CISA affirme que le gouvernement américain a prolongé le financement pour éviter tout problème de continuité avec le programme critical Common Vulnerabilities and Exposures (CVE).
« Le programme CVE est inestimable pour la cyber-communauté et une priorité de la CISA », a déclaré l’agence américaine de cybersécurité à Breachtrace. « Hier soir, CISA a exécuté la période d’option sur le contrat pour s’assurer qu’il n’y aura pas d’interruption des services CVE critiques. Nous apprécions la patience de nos partenaires et parties prenantes. »
L’annonce fait suite à un avertissement du vice-président de MITRE, Yosry Barsoum, selon lequel le financement gouvernemental des programmes CVE et CWE devait expirer aujourd’hui, le 16 avril, ce qui pourrait entraîner des perturbations généralisées dans le secteur de la cybersécurité.
« Si une interruption de service devait se produire, nous prévoyons de multiples impacts sur CVE, notamment la détérioration des bases de données nationales sur les vulnérabilités et des avis, des fournisseurs d’outils, des opérations de réponse aux incidents et de toutes sortes d’infrastructures critiques », a déclaré Barsoum.
MITRE maintient CVE, un programme largement adopté qui fournit précision, clarté et normes partagées lors de la discussion des vulnérabilités de sécurité, avec un financement de la Division nationale de la cybersécurité des États-Unis du Département américain de la Sécurité intérieure (DHS).
Un porte-parole de MITRE n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée.
Fondation CVE nouvellement lancée
Avant l’annonce de CISA, un groupe de membres du conseil d’administration de CVE a annoncé le lancement de la Fondation CVE, une organisation à but non lucratif créée pour garantir l’indépendance du programme CVE à la lumière de l’avertissement de MITRE selon lequel le gouvernement américain pourrait ne pas renouveler son contrat de gestion du programme.
« Depuis sa création, le programme CVE a fonctionné comme une initiative financée par le gouvernement américain, avec une supervision et une gestion assurées sous contrat », ont-ils déclaré mercredi dans un communiqué de presse. « Bien que cette structure ait soutenu la croissance du programme, elle a également soulevé des inquiétudes de longue date parmi les membres du conseil d’administration de CVE quant à la durabilité et à la neutralité d’une ressource mondialement fiable liée à un seul sponsor gouvernemental. »
Au cours de la dernière année, les personnes impliquées dans le lancement ont élaboré une stratégie de transition du programme vers cette fondation dédiée, éliminant « un seul point de défaillance dans l’écosystème de gestion des vulnérabilités » et veillant à ce que « le programme CVE reste une initiative communautaire de confiance mondiale. »
Alors que la Fondation CVE prévoit de publier de plus amples informations sur sa planification de la transition dans les prochains jours, les prochaines étapes restent floues, d’autant plus que CISA a confirmé que le financement du contrat de MITRE avait été prolongé.
L’Agence de l’Union européenne pour la cybersécurité (ENISA) a également lancé une base de données européenne sur les vulnérabilités (EUVD), qui « adopte une approche multipartite en collectant des informations sur les vulnérabilités accessibles au public à partir de sources multiples. »