• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

OPINION. « La base de données mondiale des vulnérabilités informatiques en sursis »

Charles Cuvelliez, David Vanderoost et Jean-Jacques Quisquater

Publié le 23 avril 2025 à 06:43

Photo d'illustration

Photo d'illustration

DR

Le Quotidien Numérique

18 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Incendies : Positive Aviation franchit une étape décisive pour transformer un ATR en alternative au Canadair

  • 2

    Moyen-Orient : la guerre du détroit aura bien lieu

  • 3

    Pétrole : le Panama va prendre la main sur un oléoduc, « l'une des infrastructures stratégiques les plus importantes du pays »

  • 4

    Cyclisme : du changement dans la direction de l'équipe de Paul Seixas

  • 5

    Saturation du réseau électrique : 2 500 producteurs d’énergie renouvelable dans l’attente de solutions de raccordement

  • 6

    « L'effort concerne tout le monde » : David Amiel, ministre des Comptes publics, alerte sur le budget

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
OPINION. Un des piliers de la cybersécurité a failli s'écrouler le 16 avril dernier : la base de données qui reprend toutes les vulnérabilités des logiciels et des appareils connectés qui en utilisent. L'organisme qui maintenait cette base de données en fonctionnement, MITRE, voyait son contrat avec les autorités américaines s'arrêter il y a quelques jours et jusqu'à la dernière minute, rien ne bougeait. Par Charles Cuvelliez, David Vanderoost et Jean-Jacques Quisquater (*)

La base de données en question, CVE (Common Vulnerabilities and Exposures), reprend, identifie et définit la gravité des vulnérabilités logicielles découvertes par leurs concepteurs ou indépendamment d'eux, par des chercheurs ou des sociétés de sécurité. Un numéro d'identification et une description de la gravité du problème leur sont attribués, ce qui leur confère une visibilité scientifique. Toute la communauté cyber converge vers cette base de données pour corriger au plus vite la vulnérabilité, pour traquer si elle est exploitée ou vérifier si le logiciel qui a ce problème de sécurité figure dans son réseau informatique ou pas. Pour le concepteur de logiciel, à moins de n'avoir jamais fait d'erreur de codage, y figurer est une preuve de professionnalisme, de transparence et d'assurance qualité. Ne rien dire, c'est mettre en danger sciemment vos clients.

C'est tout un écosystème qui vit de CVE et qui propose des outils qui l'utilisent.  On songe à la NVD (National Vulnerability Database), gérée par le NIST, un organisme américain de référence. Elle attribue aux vulnérabilités leurs scores de sévérité, un critère essentiel pour savoir à quelle vitesse corriger la faille (car tout corriger en permanence, au fil de l'eau est impossible dans une entreprise, sans test, sans devoir parfois arrêter les systèmes, avec le risque de faire marche arrière si le correctif apporte d'autres problèmes dans le contexte particulier de celui qui l'utilise).  Il y a aussi la CWE (Common Weakness Enumeration), qui classe les vulnérabilités par type d'erreur de codage à l'origine du problème.

MITRE n'est qu'un maillon de la chaine : il s'appuie sur les CNA (CVE Numbering Authorities). Ce sont eux qui attribuent un identifiant aux vulnérabilités, que le monde entier utilisera pour être sûr de parler de la même chose. Les CNA jouent le rôle de chambre d'enregistrement pour les chercheurs et entreprises de cybersécurité quand ils détectent des failles : c'est un guichet unique qui donne de la visibilité à leur travail, un incitant à continuer pour le bien commun. Chaque publication CVE est ensuite reprise, diffusée, connue : toute entreprise un peu attentive aura tôt fait d'agir pour appliquer les consignes du vendeur qui aura calqué la « publicité » sur la vulnérabilité de son produit avec la publication d'un correctif.

Transparence

La base de données CVE illustre la vertu de la transparence en sécurité. Connaître rapidement l'existence d'une faille et son niveau de gravité — même si cette information arrive aux oreilles des hackers en même temps - déclenche une course contre la montre à l'avantage des utilisateurs s'ils agissent. Les hackers auront besoin de temps (et d'argent) pour développer un outil capable d'utiliser la vulnérabilité. Car savoir qu'une faille existe ne suffit pas : encore faut-il savoir comment l'exploiter. Fin 2024, CVE contenait 40 009 entrées contre 28 818 fin 2023. C'est dire comme elle est nécessaire. Fin 2024, 768 de ces vulnérabilités étaient exploitées par des hackers. Cette base de données alimentera les scanners qui ausculteront vos réseaux à la recherche de versions de logiciels pas mises à jour. Cela a mis fin à l'exploitation de vieilles vulnérabilités que les entreprises ne corrigeaient pas.

