L'actualité du MITRE sur le financement du CVE : la gestion des vulnérabilités, la cybersécurité et la souveraineté numérique en question
L’actualité et les rebondissements récents concernant le financement du programme « CVE » (« Common Vulnerabilities and Exposures ») soulignent l’importance d’un dispositif souverain en matière de cybersécurité. Pour les experts de la Cyber Threat Intelligence d'Orange Cyberdefense, il est essentiel d'aborder le sujet de la souveraineté économique et numérique et de réaffirmer notre capacité à apporter des réponses efficaces dans ce cadre.
Rebondissements concernant le financement du CVE : simple secousse ou tremblement de terre pour les acteurs de la cybersécurité ?
Fondée en 1958, MITRE Corporation est une organisation américaine à but non lucratif, qui soutient les initiatives en recherche et développement dans divers domaines, dont la cybersécurité. Parmi ses activités, déléguées par le « Cybersecurity and Infrastructures Security Agency » (CISA), se trouve le pilotage du programme « Common Vulnerabilities and Exposures » (« CVE »). Ce programme consiste depuis 25 ans au maintien d'une base de données internationale dédiée aux vulnérabilités connues en matière de cybersécurité.
La publication d’un communiqué présentant l’expiration du contrat liant MITRE et le programme CVE, et donc la fin du financement de ce dernier, a bouleversé l'écosystème de la cybersécurité, avant que ne soit annoncé un revirement aussi soudain qu’inattendu. Cette séquence, quoique brève, a permis de soulever un enjeu capital : celui de bénéficier d’une solution souveraine et indépendante en matière de cybersécurité.
Dans ce contexte d'incertitude, les organisations publiques et privées doivent renforcer leur stratégie de cyberdéfense en s'appuyant sur des partenaires de confiance pour anticiper la menace. La gestion des vulnérabilités est un bien commun dont nous devons nous préoccuper pour construire notre résilience numérique. C’est un pilier stratégique dans le domaine de la cyberdéfense.
Orange Cyberdefense : un savoir-faire unique en identification et gestion des vulnérabilités
Depuis plusieurs décennies, Orange Cyberdefense a constitué, développé et enrichi sa propre base de données de vulnérabilités. Une ressource qui nous permet de disposer d’un niveau d’autonomie certain dans la collecte, l’analyse et la diffusion de renseignements d’intérêt cyber qui constitue le coeur de notre « Cyber Threat Intelligence ». Dédiée à la gestion des vulnérabilités, cette base de données est alimentée par plusieurs sources, internes mais aussi externes : nos fournisseurs, la plateforme GitHub, les conférences dédiées à la cybersécurité, les médias sociaux, les articles de blogs spécialisés... Voici quelques données chiffrées pour mieux comprendre l'activité et le périmètre d'Orange Cyberdefense :
- 270 000 ressources analysées chaque mois, qui alimentent notre base de données depuis 2000 ;
- 5 000 produits surveillés : systèmes d'exploitation, logiciels bureautiques, produits réseaux, solutions de sécurité, solutions collaboratives... ;
- 40 experts mondiaux en vulnérabilités au sein de notre « CERT », positionné comme le 1er « Computer Emergency Response Team » privé en Europe ;
- 12 000 alertes de vulnérabilités publiées en 2024 ;
- 470 bulletins (ou « advisories ») publiés en 2024 par notre ressource de veille World Watch ;
- Notre base de données dédiée à la gestion des vulnérabilités « VOC » (« Vulnerability Operations Center » ou « Centre Operationnel de Vulnérabilités ») comprend 68 509 références, avec 1 337 797 résultats uniques (Source : Security Navigator 2025, Orange Cyberdefense).
Ce savoir-faire, renforcé par des outils avancés, sont des composants majeurs de notre Cyber Threat Intelligence. Consultez notre rapport Security Navigator 2025 pour en savoir plus sur les enjeux de souveraineté numérique et économique et comment les équipes d'Orange Cyberdefense peuvent vous accompagner sur ces enjeux.