NIST Limits CVE Enrichment After 263% Surge in Vulnerability Submissions
Mis à jour :
Évolution de la gestion des CVE par le NIST : vers une approche basée sur le risque
Face à une augmentation massive des soumissions de vulnérabilités (+263 % entre 2020 et 2025), le NIST a modifié ses opérations pour se concentrer uniquement sur les failles présentant un risque systémique élevé.
Points clés :
- Priorisation sélective : Depuis le 15 avril 2026, le NIST n’enrichit automatiquement que les vulnérabilités répondant à des critères stricts. Les autres sont marquées comme « Non planifiées » (Not Scheduled).
- Critères d’enrichissement :
- Présence dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA.
- Logiciels utilisés au sein du gouvernement fédéral américain.
- Logiciels critiques définis par l’Executive Order 14028.
- Changement de politique : Le NIST ne fournira plus systématiquement de score de sévérité si celui-ci a déjà été attribué par l’autorité de numérotation des CVE (CNA).
- Fin d’un modèle : Les experts soulignent la fin de la dépendance à une base de données gouvernementale unique et exhaustive, incitant les entreprises à adopter une gestion des risques basée sur le renseignement sur les menaces (threat intelligence).
Recommandations pour les organisations :
- Demande d’enrichissement : Il est possible de solliciter manuellement l’enrichissement d’une CVE critique non traitée en contactant
nvd@nist[.]gov. - Diversification des sources : Ne plus s’appuyer uniquement sur le NVD du NIST. Adopter des approches automatisées et multi-sources pour identifier les vulnérabilités exploitables dans votre environnement spécifique.
- Focus sur l’exploitabilité : Prioriser la remédiation en se concentrant sur les vulnérabilités réellement exploitées (catalogue CISA KEV) et sur les mesures d’exploitabilité plutôt que sur les scores de sévérité théoriques.