NIST to stop rating non-priority flaws due to volume increase

1 minute de lecture

Mis à jour : April 19, 2026

Évolution de la gestion des vulnérabilités au NIST

Face à une explosion de 263 % du volume de soumissions de vulnérabilités, le NIST a annoncé une modification majeure dans le fonctionnement de la National Vulnerability Database (NVD). Pour pallier l’incapacité opérationnelle à enrichir l’intégralité des entrées, l’organisme concentre désormais ses ressources d’analyse sur les failles présentant un risque systémique majeur.

Points clés :

Changement opérationnel : Le NIST cessera d’assigner des scores de sévérité et des détails techniques détaillés aux vulnérabilités jugées de « basse priorité ».
Statut « Not Scheduled » : Les failles ne répondant pas aux critères de priorité seront listées sans analyse approfondie par le NIST. Seule la notation initiale fournie par la CVE Numbering Authority (CNA) d’origine sera conservée.
Critères de priorisation : Seules les vulnérabilités remplissant l’un des critères suivants bénéficieront d’une analyse complète :
- Présence dans le catalogue Known Exploited Vulnerabilities (KEV) de la CISA.
- Impact sur les logiciels du gouvernement fédéral américain.
- Classification en tant que « logiciel critique » selon l’Executive Order 14028.

Vulnérabilités :

Aucune CVE spécifique n’est mentionnée, car la mesure s’applique de manière générale à toutes les futures soumissions ne répondant pas aux nouveaux critères de priorité.

Recommandations :

Vigilance accrue : Les organisations ne doivent plus compter exclusivement sur l’analyse enrichie du NIST pour évaluer le risque de l’ensemble de leur parc informatique.
Utilisation des sources primaires : Il est conseillé de se référer directement aux informations fournies par les CVE Numbering Authorities (CNA) ou les éditeurs logiciels pour les vulnérabilités classées « Not Scheduled ».
Demandes d’enrichissement : Pour les failles non prioritaires jugées critiques par une organisation, le NIST accepte des demandes d’analyse manuelle via l’adresse de contact dédiée : nvd@nist.gov.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

NIST to stop rating non-priority flaws due to volume increase

Évolution de la gestion des vulnérabilités au NIST

Partager sur

Vous pourriez aimer

Vercel confirms breach as hackers claim to be selling stolen data

Incident de sécurité chez Vercel : Compromission de données internes

CFITSIO Fuzzing: Memory Corruptions and a Codex-Assisted Pipeline

Automatisation de la recherche de vulnérabilités via IA : Étude de cas sur CFITSIO

Apple account change alerts abused to send phishing emails

Détournement des notifications Apple pour des campagnes de phishing par rappel téléphonique

[Webinar] Eliminate Ghost Identities Before They Expose Your Enterprise Data

Sécurisation des identités non-humaines : le risque des « comptes fantômes »