La nouvelle approche du NVD de NIST est une étape logique pour gérer l’afflux de CVE. Mais en priorisant les logiciels gouvernementaux, le secteur privé risque de se retrouver sans les informations dont il a besoin.
| 263%
CROISSANCE DES SOUMISSIONS DE CVE 2020–2025 |
42 000
CVE ENRICHIES EN 2025 — TOUJOURS INSUFFISANT |
1%
DE TOUTES LES CVE EFFECTIVEMENT EXPLOITÉES DANS LA NATURE |
Il aurait fallu que cela se produise depuis longtemps. Après des années d’une vague croissante de divulgations de vulnérabilités — une hausse de 263 % des soumissions de CVE entre 2020 et 2025 — le National Institute of Standards and Technology a enfin pris une décision majeure. À partir du 15 avril 2026, le NIST n’enrichira plus que les CVE répondant à des critères de priorisation spécifiques : les vulnérabilités figurant dans le catalogue Known Exploited Vulnerabilities (KEV) de la CISA, les logiciels utilisés au sein du gouvernement fédéral américain et les systèmes désignés comme critiques selon l’Executive Order 14028. Toutes les autres soumissions apparaîtront toujours dans la National Vulnerability Database (NVD), mais seront étiquetées « Not Scheduled ». En langage bureaucratique, cela signifie : n’y comptez pas trop.
En tant que professionnel de la sécurité, je comprends la logique. Notre secteur souffre depuis longtemps de ce que j’appelle une « surcharge signal-bruit » : une avalanche de données à analyser, dont la grande majorité n’a aucune pertinence directe pour les systèmes que nous protégeons réellement. Une étude de VulnCheck a montré que, parmi les plus de 40 000 vulnérabilités nouvellement publiées l’an dernier, seulement 1 % — soit 422 CVE — ont été activement exploitées dans la nature. Se concentrer sur ce qui compte réellement est donc parfaitement justifié.
« Les vulnérabilités sont publiées, mais pas priorisées. Cela ne facilite pas la tâche des défenseurs. »
Et pourtant, quelque chose ne va pas. Fondamentalement.
Le paradoxe de la transparence sans contexte
Le NIST a choisi de continuer à publier toutes les CVE, mais sans les enrichir systématiquement avec des scores CVSS, des configurations logicielles affectées ou des informations contextuelles supplémentaires. Le résultat est une situation intermédiaire inconfortable : les vulnérabilités sont divulguées, mais sans les indications dont les équipes de sécurité ont besoin pour savoir comment réagir. C’est une transparence dans sa forme la plus creuse.
Imaginez un médecin qui informe un patient qu’il y a un problème, mais refuse de dire à quel point il est grave, quel organe est concerné ou quel est le plan de traitement. « N’hésitez pas à nous envoyer un e-mail si vous souhaitez en savoir plus. » C’est exactement ce que ressentent les milliers d’organisations qui s’appuyaient sur le NVD comme source principale et fiable pour la priorisation des correctifs.
Les petites et moyennes entreprises, sans centre d’opérations de sécurité dédié ni abonnements coûteux à des services de threat intelligence, sont les plus touchées. Elles dépendaient du NVD comme d’un point d’ancrage gratuit. Cet ancrage s’est désormais détaché.
Le gouvernement d’abord — et les autres ?
Le deuxième problème touche à une différence fondamentale entre la réalité numérique des agences gouvernementales et celle des entreprises et des particuliers. Les priorités du NIST sont compréhensibles du point de vue de la sécurité nationale : protéger d’abord les infrastructures critiques de l’État. Mais les environnements logiciels d’un prestataire de santé, d’une entreprise industrielle ou d’une PME n’ont que peu de points communs avec le paysage informatique du gouvernement fédéral américain.
Microsoft 365, Google Workspace, les plateformes CRM largement utilisées, les systèmes de contrôle industriels dans la fabrication — beaucoup de ces systèmes ne relèvent pas de la définition de « logiciel critique » telle que définie dans l’Executive Order 14028. Une vulnérabilité dans une application cloud largement utilisée par les PME pourrait rester des mois dans la catégorie « Not Scheduled », tandis que des attaquants l’exploitent déjà activement.