Le CISA, l'agence de cybersécurité américaine, qui finance MITRE a pourtant laissé filer le contrat jusqu'à échéance sans signe de vouloir le renouveler le 16 avril dernier. Une petite panique s'est installée dans le monde, sans lui déplaire pour finalement exercer une option de prolongation du contrat pour 11 mois, une disposition qui laisse planer le doute et qu'on imagine activée pour trouver un plan de sortie.... Mais pour qui ? Normalement, c'est pour le client, le CISA, afin de trouver une alternative. Mais ici, c'est bien le fournisseur, MITRE, qui doit trouver un autre client ! Qu'a cherché le CISA ? Mystère ! Faire pression sur le gouvernement américain avant que celui-ci ne diminue ses budgets ? Re-mystère. Tout ceci rappelle un autre financement, celui d'Internet, qui aux premiers temps était américain, via la National Science Foundation, qui y a mis fin mais dans une retraite ordonnée sans une telle mise en scène dont la cybersécurité n'a pas besoin !

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

Il faut espérer que les diverses initiatives pour prendre le relais de la base de données CVE ou de MITRE comme la CVE Foundation qui vient d'être créée dans la foulée ou la base de données de vulnérabilités proposée par l'ENISA vont surgir. Mais la CVE est aussi un point de rencontre unique de toute la communauté cyber. Sa fin signifierait une fragmentation de l'information, moins de coordination et moins de priorisation du traitement des vulnérabilités et des menaces en général. La CVE , c'est une cybercoalition mondiale. Cela doit continuer.

_______

(*) Charles Cuvelliez, Ecole Polytechnique de Bruxelles, Université de Bruxelles (ULB), Chief Information Security Officer, Belfius Banque ; David Vanderoost, CEO, Approach-Cyber et Jean-Jacques Quisquater, Ecole Polytechnique de Louvain, Université de Louvain (UCL)

Charles Cuvelliez, David Vanderoost et Jean-Jacques Quisquater

Sur le même sujet

Sanjay Pulipaka

OPINION. « Souveraineté numérique : l'Europe ne peut plus se contenter de réagir aux ingérences »

Idées & Débats
Sébastien Boussois

OPINION. « Meloni, Takaichi : une nouvelle droite féminine décomplexée au pouvoir »

Pendant des décennies, l’arrivée des femmes aux plus hautes responsabilités a été accompagnée d’une promesse implicite : elles introduiraient une politique plus douce, plus consensuelle, plus horizontale et plus sensible. Comme si l’autorité, la puissance et l’affirmation de l’intérêt national étaient nécessairement des attributs masculins et qu’il fallait desormais tout autre chose pour réussir en politique.

Idées & Débats
Bertrand Piccard

OPINION. « ETS et long-courriers : l’Europe ne doit pas rater l’embarquement »

Alors que la Commission européenne s’apprête à réviser son système d’échange de quotas d’émission (SEQE), l’une des questions importantes qui se posent est de savoir si les vols internationaux doivent rester en dehors du système ou y être enfin intégrés.

Idées & Débats
Gabriel Gaspard

OPINION. « Présidentielle 2027 - dette publique : faut-il changer de paradigme ? »

Les signaux de la Cour des comptes sont tous alarmants. Le débat sur l'endettement de la France enflamme la présidentielle. La dette devient-elle hors de contrôle ? Faut-il des solutions douloureuses ou une vraie alternative à nos finances publiques ?

Idées & Débats
agir

OPINION. « Redonner aux jeunes le pouvoir d’agir : quand entreprendre remet en mouvement »

Par les 25 membres du collectif Entr&prends ton Avenir et 13 représentants de l’écosystème associatif de la jeunesse.

Idées & Débats
Julien Chaverou

OPINION. « Pour un pacte de soutien a l’ameublement français et europeen »

La France et l’Europe ont une histoire longue et remarquable dans le secteur de la décoration et de l’ameublement. Les trois dernières décennies ont changé radicalement les méthodes, les moyens et les habitudes. Aujourd’hui, comme dans la mode, il y a ce sentiment étourdissant que, soudain, tout s’écroule.

Idées & Débats
Amaury Goguel

OPINION. « Et si les grilles d’analyse des Institutions Financières Internationales alimentaient les polycrises ? »

La décision est passée presque inaperçue. Pourtant, en septembre 2025, Pékin a provoqué un véritable séisme silencieux dans la gouvernance mondiale en renonçant officiellement à son statut de « pays en développement » à l’Organisation mondiale du commerce.

Idées & Débats
Sarah Bagnon-Szkoda

OPINION. « CSRD : le reporting de durabilité entre dans son âge de raison »

La CSRD a d’abord été perçue comme une contrainte. Une norme de plus, venant s’ajouter à un environnement réglementaire déjà dense. Sa mise en œuvre a souvent été vécue comme un chantier lourd, technique, coûteux, déployé dans des délais serrés par des entreprises déjà saturées par les obligations de reporting.

Idées & Débats