La Fondation CVE reprend le programme de cybersécurité
Un programme essentiel de cybersécurité est sur le point d’échouer alors qu’une fondation à but non lucratif cherche à prendre le relais.
La base de données CVE (Common Vulnerability and Exposures), actuellement gérée par l’entreprise de cybersécurité MITRE, détaille les vulnérabilités potentielles du matériel et des logiciels pour les systèmes du monde entier au cours des 25 dernières années.
Ce programme est de plus en plus important pour garantir la sécurité des systèmes automobiles et embarqués, mais le MITRE a signalé mercredi que le gouvernement américain ne renouvellerait pas son financement pour le programme CVE.
- Vulnérabilité détectée dans toutes les grandes architectures de processeurs
- Modèle de cybersécurité pour les systèmes embarqués
En réponse, la Fondation CVE a été officiellement créée aujourd’hui pour assurer la viabilité, la stabilité et l’indépendance à long terme du programme CVE. Les membres du conseil d’administration de CVE ont de plus en plus exprimé leur inquiétude quant à la durabilité et à la neutralité d’une ressource mondialement reconnue et liée à un seul sponsor gouvernemental.
« Bien que nous ayons espéré que ce jour n’arriverait pas, nous nous sommes préparés à cette éventualité », a déclaré la fondation, qui a passé l’année dernière à élaborer une stratégie de transition de CVE vers une fondation dédiée à but non lucratif. « La promesse d’un financement temporaire, bien que très appréciée, n’élimine pas la nécessité d’une planification de la continuité des activités afin d’éviter tout point de défaillance unique dans le programme CVE.
La fondation se concentrera uniquement sur la poursuite de la mission d’identification des vulnérabilités de haute qualité et sur le maintien de l’intégrité et de la disponibilité des données pour les développeurs du monde entier.
- Premier développeur DDS pour la sécurité automobile
- Vulnérabilité des équipements industriels face aux chutes de glace
« CVE, en tant que pierre angulaire de l’écosystème mondial de la cybersécurité, est trop important pour être lui-même vulnérable », a déclaré Kent Landfield, l’un des responsables de la Fondation. « Les professionnels de la cybersécurité du monde entier s’appuient sur les identifiants et les données CVE dans le cadre de leur travail quotidien, qu’il s’agisse d’outils et d’avis de sécurité, de renseignements sur les menaces ou de réponses à ces dernières. Sans CVE, les défenseurs sont fortement désavantagés face aux cyber-menaces mondiales ».
La question clé est maintenant de savoir comment réunir les fonds nécessaires et ce que cela signifie pour la gouvernance de la fondation. Les gouvernements occidentaux seraient prêts à soutenir la base de données, car la sécurité industrielle et automobile est une stratégie clé. De même, de grandes entreprises mondiales telles que Microsoft et Google pourraient bien être des bailleurs de fonds.
« La création de la Fondation CVE marque une étape importante dans l’élimination d’un point de défaillance unique dans l’écosystème de la gestion des vulnérabilités et dans la garantie que le programme CVE reste une initiative communautaire de confiance à l’échelle mondiale. Pour la communauté internationale de la cybersécurité, cette initiative représente une opportunité d’établir une gouvernance qui reflète la nature globale du paysage des menaces d’aujourd’hui ».
Au cours des prochains jours, la Fondation publiera de plus amples informations sur sa structure, la planification de la transition et les possibilités d’implication de la communauté au sens large.
Si vous avez apprécié cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à :