Michelangelo Sidagni, CTO chez NopSec, l’a bien résumé : le NIST délègue en pratique la priorisation à la CISA, mais le catalogue KEV de la CISA est volontairement conservateur. Une analyse comparative montre que KEV recense actuellement 1 559 vulnérabilités, tandis que VulnDB en suit plus de 7 000 avec exploitation connue. Des milliers de failles dangereuses échappent donc à la fois à KEV et au nouveau processus d’enrichissement du NVD. Pour un attaquant, cette distinction n’a aucune importance.
La fin d’une source unique de vérité
Le contexte global renforce les inquiétudes. Le programme CVE géré par MITRE — fondement même du NVD — a frôlé l’effondrement l’an dernier lorsque son contrat de financement fédéral était sur le point d’expirer. La CISA est intervenue au dernier moment, mais la fragilité de cette infrastructure est désormais évidente. Parallèlement, l’Union européenne développe sa propre base de données des vulnérabilités (EUVD), encore à un stade précoce. Et la croissance explosive de la découverte de vulnérabilités alimentée par l’IA — FIRST prévoit un record de 50 000 nouvelles CVE en 2026 — risque d’aggraver considérablement la situation.
L’ère d’une source publique unique et fiable pour les informations sur les vulnérabilités est définitivement révolue. Les organisations qui ne l’avaient pas encore compris sont désormais confrontées de plein fouet à cette réalité.
Que faut-il faire ?
Les critiques envers le NIST sont justifiées, mais en réalité, l’agence avait peu d’alternatives. Avec des soumissions battant de nouveaux records chaque trimestre et une capacité d’analyse incapable de suivre, un changement de cap était inévitable. L’orientation — prioriser en fonction du risque réel — est, en principe, la bonne.
Mais la mise en œuvre doit être affinée. Premièrement : les critères de priorisation sont trop centrés sur le contexte gouvernemental. Une définition plus large de « fort impact » — prenant également en compte la prévalence dans les logiciels commerciaux — refléterait mieux la réalité du secteur privé. Deuxièmement : le modèle « contactez-nous par e-mail pour un enrichissement » n’est pas scalable et crée des inégalités. Les grandes organisations savent comment et où faire valoir leur cas ; les plus petites, non.
Troisièmement, et peut-être le plus urgent : le secteur doit cesser de s’appuyer sur une seule base de données publique comme principale ligne de défense. Diversifier les sources — threat intelligence commerciale, ISAC sectoriels, alternatives open source — n’est pas un luxe, mais une nécessité. Les professionnels de la sécurité qui en étaient déjà conscients sauront gérer cette transition. Les autres viennent de recevoir un signal d’alarme.
Le flot de données non pertinentes a toujours été le problème. Le NIST l’a désormais officiellement reconnu. La question est de savoir si la solution choisie protège les bonnes personnes — ou seulement celles qui disposent des bons contrats gouvernementaux.
SOURCES
- NIST — NVD Updates NVD Operations to Address Record CVE Growth (15 avril 2026)
- Help Net Security — NIST admits defeat on NVD backlog, will enrich only highest-risk CVEs going forward (16 avril 2026)
- CyberScoop — NIST narrows scope of CVE analysis to keep up with rising tide of vulnerabilities (17 avril 2026)
- Socket.dev — NIST Officially Stops Enriching Most CVEs as Vulnerability Volume Surges (avril 2026)
- Infosecurity Magazine — NIST Drops NVD Enrichment for Pre-March 2026 Vulnerabilities (avril 2026)
- SecureWorld — The NVD Course Correction: Navigating NIST’s Strategic Pivot for 2026 (avril 2026)
- Dark Reading — NIST Revamps CVE Framework to Focus on High-Impact Vulnerabilities (avril 2026)
- The Hacker News — NIST Limits CVE Enrichment After 263% Surge in Vulnerability Submissions (avril 2026)
