Face à l’émoi provoqué par l’arrêt du financement du programme CVE de MITRE, l’administration américaine a finalement prorogé son aide de 11 mois. L’affaire a cependant soulevé des inquiétudes sur la pérennité budgétaire du projet et a enclenché plusieurs initiatives alternatives y compris en Europe.
Le signal d’alarme lancé par l’association MITRE n’est pas resté sans réponse. Menacée de disparition en raison des coupes budgétaires envisagées par l’administration Trump, la base de données CVE (Common Vulnerabilities and Exposures), en service depuis 25 ans, a finalement été préservée in extremis. Le département américain à la sécurité intérieur (DHS) principal bailleur de fonds décidé au dernier moment de maintenir son financement, comme l’a confirmé un porte-parole de l’agence américaine de cybersécurité CISA auprès de Bleeping Computer. Si cette décision apporte un soulagement temporaire à la communauté cybersécurité, elle laisse subsister de fortes incertitudes quant à au soutien financier à long terme.
Bruce Schneier, expert reconnu en cybersécurité et membre du conseil d’administration de l’Electronic Frontier Foundation, s’est dit préoccupé par le caractère improvisé de cette décision. Selon lui, elle reflète une tendance inquiétante à réduire arbitrairement les budgets sans évaluer l’importance critique de certains programmes, comme celui de la base CVE. « Quelqu’un a fini par réaliser son importance et a rétabli temporairement le financement. Mais rien ne garantit sa pérennité », a-t-il déclaré. Bruce Schneier a également rappelé le rôle central du programme CVE dans la cybersécurité mondiale soulignant qu’une base de données centralisée reste essentielle pour identifier, classer et gérer les failles de manière efficace. Il appelle à préparer dès aujourd’hui une solution durable, au cas où les États-Unis décideraient de se retirer définitivement du projet.
La CVE Foundation voit le jour et l’Enisa se mobilise
Face à ces incertitudes, plusieurs initiatives ont été mises en place. Ainsi le conseil d’administration du programme CVE a annoncé la création de la CVE Foundation. Elle se concentrera uniquement sur la poursuite de la mission d’identification des vulnérabilités de haute qualité et de maintien de l’intégrité et de la disponibilité des données CVE pour les défenseurs du monde entier, ont déclaré les organisateurs. Dans un courrier, Johannes Ullrich, chercheur au SANS Institute, évoquait la tenue de discussions « sur la possibilité de créer une nouvelle entité pour diversifier les sources de financement, notamment la participation d’acteurs internationaux ».
L’affaire a également eu pour effet de réveiller l’Union européenne sur ce sujet à travers l’Enisa, l’organisme en charge des questions de cybersécurité. Depuis juin 2024, ce dernier a la charge d’une base de donnée nommée European Union Vulnerability Database (EUVD) dans le cadre de la directive NIS 2. Ce projet est co-financé par l’Union européenne et le CERT Luxembourgeois. La base est pour l’instant en version beta.
La base EUVD de l’Enisa fait ses premiers pas. (Crédit Photo : Enisa)
L’appel à un financement stable et durable
Roger Grimes, expert en défense de la cybersécurité chez KnowBe4, a critiqué dans un courrier à nos confrères de CSO la situation actuelle où les responsables de MITRE se voient dans l’obligation de solliciter des financements privés. « Ce n’est pas un programme où les responsables devraient mendier pour obtenir des fonds. Il devrait être pleinement financé, correctement doté en ressources et capable de réaliser son travail de manière optimale, » a-t-il déclaré. Il a exprimé l’espoir que la prolongation du financement n’était pas qu’une mesure temporaire, mais qu’elle permettrait d’améliorer le programme pour qu’il devienne un service véritablement à la hauteur de sa mission.