Institut national des normes et de la technologie des États-Unis, réforme complète de la gestion de la base de données des vulnérabilités… renforcer à partir des « CVE à haut risque »

L’Institut national des normes et de la technologie des États-Unis (NIST) a apporté des modifications majeures à son mode de fonctionnement de la base de données nationale des vulnérabilités (NVD). À l’avenir, il ne procédera plus à une analyse en masse de toutes les divulgations de vulnérabilités générales reçues (CVE), mais adoptera un système de “tri basé sur le risque” priorisant les vulnérabilités présentant un risque réel élevé.

Cette décision fait suite à une augmentation exponentielle du nombre de soumissions de CVE, difficile à gérer avec le mode actuel. Selon le NIST, entre 2020 et 2025, le nombre de CVE soumis a augmenté de 263 %, et au premier trimestre 2026, le volume de soumissions a également augmenté d’environ un tiers par rapport à la même période l’an dernier. Le NIST explique que, malgré le renforcement d’environ 42 000 CVE en 2025, soit une hausse de 45 % par rapport à l’année précédente, cela reste insuffisant pour suivre le rythme de croissance.

À partir de maintenant, analyse à partir des “vulnérabilités les plus dangereuses”

Selon la nouvelle norme, le NIST ne donnera la priorité qu’aux CVE répondant à trois critères pour une “renforcement complet”. Ces critères incluent : leur inscription sur la liste des “vulnérabilités connues exploitées” de l’Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) ; leur impact sur les logiciels utilisés par le gouvernement fédéral américain ; et leur influence sur les produits liés à la “logiciel critique” mentionnés dans le décret exécutif n° 14028.

En particulier, pour les vulnérabilités figurant sur la liste KEV de la CISA, l’objectif est de réaliser le renforcement dans un délai d’un jour ouvré après leur soumission. Les CVE non inclus dans cette liste continueront d’être enregistrés dans le NVD, mais seront classés comme “non programmé”. Dans ce cas, le score de risque et les informations sur le produit utilisés par l’équipe de sécurité pour prioriser les correctifs ne seront pas automatiquement ajoutés.

Nettoyage des travaux en retard depuis 2024

Le NIST prévoit également de faire le ménage dans le volume de travail accumulé depuis le début de 2024. En principe, les CVE qui ont été rendus publics dans le NVD avant le 1er mars 2026 mais qui n’ont pas encore été renforcés seront déplacés vers la catégorie “non programmé”. Cependant, les vulnérabilités déjà inscrites sur la liste KEV ne seront pas concernées par ce nettoyage.

Certaines procédures seront également simplifiées. Si l’organisme responsable du numéro CVE (CNA) a déjà fourni une évaluation du risque, le NIST ne recalculera pas cette même note. De plus, pour les CVE modifiés, il ne sera plus nécessaire de réanalyser à chaque mise à jour, sauf si la modification a un impact substantiel sur les données de renforcement.

L’intelligence artificielle est pointée comme la cause de l’augmentation des rapports de vulnérabilités

Bien que le NIST n’ait pas explicitement indiqué que l’(AI) était la cause, l’industrie pense que l’IA est l’un des facteurs clés de la croissance des CVE. Vito Jojko, co-fondateur et PDG de la société de détection et de réponse aux menaces d’identité SlashID, déclare : “L’augmentation des rapports de vulnérabilités vérifiées découvertes par l’IA”, et “certaines analyses estiment que le nombre de vulnérabilités rapportées l’année dernière a plus que doublé.”

Il qualifie ce changement de politique de “modification raisonnable, car les catégories les plus importantes continueront d’être traitées”. Il prévoit également qu’avec l’amélioration des performances des grands modèles de langage (LLM), les organisations pourront évaluer elles-mêmes la priorité et le contexte des vulnérabilités en fonction de leur environnement, réduisant ainsi progressivement leur dépendance à l’égard des “CVE renforcés” externes.

“On ne peut plus attendre uniquement l’évaluation CVE”

Shane Flah, CTO de RunSafe Security, souligne que cette annonce envoie un message clair à l’industrie. Il déclare : “Cela marque la fin de l’époque où l’on attendait que la note CVE soit attribuée pour agir.”

Flah insiste sur le fait que, étant donné que la visibilité des vulnérabilités est intrinsèquement incomplète, les entreprises et les institutions ne doivent pas se fier uniquement à une base de données unique, mais combiner plusieurs sources d’informations sur les vulnérabilités pour prendre des décisions plus précises. Il ajoute qu’il faut également supposer que des vulnérabilités inconnues non divulguées existent peut-être déjà dans le logiciel, et établir un système de défense capable de bloquer leur exploitation même avant la publication de correctifs ou de scores officiels.

Cette réforme s’apparente davantage à un changement de structure du marché qu’à une simple modification administrative. Dans un contexte de multiplication des vulnérabilités, la méthode d’analyse approfondie de tous les projets a atteint ses limites, et le NIST s’oriente finalement vers une approche centrée sur la “priorisation”. Dans le domaine de la sécurité, à l’avenir, il sera plus important de combiner le renseignement sur les menaces et l’état des actifs pour une évaluation plus rapide, plutôt que d’attendre passivement la notation du NVD.

TP AI Avis : Cet article est une synthèse générée par le modèle linguistique TokenPost.ai. Il peut omettre des contenus principaux ou comporter des divergences avec la réalité.