Portail
Forum
Devolutions Force
Hub Business
Hub Personal
Devolutions Send
Devolutions Academy
RDM
Workspace
Launcher
Au début du mois, la Cybersecurity and Infrastructure Security Agency (CISA) a présenté un ensemble de priorités essentielles qui orienteront le programme Common Vulnerabilities and Exposures (CVE) dans les années à venir. Ces nouveaux objectifs marquent un changement majeur : passer d’une stratégie centrée sur la croissance à une approche visant la qualité des données, des partenariats, de l’administration et des communications.
Dans cet article, nous donnons un aperçu du programme CVE et mettons en lumière les principaux changements annoncés. Nous partageons également les observations et conseils de l’un des spécialistes en sécurité opérationnelle de Devolutions.
À propos du programme CVE
Lancé en 1999, le programme CVE — financé par la CISA et administré par la MITRE Corporation — est devenu la norme mondiale pour l’identification, la définition, le catalogage et la divulgation publique des vulnérabilités en cybersécurité.
Un élément central du programme est un vaste réseau mondial d’autorités de numérotation CVE (CNAs). Ces organisations sélectionnées sont habilitées à attribuer des identifiants uniques aux nouvelles vulnérabilités découvertes, et à publier des informations à leur sujet dans la liste CVE sous forme d’enregistrements officiels.
Nous sommes fiers de souligner qu’en 2021, Devolutions a été autorisé par le programme CVE comme CNA pour nos produits Remote Desktop Manager et Devolutions Server.
De la croissance à la qualité
La dernière décennie a été qualifiée « d’ère de croissance » du programme CVE, marquée par une forte augmentation de son influence mondiale. Durant cette période, le nombre de CNAs est passé de quelques dizaines à plus de 460 actuellement.
Désormais, la CISA annonce que la prochaine étape du programme sera marquée par un accent sur la qualité. Parmi les engagements et priorités de cette nouvelle « ère de la qualité » :
- Expansion des partenariats communautaires : établir une meilleure représentation d’organisations et de gouvernements internationaux, du milieu universitaire, des fournisseurs d’outils de vulnérabilité, des consommateurs de données, des chercheurs en sécurité, des technologies opérationnelles et des communautés open source.
- Parrainage gouvernemental : la CISA considère le programme CVE comme un bien public essentiel nécessitant un investissement constant, tout en maintenant sa neutralité pour éviter les biais. Elle étudiera donc des mécanismes de financement diversifiés respectant ces exigences.
- Modernisation : accélérer l’intégration d’améliorations technologiques comme l’automatisation pour améliorer les services CNA, élargir le support API pour les consommateurs de données, et renforcer CVE.org.
- Transparence et communications : solliciter et intégrer activement les retours de la communauté, tout en communiquant régulièrement les étapes et métriques aux parties prenantes.
- Amélioration de la qualité des données : collaborer avec l’industrie et les gouvernements internationaux pour créer une nouvelle standardisation, avec des mécanismes fédérés pour enrichir les données de vulnérabilité, et étendre la capacité des Authorized Data Publishers (ADP).
- Améliorations du CNA de dernier recours (LR) : prioriser la transparence, la réactivité et l’enrichissement des données dans tous les enregistrements CVE, tout en favorisant la croissance de la communauté CNA.
Perspectives et conseils de notre Responsable de la sécurité de l’information Patrick Pilotte
Chez Devolutions, la gestion mature de la sécurité et des vulnérabilités a toujours été une priorité, comme en témoignent nos certifications SOC 2 Type II et SOC 3, plusieurs prix Global InfoSec Awards, notre rôle de CNA dans le programme CVE, ainsi que d’autres jalons documentés dans notre Centre de Confiance.
Nous nous réjouissons de voir que le programme CVE s’engage à améliorer la qualité sur plusieurs plans. Si cette vision est appliquée efficacement dans les prochaines années, elle renforcera encore davantage le programme CVE comme norme mondiale en matière de transparence, de coordination et de gestion efficace des vulnérabilités.
Plus concrètement, nous espérons voir des améliorations majeures dans la rapidité et la constance d’attribution et de publication des enregistrements CVE. C’est crucial, surtout à mesure que davantage d’organisations s’appuient sur des environnements SaaS et cloud, où les vulnérabilités peuvent avoir un impact massif. Une collaboration accrue entre CNAs, éditeurs et chercheurs sera également clé pour rendre le programme encore plus efficace pour toutes les entreprises, y compris les PME qui manquent souvent de ressources dédiées à la sécurité.
Nous considérons que cette évolution du programme CVE est une avancée positive pour toute la communauté cybersécurité. Chez Devolutions, nous restons engagés à jouer pleinement notre rôle en tant que CNA et à contribuer à un écosystème numérique plus sûr pour tous.
