financement, le contrat lui-même reste largement opaque, même pour les membres du conseil d'administration du CVE. Une source proche du programme, qui a demandé à rester anonyme afin de préserver ses relations de travail avec la Cisa et Mitre, a qualifié l'accord de rassurant, tout en pointant néanmoins un manque de transparence. « C'est un contrat mystérieux avec un chiffre mystérieux qui a été accepté et adopté », a souligné la source. « La bonne nouvelle, c'est que les gens n'ont pas à s'inquiéter. Mais maintenant qu'ils n'ont plus à s'inquiéter, le moment est venu de poser les questions difficiles. » Celles-ci portent notamment sur la manière dont le programme sera modernisé, dont ses performances seront mesurées et sur la nécessité ou non de faire évoluer sa structure de gouvernance. « La Cisa, en collaboration avec la communauté mondiale de la cybersécurité, s'engage à améliorer la qualité des données, à moderniser les infrastructures et les services, à améliorer les processus de gouvernance avec une représentation plus diversifiée, entre autres efforts », a déclaré par ailleurs M. Andersen.

Selon des personnes proches des discussions, un membre du conseil d'administration de la fondation CVE a demandé à plusieurs reprises l'accès au contrat Mitre-Cisa lors de réunions successives du conseil. Mitre a rejeté ces demandes, invoquant les protections juridiques entourant l'accord entre les deux organisations. Une autre demande d'accès au contrat en vertu de la loi Freedom of Information Act sur la liberté d'information est également restée sans réponse. « Si vous affirmez agir pour le bien public et l'intérêt général, il vous incombe d'expliquer comment vous mesurez ce bien », a fait valoir M. Allor. « C'est une question ouverte, qui ne peut rester secrète. » Le conseil d'administration du programme CVE lui-même, qui compte désormais 24 membres, fonctionne principalement comme un organe consultatif, tandis que Mitre conserve le pouvoir décisionnel final sur le fonctionnement du programme.

Des alternatives mondiales qui émergent

La quasi-faillite du programme CVE l'année dernière a déclenché une vague de plans d'urgence dans tout l'écosystème de la cybersécurité. La CVE Foundation a commencé à explorer des modèles de gouvernance qui réduiraient la dépendance à l'égard d'une seule source de financement du gouvernement américain. Dans le même temps, l'Enisa (agence européenne sur la cybersécurité) avait commencé à développer son propre framework d'identification des vulnérabilités, avant finalement de le lancer en mai dernier. Selon un porte-parole de l'Enisa, l'agence reste engagée dans l'écosystème CVE, mais n'a pas connaissance des modalités de financement du programme. « L'Enisa fait partie du programme CVE et reste déterminée à contribuer à la communauté CVE mondiale et à soutenir la gestion coordonnée des vulnérabilités », a fait savoir l'agence dans un communiqué. Les entreprises du secteur privé ont également pris des mesures pour se prémunir contre d'éventuelles perturbations. Par exemple, la société d'information sur les vulnérabilités VulnCheck a réservé des blocs d'identifiants CVE afin d'assurer la continuité si le système de numérotation venait à faillir.

Même si la crise financière immédiate s'estompe, l'environnement institutionnel autour de la Cisa reste instable. L'agence a été confrontée à des coupes budgétaires, à des changements de direction et à des réductions de personnel, et elle a fonctionné pendant plus d'un an sans directeur confirmé par le Sénat américain. Pour l'instant cependant, le catalogue des vulnérabilités, qui sert de langage commun à l'industrie de la cybersécurité, reste financé et opérationnel. Mais les événements de l'année dernière ont révélé à quel point l'écosystème mondial de la sécurité est devenu dépendant d'un seul contrat du gouvernement américain. Ils ont également déclenché un débat plus large sur la question de savoir si la gouvernance et le financement de ces infrastructures critiques devraient être plus transparents, plus internationaux et moins fragiles.