Aujourd'hui, 16 avril, le programme CVE a bien failli s’arrêter faute de financement. Ce système, qui recense les failles de sécurité dans les logiciels du monde entier, a finalement été prolongé in extremis par l’agence américaine CISA. Mais cet épisode soulève pas mal de questions sur son avenir.
À quoi sert le programme CVE, concrètement ?
Si vous bossez dans la tech ou la cybersécurité, vous avez forcément déjà croisé un identifiant du type CVE-2023-12345. C’est un code unique donné à une faille de sécurité pour que tout le monde parle de la même chose. Et c’est justement le boulot du programme CVE : centraliser et standardiser ces infos pour aider les chercheurs, les entreprises et les gouvernements à suivre et corriger les vulnérabilités.
Le programme existe depuis 1999. Il est géré par MITRE, une organisation à but non lucratif, et financé par le gouvernement américain via l’agence CISA. En 25 ans, plus de 270 000 failles ont été référencées dans sa base de données. Un outil devenu indispensable pour tous ceux qui bossent sur la sécurité des systèmes informatiques.
Ce qui a failli tout faire basculer
Le 16 avril 2025, le contrat entre MITRE et le gouvernement américain arrivait à échéance. Et cette fois, pas de renouvellement automatique. Pendant quelques heures, on a cru que le programme allait s’arrêter net. Une mauvaise nouvelle, vu l’importance du CVE dans tout l’écosystème de la cybersécurité.
Heureusement, retournement de situation dans la nuit : CISA a finalement décidé de prolonger le contrat. Pas de coupure prévue pour le moment, donc, mais l’épisode montré que ce programme clé tient à peu de choses.
Pourquoi c’est un problème (et pas qu’aux États-Unis)
Le CVE est utilisé partout dans le monde. Quand une faille est découverte, c’est ce système qui permet de la nommer, de la suivre et de coordonner la réponse. S’il disparaît ou s’interrompt, tout le monde risque de partir dans tous les sens. Et côté sécurité, on a clairement vu mieux.
Plusieurs experts ont tiré la sonnette d’alarme : si MITRE n’est plus financé, il n’y a pas vraiment d’alternative prête à prendre le relais. Des acteurs comme VulnCheck ont bien essayé d’anticiper en réservant des codes CVE, mais ça reste temporaire.
Pour éviter qu’un tel risque ne se reproduise, certains membres du programme CVE ont lancé une fondation indépendante. L’idée : garantir l’avenir du système sans dépendre uniquement d’un financement public américain. De son côté, l’Union européenne prépare aussi sa propre base de données.
Bref, le programme continue, mais tout le monde a bien compris qu’il fallait penser à la suite. Parce que la cybersécurité, c’est franchement pas un domaine où on peut improviser.
