La controverse autour des CVE offre une opportunité d'amélioration

Un débat intense sur la meilleure façon d'administrer le suivi des vulnérabilités et expositions communes (CVE) est en cours suite à la décision de dernière minute de l'administration Trump de continuer à financer cet effort pour les 11 prochains mois.

Aujourd'hui, les CVE reçoivent chacun un nom unique dans le cadre d'un programme financé par le gouvernement fédéral et administré par la MITRE Corporation. Toute nouvelle vulnérabilité découverte peut être signalée à une autorité de numérotation CVE (CNA) qui aide à administrer le programme. Ces données sont ensuite largement partagées avec les fournisseurs de cybersécurité qui les utilisent pour alerter les clients et, le cas échéant, aider à remédier à la cause première du problème.

Il existe cependant d’autres approches pour suivre les CVE. Par exemple, une fondation CVE à but non lucratif a été créée pour défendre une approche alternative pour gérer ce processus. Les membres du conseil d’administration de la CVE Foundation comprennent jusqu’à présent des professionnels de la cybersécurité issus de diverses entreprises technologiques, ainsi que de la Cybersecurity Infrastructure and Security Agency (CISA) et du National Institute of Standards and Technology (NIST).

On ignore encore dans quelle mesure le gouvernement américain soutiendra cette initiative, mais d'autres gouvernements à travers le monde ont clairement exprimé leurs préoccupations quant à la gestion du processus CVE. Par exemple, l'année dernière, l'Union européenne (UE) a créé l'Agence de l'Union européenne pour la cybersécurité (ENISA) pour gérer la base de données de vulnérabilité de l'Union européenne (EUVD). À l'instar de la base de données nationale sur les vulnérabilités (NVD) mise en place par les États-Unis, l'EUVD organise les problèmes en fonction de leur identifiant unique attribué par le CVE, documente leur impact et fournit des liens vers des conseils et des correctifs.

Potentiel changement d'approche vis-à-vis des CVE

Il faudra peut-être attendre un certain temps avant de parvenir à un quelconque consensus sur la meilleure façon de gérer le signalement des CVE, mais tout compte fait, il y a peut-être une opportunité d'amélioration. De nombreux chercheurs en cybersécurité sont désormais incités à découvrir des vulnérabilités potentielles qui ne sont peut-être pas particulièrement critiques. En réalité, il n'est pas rare que les niveaux de gravité attribués aux CVE fassent l'objet de vives controverses, à une époque où les chercheurs en cybersécurité rivalisent pour découvrir la prochaine menace majeure.

Les indices de gravité des CVE sont également une source de discorde entre les équipes de cybersécurité et les équipes de développement d'applications. De nombreux développeurs d'applications n'apprécient pas de rechercher des vulnérabilités pour finalement découvrir qu'elles ne sont accessibles que dans de rares cas. La plupart des développeurs ne peuvent consacrer qu'un temps limité chaque mois à la correction des applications existantes. Par conséquent, lorsque ces efforts sont vains, ils ont tendance à accorder encore moins d'attention aux alertes.

À terme, les progrès de l'intelligence artificielle permettront bientôt non seulement de détecter plus facilement les vulnérabilités, mais aussi de les corriger en mettant en évidence des extraits de code faciles à appliquer sans perturber le fonctionnement d'une application.

Dans le même temps, les équipes chargées de la cybersécurité devraient toutefois accorder une attention accrue à la manière dont le processus CVE est géré. L’identification des menaces en fonction des indices de gravité associés au suivi des CVE n’est pas suffisante. Une analyse de 110 millions d’alertes de sécurité menée par OX Sécurité, par exemple, a révélé que seules 2 % à 5 % nécessitent une action immédiate, plus de 95 % étant considérées comme informatives. Cela ne veut pas dire que les alertes doivent être ignorées, mais cela illustre clairement qu'elles doivent être évaluées avec soin que les équipes de cybersécurité ne décident de déclencher l'alarme.