Retour à l'accueil

NIST Priorise les CVE : Qu'est-ce qui a Changé dans le NVD

NIST a introduit une priorisation du traitement des CVE dans le NVD en raison d'une augmentation brutale du nombre de vulnérabilités. Désormais, seules les CVE à haut risque reçoivent une analyse complète. L'article explique les nouveaux critères, les changements dans les flux de travail et les implications pour l'industrie.

NIST Change les Règles du Jeu : Seules les CVE Critiques Recevront un Traitement
Advertisement 728x90

## NIST lance la priorisation des CVE : Comment cela va changer la gestion des vulnérabilités

L’Institut national des normes et de la technologie (NIST) a officiellement adopté un modèle basé sur le risque pour le traitement des vulnérabilités. À partir du 15 avril 2026, seuls les CVE répondant à des critères de priorité stricts recevront un traitement analytique complet dans la National Vulnerability Database (NVD). Les autres seront marqués comme « Not Planned ». Cette décision fait suite à une augmentation de 263 % des demandes de CVE entre 2020 et 2025 et à l’impossibilité de maintenir le niveau précédent d’enrichissement manuel des données.

Pourquoi NIST a changé son approche de traitement des CVE

Le volume de données sur les nouvelles vulnérabilités a atteint un point critique. En 2025, la NVD a enregistré près de 42 000 CVE — une augmentation de 45 % par rapport à toute année précédente. Durant les trois premiers mois de 2026, les demandes ont encore progressé d’un tiers. Pendant ce temps, les ressources du NIST sont limitées, et la vérification manuelle et l’enrichissement de chaque enregistrement exigent un temps et un personnel considérables.

Auparavant, le NIST visait à fournir des informations uniformes et complètes pour toutes les vulnérabilités : scores CVSS, détails techniques et liens vers les correctifs. Désormais, l’institut reconnaît que ce modèle est dépassé. L’objectif de la nouvelle stratégie est de se concentrer sur les vulnérabilités ayant le plus fort potentiel d’impact étendu sur les infrastructures et la sécurité.

Google AdInline article slot

Critères de priorisation : Quels CVE seront traités

Selon la politique mise à jour, un traitement complet dans la NVD est garanti uniquement pour les catégories suivantes de vulnérabilités :

  • Vulnérabilités incluses dans le catalogue Known Exploited Vulnerabilities (KEV) de l’Agence de cybersécurité et de sécurité des infrastructures (CISA) des États-Unis ;
  • Vulnérabilités dans les logiciels utilisés par le gouvernement fédéral des États-Unis ;
  • Vulnérabilités dans les logiciels critiques tels que définis par l’Executive Order 14028. Ces logiciels incluent les systèmes qui :

- Opèrent avec des privilèges élevés ou gérés ;

- Ont un accès privilégié aux ressources réseau ou informatiques ;

Google AdInline article slot

- Contrôlent l’accès aux données ou aux technologies opérationnelles ;

- Fonctionnent au-delà des frontières de confiance normales avec des droits étendus.

Tous les autres CVE recevront automatiquement le statut « Not Planned ». Cela ne signifie pas qu’ils sont supprimés de la base de données — ils y restent, mais sans analyse supplémentaire du NIST.

Google AdInline article slot

Changements dans les workflows de la NVD

En plus de la priorisation, le NIST a apporté plusieurs ajustements techniques et procéduraux :

  • Plus de scores CVSS en double : Si le programme CVE a déjà fourni un score de gravité, le NIST n’en émettra plus le sien.
  • Réanalyse uniquement pour impact significatif : Les modifications apportées à des CVE déjà traités ne déclencheront pas de révision automatique, sauf si elles affectent substantiellement les données de traitement.
  • Déplacement en masse des anciens enregistrements : Tous les CVE non traités publiés avant le 1er mars 2026 ont été déplacés vers le statut « Not Planned », à l’exception de ceux déjà dans le KEV.
  • Mises à jour de l’interface et des étiquettes : Le tableau de bord de la NVD affiche désormais le statut de traitement en temps réel pour chaque vulnérabilité.

Les utilisateurs peuvent demander le traitement d’un CVE spécifique en envoyant un e-mail à [email protected]. Cependant, le NIST se réserve le droit de refuser si la vulnérabilité ne répond pas aux critères de risque.

Implications pour l’industrie et les pratiques de sécurité

Cette décision marque la fin de l’ère de l’évaluation centralisée et gouvernementale de toutes les vulnérabilités. Comme le note Caitlin Condon (VulnCheck), « nous ne vivons plus dans un monde où l’enrichissement manuel des nouvelles vulnérabilités est une stratégie viable ».

Pour les organisations, cela signifie un virage vers une gestion proactive des risques :

  • Intégration de sources de données externes (y compris les plateformes commerciales et les flux open source) ;
  • Automatisation de la priorisation en fonction du contexte : exploitation active, inclusion dans le KEV, et utilisation dans votre propre infrastructure ;
  • Abandon de la dépendance aveugle aux scores CVSS au profit d’une analyse de l’exploitabilité réelle et de l’impact métier.

David Lindner (Contrast Security) souligne : « S’appuyer sur un ensemble de données précieuses et soigneusement sélectionnées est bien plus efficace pour la résilience nationale que de maintenir une archive exhaustive mais ingérable de chaque faille mineure. »

Points clés à retenir

  • Le NIST ne traite plus tous les CVE — seulement ceux répondant à des critères à haut risque.
  • Les vulnérabilités non prioritaires restent dans la NVD mais sans scores CVSS ni analyse supplémentaire du NIST.
  • Les organisations doivent repenser leurs processus de gestion des vulnérabilités, en mettant l’accent sur le contexte et les menaces réelles.
  • Les demandes de traitement de CVE non prioritaires sont possibles mais ne sont pas garanties d’être prises en compte par le NIST.
  • La tendance va vers une décentralisation et une spécialisation dans l’écosystème de la cybersécurité.

— Editorial Team

Advertisement 728x90

Lire ensuite