ACTUALITEBREACH FEED

EUVD vs CVE, vers une fragmentation silencieuse de la gouvernance des vulnérabilités

🛡️ Partenaire du jour: 👉 MAILINBLACK, solutions anti malware, anti spearphishing, antispam

14/05/2025

Depuis quelques jours, l’Union européenne dispose de sa propre base publique de gestion des vulnérabilités informatiques. Sobrement baptisée EUVD (European Vulnerability Database), cette plateforme, désormais pleinement opérationnelle, entend offrir une visibilité en temps réel sur les failles critiques et activement exploitées dans les systèmes numériques. Si son lancement s’inscrit dans le cadre du renforcement réglementaire européen en matière de cybersécurité (directive NIS2), il intervient surtout dans un contexte de fragilisation du dispositif américain CVE, jusqu’ici référentiel mondial en la matière.

Une réponse structurelle à une faille de gouvernance

La base EUVD a été annoncée par l’Agence de l’Union européenne pour la cybersécurité (ENISA) en juin 2024. Son objectif est d’améliorer la transparence, la coordination et la réactivité en matière de traitement des vulnérabilités, à travers un tableau de bord unique pour les États membres et les acteurs privés. Elle permet notamment de suivre en temps réel les vulnérabilités critiques, de vérifier leur statut d’exploitation et d’accéder directement aux mesures de mitigation recommandées.

Cette initiative s’inscrit dans une volonté européenne de renforcer ses capacités propres, alors que les États-Unis connaissent un affaiblissement notable de leur gouvernance technique en cybersécurité. Le programme Common Vulnerabilities and Exposures (CVE), géré historiquement par le MITRE avec le soutien de la CISA, a vu son financement menacé à plusieurs reprises. Fin avril, son maintien n’a été garanti qu’in extremis, dans un climat d’incertitude.

Une bascule dans les équilibres normatifs

Pendant plus de vingt ans, le CVE s’est imposé comme la référence mondiale pour la gestion des vulnérabilités. Chaque faille critique y recevait un identifiant standardisé, intégré à la base NVD (National Vulnerability Database), accessible au public. Ce système permettait une coordination fluide entre éditeurs, chercheurs, gouvernements et entreprises.

Mais depuis plusieurs mois, le modèle montre des signes de saturation avec des retards de publication, des difficultés de financement, un ralentissement des mises à jour, et plus récemment, la suppression des alertes publiques sur le site de la CISA. Désormais, celles-ci sont relayées par flux RSS ou via le réseau social X, un changement qui interroge sur l’engagement de l’administration américaine à maintenir une transparence continue.

Dans ce vide partiel, l’Union européenne a déployé une approche différente, plus intégrée à ses institutions et à ses impératifs de souveraineté. L’EUVD intègre également les identifiants CVE, mais leur associe un référentiel propre, renforçant ainsi la cohabitation de plusieurs standards.

Vers une fragmentation de la normalisation mondiale ?

L’enjeu dépasse la seule efficacité opérationnelle. L’émergence de plusieurs bases de vulnérabilités concurrentes pourrait à terme poser des problèmes d’interopérabilité, en particulier pour les entreprises opérant à l’échelle internationale. Si l’ENISA reste pour l’instant une CVE Numbering Authority (CNA), capable de générer des identifiants dans le cadre du système CVE, elle reconnaît ne pas avoir de visibilité sur l’évolution du programme américain au-delà de mars 2025, date de fin du contrat actuel entre la CISA et le MITRE.

À terme, l’existence parallèle de bases NVD, EUVD, mais aussi de référentiels chinois comme le CNNVD (China National Vulnerability Database), pourrait redessiner les lignes de fracture de la gouvernance cyber, au risque d’une fragmentation durable des pratiques et des outils.

Un enjeu de souveraineté, mais aussi de lisibilité

Derrière l’enjeu technique se cache une dimension stratégique. La capacité à identifier, classifier et traiter les vulnérabilités constitue désormais une compétence régalienne, au même titre que la protection des infrastructures critiques ou la cybersurveillance. L’Union européenne semble vouloir assumer cette responsabilité en créant ses propres référentiels, plutôt que de dépendre d’infrastructures étrangères.

Suivez nous:
Les derniers articles par LA REDACTION DE FRENCHWEB.FR (tout voir)
14/05/2025
Attirez les meilleurs profils de la tech : publiez vos offres sur le jobboard de FRENCHWEB.FR
© Copyright 2008 / 2025, DECODE MEDIA, The Innovation Media Company. All Rights Reserved
Bouton retour en haut de la page
EUVD vs CVE, vers une fragmentation silencieuse de la gouvernance des vulnérabilités
Coinbase s’offre Deribit pour 2,9 milliards de dollars / Amazon s’allie à Riyad / Y Combinator accuse Google de freiner l’innovation dans la tech
Y Combinator accuse Google de freiner l’innovation dans la tech
Microsoft
Quand l’IA licencie, Microsoft, Meta et Salesforce changent la nature des plans sociaux
Souveraineté, énergie, IA, pourquoi l’Arabie saoudite mise tout sur les datacenters
Agents, verticaux, fondateurs hybrides : les grandes tendances que dessine Y Combinator en 2025
Netflix, Revolut, L’oréal, recrutent dans la finance