Klaerenn
⌘K
Klaerenn
Tribunes

La vulnérabilité de la gestion des vulnérabilités : quand le système censé nous protéger devient notre point faible

Le système mondial CVE, censé nous protéger, est lui-même devenu une vulnérabilité critique. En 2024, son financement a failli s'interrompre. Analyse d'une fragilité structurelle.
La vulnérabilité de la gestion des vulnérabilités : quand le système censé nous protéger devient notre point faible

Le paradoxe originel : un système critique sans garantie de pérennité

L'ironie est cruelle : le système mondial de gestion des vulnérabilités informatiques, censé être le pilier de notre cybersécurité collective, est lui-même devenu une vulnérabilité critique. Cette infrastructure, sur laquelle reposent les défenses de millions d'organisations à travers le monde, vacille sur des fondations précaires.

En 2024, le monde de la cybersécurité a tremblé lorsque le financement fédéral américain du programme CVE, opéré par MITRE, a failli être interrompu. In extremis, un renouvellement provisoire de 11 mois a été accordé, mais l'alerte était donnée. Cette situation précaire s'est encore aggravée début 2025, lorsque MITRE a annoncé une nouvelle crise de financement, mettant en péril la maintenance du système CVE et laissant planer l'incertitude sur sa continuité sans réforme profonde de son modèle économique.

Plus inquiétant encore, en mai 2025, la CISA (Cybersecurity and Infrastructure Security Agency) américaine a été confrontée à une réduction significative de son budget opérationnel, compromettant sa capacité à maintenir à jour le catalogue KEV (Known Exploited Vulnerabilities). Ce catalogue, devenu une référence mondiale pour prioriser les correctifs de sécurité, a vu ses mises à jour ralenties, laissant de nombreuses organisations sans directive claire sur les vulnérabilités activement exploitées par les attaquants.

Le National Vulnerability Database (NVD) du NIST, autre pilier de cet écosystème, n'est pas en meilleure posture. En février 2024, une panne technique a paralysé les mises à jour pendant plusieurs semaines, affectant plus de 60% des scanners de vulnérabilités utilisés en Europe. Le NVD a par ailleurs accumulé une "dette technique" de plus de 17 000 CVE non traités à la mi-2024, illustrant les limites d'un système centralisé face à l'explosion du volume de vulnérabilités.

Ces crises successives révèlent un paradoxe fondamental : comment un système aussi critique pour la sécurité mondiale peut-il reposer sur des financements aussi fragiles et une infrastructure aussi vulnérable ? La réponse à cette question nous amène à examiner les failles structurelles profondes du modèle dominant.

Les failles structurelles du modèle dominant

La course sans fin : l'explosion exponentielle des CVE

De la modestie à la démesure (1999-2024)

L'histoire du système CVE est celle d'une croissance devenue incontrôlable. Lancé en septembre 1999 avec seulement 321 vulnérabilités, le système semblait alors une solution élégante pour créer un langage commun de la sécurité informatique. Les premières années ont vu une croissance modeste mais gérable : en 2002, la liste CVE comptait 2 032 entrées, avec environ 150 à 200 nouvelles vulnérabilités ajoutées chaque mois.

Le tournant est venu progressivement. En 2014, face à l'approche de la limite des 10 000 CVE annuels, le format d'identification a dû être révisé (passage de CVE-YYYY-NNNN à CVE-YYYY-NNNNN+). Cette modification technique masquait une réalité plus profonde : le système commençait à être submergé par sa propre croissance.

L'accélération s'est ensuite emballée :

  • 2021 : environ 20 000 CVE par an
  • 2022 : plus de 25 000 CVE par an
  • 2023 : record historique avec plus de 29 000 CVE
  • 2024 : projection de 52 000 CVE (données d'août 2024)
  • 2025 : prévision de plus de 500 nouveaux CVE par semaine

Aujourd'hui, avec plus de 277 000 CVE cumulés dans la base MITRE, nous assistons à une multiplication par 860 du volume initial. Cette croissance exponentielle, loin d'être un signe de succès, est devenue le symptôme d'un système qui court après sa propre queue.

L'accélération insoutenable

Cette explosion quantitative s'accompagne d'une accélération qualitative tout aussi problématique. La fenêtre d'exploitation des vulnérabilités s'est dramatiquement réduite, passant de 45 jours en 2020 à seulement 15 jours en 2023. Les organisations sont prises dans une course contre la montre permanente, devant traiter un flux incessant de nouvelles vulnérabilités tout en sachant que les attaquants peuvent les exploiter de plus en plus rapidement.

