Le financement a été restauré pour un programme de cybersécurité crucial utilisé par des géants de la technologie comme Apple. Bien que cette décision ait été saluée par les experts en sécurité, l’avenir du programme des CVE demeure incertain, soulevant des préoccupations quant à sa pérennité.
Le financement fédéral a été rétabli pour un programme de cybersécurité crucial utilisé par Apple et d’autres géants de la technologie, dans un retournement de situation de dernière minute. Des experts en sécurité avaient qualifié la décision initiale de supprimer le financement de stupide, dangereuse et chaotique.
Cependant, l’avenir du programme des Vulnérabilités et Expositions Communes (CVE) demeure incertain, malgré son rôle dans l’aide à l’identification et la correction des failles de sécurité découvertes dans les produits des grandes entreprises technologiques.
Le programme de sécurité CVE
Le programme CVE offre un moyen simple et efficace pour toute personne ou organisation de signaler une vulnérabilité de sécurité qu’elle a trouvée dans n’importe quel produit technologique. Une fois qu’une vulnérabilité est signalée, elle se voit attribuer un identifiant unique composé de CVE- suivi de l’année et d’un numéro de série. Cela permet aux autres de constater que le problème a été signalé et d’effectuer leurs propres investigations pour aider l’entreprise concernée à déterminer la gravité du problème.
Lorsque plusieurs entreprises technologiques doivent agir face à une vulnérabilité, le système CVE les aide à coordonner leurs efforts. Des entreprises comme Apple, Google et Microsoft font partie des nombreuses sociétés à compter sur ce système.
Bien que le programme soit sous l’égide du Département de la Sécurité intérieure des États-Unis, son travail est sous-traité à une société privée, The MITRE Corporation.
Trois développements en 24 heures
Les événements ont commencé lorsque MITRE a annoncé que le financement fédéral avait été supprimé, avec seulement un jour de préavis. Les professionnels de la sécurité ont rapidement exprimé leur incrédulité et leur consternation face à cette décision.
Peu de temps après, un membre du conseil d’administration de CVE a déclaré qu’ils avaient discrètement travaillé sur un plan de contingence pour cette éventualité et ont annoncé la création d’une Fondation CVE. Cependant, aucune information n’a été fournie sur la manière dont cette fondation serait financée, bien que l’on ait supposé que Apple et d’autres géants technologiques contribueraient probablement à celle-ci.
Dans le développement le plus récent, Reuters a rapporté un retournement de situation de la part du gouvernement, affirmant que le financement allait continuer.
Les représentants américains prolongeront le soutien pendant 11 mois pour une base de données des vulnérabilités informatiques qui joue un rôle crucial dans la lutte contre les bogues et les piratages, a déclaré un porte-parole mercredi, juste au moment où le financement était sur le point d’expirer […]
Ce revirement de dernière minute, après que l’importance du service ait été mise en avant publiquement, est un autre exemple de la confusion au sein du gouvernement alors que l’administration du président américain Donald Trump opère des coupes drastiques dans les dépenses publiques.
Le vice-président de MITRE en charge du programme a exprimé sa reconnaissance envers la communauté de la sécurité.
« Nous apprécions le soutien écrasant pour ces programmes qui a été exprimé par la communauté mondiale de la cybersécurité, l’industrie et le gouvernement au cours des dernières 24 heures », a déclaré Barsoum.
L’incertitude demeure
Alors que la pression immédiate est levée, l’avenir à long terme du programme reste flou. Il n’y a eu aucune indication quant à savoir si le retournement de situation est temporaire ou permanent, et il est incertain si le conseil d’administration de CVE poursuivra des plans pour une fondation indépendante à but non lucratif afin d’essayer de prendre en charge le financement.
Accessoires mis en avant
Photo par Roman Synkevych sur Unsplash
Mon avis :
La récente restauration du financement du programme Common Vulnerabilities and Exposures (CVE) est une victoire pour la communauté de la cybersécurité, soulignant son importance cruciale pour l’identification des failles dans les produits technologiques. Toutefois, l’incertitude sur la durabilité de ce soutien et la possibilité d’un fonds indépendant soulèvent des inquiétudes sur l’avenir du programme.
Les questions fréquentes :
Quel est le rôle du programme CVE dans la cybersécurité ?
Le programme CVE (Common Vulnerabilities and Exposures) fournit un moyen facile et efficace pour toute personne ou organisation de signaler une vulnérabilité de sécurité qu’elle a trouvée dans un produit technologique. Cela permet aux entreprises de mieux identifier et corriger les failles de sécurité dans leurs produits.
Pourquoi le financement du programme CVE a-t-il été restauré ?
Le financement fédéral a été restauré à la suite d’une réaction rapide et négative de la part des experts en sécurité, qui ont qualifié la décision de couper les fonds de stupide, dangereuse et chaotique. Après la pression publique, le gouvernement a finalement décidé de prolonger le financement.
Quelle est l’incertitude concernant l’avenir du programme CVE ?
Bien que le financement immédiat ait été prolongé, l’avenir à long terme du programme CVE reste incertain. Il n’est pas clair si ce retour en arrière est temporaire ou permanent, et il existe des questionnements sur les plans du conseil CVE concernant la création d’une fondation à but non lucratif indépendante pour financer le programme.
Quel impact aura la création de la CVE Foundation ?
La création d’une CVE Foundation pourrait potentiellement fournir une solution de financement stable, mais aucun détail n’a été donné sur la manière dont elle sera financée. Les spéculations suggèrent que de grandes entreprises technologiques, telles qu’Apple, pourraient être invitées à contribuer.
