Bye-bye la base de données Common Vulnerabilities and Exposures (CVE). Et bienvenue à celle, européenne, European Union Vulnerability Database (EUVD)? Ces derniers jours, sur fond d’incertitudes sur le financement de la base CVE, l’existence d’une alternative européenne a été saluée sur les réseaux sociaux.
“Nous ne pouvons plus dépendre d’une seule entité étrangère – aussi bienveillante soit-elle – pour gérer un pilier aussi critique de la cybersécurité mondiale”, remarquait par exemple sur LinkedIn Brice Vercoustre, le directeur technique de Shadow.
“L’EUVD, ce n’est pas un doublon : c’est un filet de sécurité”, ajoutait-il. Une véritable “garantie européenne dans un débat qui nous concerne tous”, estimait-il enfin.
Directive NIS 2
Actuellement en version bêta, l’EUVD est en effet accessible en ligne depuis peu. Les vulnérabilités, cataloguées selon des identifiants EUVD, CVE et GSD (pour Global security Database, un programme porté par la Cloud Security Alliance), peuvent être distinguées selon leur criticité. On y retrouve également leur description ou la date de la dernière mise à jour.
Toutefois, malgré le télescopage de calendrier, l’Enisa, l’agence de cybersécurité européenne qui pilote ce programme, n’a pas attendu les déboires budgétaires de l’organisation à but non lucratif MITRE pour avancer.
Comme elle l’expliquait par exemple il y a dix mois, le développement et le maintien de cette base de données européenne s’inscrit dans le cadre de la directive NIS 2. Ce texte, qui vise notamment à améliorer le signalement de vulnérabilités, prévoit logiquement le maintien par l’Enisa d’une base de données européenne des vulnérabilités.
Complémentarité
Celle-ci doit permettre “un accès transparent à des informations enrichies sur les vulnérabilités provenant de sources multiples, telles que les CSIRT, les fournisseurs, ainsi que les bases de données existantes”, précisait l’agence européenne. “Afin d’aider les organisations à améliorer l’efficacité du tri et de la priorisation des efforts de gestion des vulnérabilités, l’EUVD introduit l’automatisation en soutenant le Cadre consultatif commun de sécurité”, soulignait enfin l’Enisa.
L’agence fait ici référence à un format standardisé qui doit simplifier le tri et la sélection des vulnérabilités annoncées. Il faut toutefois à tempérer les choses. Si l’avancée du projet européen est à saluer, il semble encore trop tôt pour y voir une réelle alternative à CVE.
Les deux programmes apparaissent plutôt comme complémentaires. “Outre les avis et bulletins publiés par les fournisseurs et les CSIRT, la principale source de données est la base de données du programme CVE”, rappelle d’ailleurs la foire aux questions de l’Enisa sur le sujet. Reste qu’il s’agit d’un premier pas bienvenu.