La dette technique du NVD, avec ses 17 000 CVE en retard de traitement, symbolise l'impasse du modèle actuel. Le système produit plus d'alertes qu'il ne peut en traiter, créant un bruit de fond qui noie les véritables menaces dans un océan d'informations.

Le paradoxe économique : quand les attaquants adoptent le modèle startup

Face à cette situation, les attaquants sophistiqués ont développé une approche radicalement différente, adoptant ce qu'on pourrait appeler un "modèle startup" de la cyberattaque.

L'asymétrie fondamentale attaque/défense

L'asymétrie entre attaquants et défenseurs n'a jamais été aussi marquée. Comme l'ont souligné plusieurs experts en économie de la cybersécurité : "While hackers need to buy only one zero-day to succeed, targets must buy all of them." Cette formule résume parfaitement le déséquilibre structurel : pendant que les défenseurs tentent de colmater des milliers de brèches, les attaquants n'ont besoin que d'une seule faille inconnue pour réussir.

Le business model des zero-days

Les attaquants ont transformé cette asymétrie en avantage économique, adoptant une approche qui rappelle étrangement celle des startups disruptives :

L'investissement initial : Comme toute startup prometteuse, l'acquisition d'un zero-day demande un investissement conséquent. Les prix ont explosé ces dernières années :

  • 2016 : Le FBI paie 1,3 million de dollars pour un exploit iPhone
  • 2020 : Les exploits Zoom se négocient jusqu'à 500 000 dollars
  • Aujourd'hui : Certains zero-days critiques dépassent le million de dollars

Le time-to-market critique : Une fois l'investissement réalisé, la course contre la montre commence. Les attaquants doivent exploiter la vulnérabilité avant qu'elle ne soit découverte et corrigée. Cette fenêtre d'opportunité, bien que limitée, offre un accès privilégié aux cibles les plus protégées.

Le ROI extraordinaire : Malgré le coût initial élevé, le retour sur investissement peut être spectaculaire. Une seule vulnérabilité zero-day bien exploitée peut compromettre des milliers de systèmes, générant des gains financiers ou stratégiques considérables.

L'exit strategy : Comme dans le monde des startups, la sortie est planifiée dès le départ. Une fois le zero-day "brûlé" (découvert et patché), les attaquants passent simplement au suivant, perpétuant un cycle d'innovation malveillante.

L'angle mort structurel

Cette approche "startup" exploite un angle mort fondamental du système actuel. Pendant que les entreprises mobilisent des ressources considérables pour gérer plus de 25 000 nouveaux CVE par an, les attaquants se concentrent sur quelques vulnérabilités inconnues mais dévastatrices.

Les chiffres sont éloquents :

  • Avant 2022 : moins de la moitié des vulnérabilités les plus exploitées étaient des zero-days
  • 2023 : 10 des 15 vulnérabilités les plus exploitées étaient initialement des zero-days
  • 2024 : 44% des zero-days ciblent spécifiquement les technologies d'entreprise (contre 11,8% en 2019)

Ce basculement vers les zero-days n'est pas un hasard : c'est la réponse rationnelle des attaquants à un système de défense qui s'est focalisé sur la quantité au détriment de la qualité.

Le mythe de la neutralité technique

La prétention à la neutralité du système CVE/NVD masque des biais géographiques et politiques significatifs. Les scores CVSS, présentés comme des évaluations objectives, sont en réalité définis selon des critères et des priorités largement américains. La liste KEV (Known Exploited Vulnerabilities) de la CISA reflète naturellement les menaces perçues par les États-Unis, qui ne correspondent pas toujours aux réalités européennes.

L'évolution récente du CVSS illustre ces défis. La version 4.0, sortie en octobre 2023, vise à mieux prendre en compte les impacts sur les chaînes d'approvisionnement et offre une granularité accrue. Cependant, fin 2024, seuls 27% des organisations avaient migré vers cette nouvelle version, créant une fragmentation supplémentaire dans un écosystème déjà complexe.

Plus inquiétant encore, le retour de Donald Trump à la présidence américaine en 2025 et sa politique DOGE (Directorate of Government Efficiency) ont ravivé les craintes d'une instrumentalisation géopolitique de ces ressources. La probabilité de restrictions d'accès à certaines informations stratégiques de cybersécurité, autrefois considérée comme hypothétique, est désormais prise au sérieux par de nombreux experts européens, particulièrement après les récentes coupes budgétaires affectant la CISA.

