NicoElNino - stock.adobe.com

Actualites

L'Enisa lance une base de données européenne sur les vulnérabilités

La nouvelle base de données de l'Union Européenne sur les vulnérabilités est conçue pour offrir une source d'information plus large et plus transparente sur les nouvelles vulnérabilités.

par
Publié le: 15 mai 2025

L'Agence européenne de la cybersécurité (Enisa) a lancé une base de données de l'Union européenne sur les vulnérabilités (EUVD) afin de fournir des informations « agrégées, fiables et exploitables » sur les vulnérabilités récemment divulguées dans les produits et services informatiques.

L'EUVD, qui est mandaté par la directive NIS2, est conçu pour rassembler des informations accessibles au public à partir de sources telles que les équipes nationales de réponse aux incidents de sécurité informatique (CSIRT) des États membres de l'UE, les chercheurs en menaces de l'industrie et d'autres bases de données de vulnérabilités, y compris le programme CVE du Mitre.

L'Enisa explique que, pour atteindre cet objectif, elle a construit sa plateforme selon une approche holistique, sous la forme d'une base de données interconnectée qui, selon elle, permettra une meilleure analyse et aidera la communauté à corréler les vulnérabilités. L'Enisa estime que cela fera d'elle une source d'information plus fiable, plus transparente et plus large.

« La base de données de l'UE sur les vulnérabilités est une étape importante vers le renforcement de la sécurité et de la résilience de l'Europe », a déclaré Henna Virkkunen, vice-présidente exécutive de la Commission européenne chargée de la souveraineté technologique, de la sécurité et de la démocratie : « en rassemblant les informations sur les vulnérabilités pertinentes pour le marché de l'UE, nous élevons les normes de cybersécurité, ce qui permet aux acteurs des secteurs privé et public de mieux protéger nos espaces numériques partagés, avec plus d'efficacité et d'autonomie ».

Pour Juhan Lepassaar, directeur exécutif de l'Enisa, l'agence « franchit une étape importante avec la mise en œuvre de l'exigence relative à la base de données sur les vulnérabilités prévue par la directive NIS2. L'UE est désormais dotée d'un outil essentiel conçu pour améliorer considérablement la gestion des vulnérabilités et des risques qui y sont associés ». Et d'ajouter que « la base de données garantit la transparence pour tous les utilisateurs des produits et services IT concernés et constituera une source d'information efficace pour trouver des mesures d'atténuation ».

Au-delà du programme CVE du Mitre

Le lancement de l'EUVD intervient quelques semaines seulement après que la communauté de la sécurité a été ébranlée par l'expérience de mort imminente du programme CVE du Mitre, une ressource soutenue et financée par le gouvernement américain qui, au cours des deux dernières décennies, est devenue une référence dans le monde de la sécurité.

Bien que le financement du Mitre ait finalement été rétabli à la dernière minute par les autorités américaines, les 24 heures d'incertitude ont donné lieu à une réflexion approfondie et de nombreux professionnels de la cybersécurité ont commencé à envisager ou à discuter de l'idée d'alternatives à un programme qui est en fin de compte soutenu par un seul gouvernement.

Bien que l'EUVD ne soit pas conçu pour remplacer le programme américain, l'Enisa a indiqué qu'elle avait travaillé avec le Mitre sur son développement et qu'elle continuait à travailler avec l'organisme à but non lucratif pour comprendre l'impact de la crise financière sur le projet EUVD.

Pour l'instant, les données sur les vulnérabilités et expositions communes (CVE), les données fournies par ceux qui divulguent les vulnérabilités et d'autres sources telles que le catalogue des vulnérabilités exploitées connues de la Cybersecurity and Infrastructure Security Agency (CISA) seront automatiquement transposées dans l'EUVD avec l'aide des CSIRT des États membres de l'UE.

Par exemple, la CVE-2025-31324, une vulnérabilité critique et activement exploitée affectant le composant Visual Composer de SAP NetWeaver apparaît dans l'EUVD avec la désignation EUVD-2025-14349.

Sylvain Cortes, vice-président chargé de la stratégie chez Hackuity, voit d'un bon oeil l'arrivée de l'EUVD : « l'EUVD de l'Enisa est une bonne initiative si l'on considère les récents problèmes de financement du programme CVE de Mitre ».

Car, relève-t-il, « l'incertitude demeure quant à la pérennité de la base de données du Mitre après l'expiration du nouveau contrat dans dix mois, de sorte que l'existence d'une option européenne permet au secteur d'être moins dépendant d'une seule source d'enrichissement des vulnérabilités. Il s'agit d'une alternative encore plus importante si l'on considère que la NVD [National Vulnerability Database (base de données nationale sur les vulnérabilités) des États-Unis] a souffert de retards dans le passé ».

Crystal Morin, stratège en cybersécurité chez Sysdig, s'est également félicitée de ce lancement, qui s'inscrit dans le cadre des efforts déployés pour renforcer la cybersécurité mondiale dans un avenir incertain. Elle espère que l'EUVD viendra compléter le programme CVE : « le fait que les deux soient en jeu signifie que davantage d'organisations traitent les demandes de CVE et, en fin de compte, que la divulgation d'informations au public est plus rapide ».

Crystal Morin estime ainsi que, « pour les équipes de sécurité, l'EUVD est simplement une autre source fiable de renseignements sur les vulnérabilités. Tant que les soumissions de vulnérabilités sont rationalisées, c'est-à-dire soumises à un seul programme, nous évitons les doublons et la confusion, et nous gagnons en rapidité et en résilience ».

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)