Pitch Black

"You're not afraid of the dark, are you?" L'Europe navigue à la lumière des standards américains. Cette lumière s'éteint.

Le 12 février 2026, le Boulder Reporting Lab a rapporté que le National Institute of Standards and Technology (NIST) imposait un plafond de deux à trois ans aux doctorants et postdoctorants internationaux sur ses campus de Boulder (Colorado) et Gaithersburg (Maryland)¹. Jusqu'alors, les chercheurs restaient aussi longtemps que leur thèse ou leur projet l'exigeait. Sous la nouvelle politique, des expériences en cours depuis des années devront s'interrompre avant leur terme.

L'information a circulé dans les cercles scientifiques. Elle n'a pas fait de bruit dans les cercles cybersécurité. Elle aurait dû.

Le NIST opère le National Vulnerability Database sur lequel reposent les programmes de gestion des vulnérabilités de la quasi-totalité des organisations occidentales. Il a standardisé les algorithmes post-quantiques ML-KEM, ML-DSA et SLH-DSA que l'ANSSI, l'ENISA et le BSI recommandent pour la migration cryptographique². Son Cybersecurity Framework est explicitement référencé dans les standards techniques réglementaires (RTS) de DORA et dans les transpositions nationales de NIS2 en Italie, Irlande et Chypre³. Ses standards structurent le corpus de connaissances du CISSP, la certification que l'ENISA mappe sur six des douze rôles de son propre European Cybersecurity Skills Framework⁴.

Les limites empiriques des frameworks défensifs MITRE sont documentées⁵ : ATT&CK plafonné à 21% de couverture SIEM, D3FEND construit sur un corpus de brevets sans mesure d'effectivité. La question du financement fédéral dont dépend ATT&CK et celle du modèle qui remplace le detect-and-respond convergent ici : vers l'institution qui produit les standards en amont.

La restriction des chercheurs étrangers est le huitième d'une série de huit vecteurs qui frappent simultanément le NIST depuis janvier 2025. Pris isolément, chacun est un incident administratif. Leur convergence est un changement de régime.

Les huit vecteurs

1. Vacance de direction

Le NIST n'a pas eu de directeur confirmé par le Sénat depuis janvier 2025. Laurie Locascio, qui avait supervisé le lancement de l'AI Safety Institute, la finalisation des standards post-quantiques et la mise à jour des Digital Identity Guidelines, est partie diriger l'ANSI⁶. Craig Burkhardt sert comme Acting Director, un intérimaire sans mandat pour des décisions pluriannuelles en matière de budget, de recrutement ou d'orientation stratégique⁷.

Arvind Raman, doyen de l'école d'ingénierie de Purdue, nommé par Trump en novembre 2025, a été avancé par le Senate Commerce Committee en mars 2026 par un vote de parti (16-12)⁸. Devant le président de commission Ted Cruz, Raman s'est engagé à « réorienter le NIST vers sa mission apolitique et s'assurer qu'il ne serve pas de moteur pour l'idéologie d'extrême-gauche sous prétexte de "sécurité" »⁹.

En parallèle, CISA n'a pas eu de directeur confirmé depuis janvier 2025. Sean Plankey, nommé en mars 2025 puis re-nommé en janvier 2026, a retiré sa candidature le 22 avril 2026 après treize mois de blocage sénatorial : « It has become clear the Senate will not confirm me »¹⁰. Aucun successeur n'a été annoncé. L'agence a connu trois acting directors en plus d'un an, ses effectifs ont été réduits d'un tiers¹¹, et l'administration propose de nouvelles coupes dans le budget FY2027. Le NIST a fonctionné sans direction confirmée pendant plus d'un an, et CISA n'a désormais plus de candidat. Le nominé qui doit prendre la tête du NIST inscrit explicitement sa mission dans la continuité du pivot AISI → CAISI.