La fragilité économique

Le contraste est saisissant entre la fragilité économique des infrastructures publiques de cybersécurité et la prospérité du marché des vulnérabilités. D'un côté, le programme CVE survit grâce à des financements précaires, renouvelés au coup par coup. De l'autre, le marché des zero-days affiche une santé insolente, avec des transactions se chiffrant en centaines de milliers, voire millions de dollars.

Cette disparité révèle une faille fondamentale dans le modèle économique de la cybersécurité : les incitations sont structurellement alignées en faveur de l'offensive plutôt que de la défense. Comme l'ont souligné plusieurs chercheurs, "bug bounties are far too low in relative price to be directly competitive with the offense market prices". Les programmes de récompense des éditeurs, plafonnant généralement entre 10 000 et 100 000 dollars, ne peuvent rivaliser avec les prix du marché gris où les gouvernements sont prêts à payer des millions pour des capacités offensives.

L'effet domino : quand la faille devient systémique

La panne du NVD en février 2024 a servi de révélateur brutal à la fragilité systémique de notre infrastructure de cybersécurité. Plus de 60% des scanners de vulnérabilités utilisés en Europe ont connu des perturbations significatives, créant des angles morts dans la détection des nouvelles failles pendant plusieurs semaines.

Cette paralysie en cascade a mis en lumière une dépendance critique : la majorité des outils de sécurité européens s'appuient directement sur les données du NVD pour fonctionner. Lorsque cette source unique défaille, c'est tout l'écosystème qui vacille. Les analyses post-incident ont révélé que de nombreuses organisations ont dû suspendre leurs processus de scan automatisé, laissant potentiellement des vulnérabilités critiques non détectées pendant la période de panne.

De même, la récente réduction des capacités opérationnelles de la CISA a eu un impact mondial immédiat. Plusieurs organisations européennes qui s'appuyaient sur le catalogue KEV pour prioriser leurs correctifs se sont retrouvées sans directive claire, devant improviser leurs propres méthodes de priorisation. Cette situation a créé une disparité dans les réponses aux menaces, certaines vulnérabilités activement exploitées restant non corrigées pendant des semaines.

Le risque géopolitique s'ajoute désormais à ces vulnérabilités techniques. Avec l'administration Trump et l'initiative DOGE, la possibilité que les États-Unis utilisent leur contrôle sur ces infrastructures comme levier stratégique n'est plus du domaine de la fiction. Les tensions commerciales ou diplomatiques pourraient théoriquement conduire à des restrictions d'accès, laissant l'Europe dangereusement exposée.

Vers une réinvention nécessaire

De la réaction à la prévention : changer de paradigme

Face à l'échec manifeste du modèle "patch-or-die", un changement de paradigme s'impose. La course effrénée aux correctifs, loin de renforcer notre sécurité, a créé un système où la quantité prime sur la qualité, où la réaction l'emporte sur la prévention.

La défense en profondeur, concept classique mais souvent négligé, offre une alternative prometteuse. Plutôt que de tout miser sur la correction rapide de chaque vulnérabilité, cette approche vise à créer des couches successives de sécurité. Ainsi, même si une vulnérabilité est exploitée, son impact reste limité par d'autres mécanismes de protection.

Une étude du CERT-EU analysant 200 incidents majeurs en 2022-2023 révèle que dans 78% des cas, l'impact aurait pu être significativement réduit par une architecture correctement compartimentée, même en présence de la vulnérabilité initiale exploitée. Ce constat souligne l'importance cruciale de repenser notre approche de la sécurité.

L'approche réglementaire européenne : entre perpétuation et innovation

Face à cette crise systémique, l'Europe a déployé un arsenal réglementaire qui, paradoxalement, oscille entre la perpétuation du modèle défaillant et des tentatives d'innovation.

NIS2 : l'institutionnalisation explicite d'une pratique ancienne

La directive NIS2, entrée en application en octobre 2024, représente moins une innovation qu'une formalisation explicite de pratiques déjà largement répandues. Son article 21.2(e) impose :

"Security in network and information systems acquisition, development and maintenance, including vulnerability handling and disclosure"

Cette exigence n'est pas nouvelle. Déjà présente de manière implicite dans NIS1 (2016) et dans de nombreuses réglementations sectorielles antérieures, la gestion des vulnérabilités était depuis longtemps une obligation de fait. Ce que NIS2 apporte de nouveau, c'est une harmonisation trans-sectorielle de ces exigences et une extension massive du périmètre : 160 000 entités concernées (contre 10 000 sous NIS1).

Mais fondamentalement, NIS2 perpétue et institutionnalise à grande échelle le même modèle réactif "patch everything" qui prévaut depuis des décennies. Les organisations doivent toujours corriger toutes les failles identifiées dans des délais stricts, maintenant des processus de gestion basés sur les CVE/NVD américains. Cette approche légalise la "course aux patches" avec ses 29 000+ CVE annuelles, mobilisant des ressources considérables pour une efficacité discutable face aux 0,6% de zero-days qui causent les vrais dégâts.

CRA : une véritable tentative d'innovation

Le Cyber Resilience Act (CRA), dont l'application principale est prévue pour décembre 2027, représente la première véritable rupture avec le modèle traditionnel :

  • Interdiction de commercialiser des produits avec des "vulnérabilités exploitées connues"
  • Obligation de sécurité dès la conception ("security by design")
  • Responsabilité des fabricants pendant toute la durée de vie du produit
  • Signalement des vulnérabilités dans les 24 heures

Cette approche marque un vrai changement de paradigme : plutôt que de perpétuer la responsabilité des utilisateurs finaux à "tout patcher", le CRA déplace le fardeau vers les fabricants. C'est une tentative de "fermer le robinet" des vulnérabilités à la source.

Les projections de l'ENISA suggèrent que le CRA pourrait réduire de 30% le volume de vulnérabilités critiques d'ici 2030. Cependant, même cette innovation ne résout pas le problème fondamental des zero-days exploités par les attaquants sophistiqués.

Conclusion : l'urgence d'un changement de cap

Le système actuel de gestion des vulnérabilités a atteint ses limites structurelles. La course aux patches, loin de nous protéger, a créé un environnement où les attaquants prospèrent en exploitant nos angles morts. Le paradoxe est total : le système censé nous défendre est devenu notre vulnérabilité la plus critique.

Les récentes turbulences affectant le MITRE, le NVD et la CISA nous rappellent brutalement la fragilité de cette infrastructure essentielle. Cette situation n'est pas seulement un problème technique ou organisationnel, mais une menace stratégique pour la sécurité numérique mondiale.

Il est temps de reconnaître que la perfection est impossible, que certaines vulnérabilités existeront toujours, et que la véritable résilience ne réside pas dans la quête illusoire du zéro défaut, mais dans la création de systèmes intrinsèquement résistants malgré leurs imperfections.

La vision d'un nouveau paradigme de sécurité émerge : moins réactif, plus résilient ; moins centralisé, plus distribué ; moins focalisé sur la quantité, plus attentif à la qualité. Un système qui ne court plus après les vulnérabilités mais les anticipe, qui ne se contente pas de colmater les brèches mais renforce les fondations.

La vulnérabilité de la gestion des vulnérabilités n'est pas une fatalité. C'est un appel à l'innovation, à la créativité, à la construction d'un avenir numérique plus sûr et plus résilient. Il est temps de transformer cette faiblesse systémique en force stratégique.

Dans un prochain article, j'examinerais la dépendance européenne aux standards américains de gestion des vulnérabilités et les initiatives émergentes pour construire une autonomie stratégique dans ce domaine crucial.

Initialement publié sur LinkedIn le 2025-05-09

More like this

Les faucons du numérique

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.
Le dernier canal

Le dernier canal

« Le renseignement était authentique. C'était là toute sa beauté. » Le 7 janvier, les États-Unis se sont retirés de trois forums de coopération cyber. Le 9 janvier, la CISA a clôturé dix Emergency Directives. Moins une maturation qu'un arbitrage contraint.
I Am Altering the Deal

I Am Altering the Deal

On January 7, 2026, the United States withdrew from the Hybrid CoE, the Freedom Online Coalition and the GFCE. Three Western cyber forums abandoned. European dependencies remain intact.
I Am Altering the Deal

I Am Altering the Deal

Le 7 janvier 2026, les États-Unis ont quitté le Hybrid CoE, la Freedom Online Coalition et le GFCE. Trois forums cyber occidentaux abandonnés. Les dépendances européennes, elles, restent intactes.
Final report, 2026. Third officer reporting.

Final report, 2026. Third officer reporting.

600 millions de données exposées. 50 organisations majeures compromises. EDR en place, SOC opérationnel, conformité respectée. Elles ont quand même été compromises. Bilan 2025.