2. Licenciements DOGE

Soixante-treize employés probationnaires du NIST ont été licenciés le 3 mars 2025 par le Department of Commerce. 42 d'entre eux avaient été recrutés sous le CHIPS and Science Act de 2022 pour renforcer les capacités en technologies critiques (IA, quantique, semiconducteurs)¹². La menace initiale portait sur 500 postes, environ 15% de l'effectif total de 3 400 personnes¹³. Des membres de DOGE ont été aperçus dans le Building 225 du campus de Gaithersburg, le bâtiment qui abrite l'Information Technology Laboratory, avant même les annonces officielles¹⁴.

Vingt-deux parlementaires démocrates ont résumé l'enjeu dans une lettre au secrétaire au Commerce Howard Lutnick : « Removing national and international leaders from the nonpartisan and professional civil service at NIST would hamper the development of critical standards, threaten industrial and consumer safety, and weaken American leadership around the world. »¹⁵

3. Saignée des experts cybersécurité

En mai 2025, Cybersecurity Dive a documenté les départs de Matthew Scholl, chef de la Computer Security Division (CSD) au sein du NIST Information Technology Lab ; Tim Hall, responsable du groupe Security Testing, Validation and Measurements ; David Ferraiolo, responsable du groupe Secure Systems and Applications ; et David Cooper, membre de l'équipe cryptographie¹⁶.

Un ancien du NIST a qualifié ces départs de « massifs ». Nick Reese, ancien du Department of Homeland Security, a prévenu que la recherche qui fonde le travail du NIST en gestion du risque et en sécurité « will suffer from a loss of critical institutional knowledge. This will not be easy to replace. » Sur le post-quantique, son analyse est directe : « the quantum issue will need new champions or risk falling to the backburner », un résultat qui menacerait la sécurité des entreprises et des gouvernements du monde entier¹⁶.

4. Neutralisation de l'AI Safety Institute

En février 2025, la directrice de l'AISI Elizabeth Kelly a annoncé son départ. Le chef AI adviser Elham Tabassi et la responsable du programme AI Risks and Impacts Reva Schwartz sont aussi partis. Le personnel de l'AISI n'a pas été invité au AI Action Summit de Paris. Les États-Unis et le Royaume-Uni ont refusé de signer le communiqué final¹⁷.

Quatre mois plus tard, l'AISI a été renommé Center for AI Standards and Innovation (CAISI). Lutnick a commenté : « For far too long, censorship and regulations have been used under the guise of national security. Innovators will no longer be limited by these standards. »¹⁸ Le pivot est explicite. L'institut qui devait évaluer les risques de l'IA est devenu un accélérateur d'innovation.

JD Vance, au sommet de Paris : « I'm not here this morning to talk about AI safety. I'm here to talk about AI opportunity. »¹⁷

5. Tentative de coupe budgétaire de 43%

L'administration Trump a proposé de réduire le budget NIST de 1,46 milliard à 839 millions de dollars, une coupe de 43%. Le détail : 35% de réduction sur la recherche scientifique et technique, 82% sur les services technologiques industriels, 556 postes supprimés dans les Laboratory Programs¹⁹.

Face à cette proposition, le Congrès a résisté. Les crédits finaux pour FY2026 s'élèvent à 1,847 milliard, soit 21% au-dessus des niveaux FY24/25¹⁹. Mais cette résistance bipartisane repose sur un équilibre fragile : une part significative de l'augmentation provient d'earmarks fléchés vers les circonscriptions, pas vers les programmes opérationnels du NIST, et un continuing resolution rendrait à l'administration une latitude d'allocation qui contourne le vote du Congrès.

6. Abandon de l'enrichissement universel du NVD

En janvier 2026, Jon Boyens, acting chief de la Computer Security Division, a déclaré que le NIST « réévalue son rôle » dans l'analyse des vulnérabilités logicielles²⁰. Il veut « arrêter d'utiliser le mot backlog » et a exprimé du scepticisme envers le projet Vulnrichment de CISA (« I don't think it's a solution to the backlog »²⁰) et de l'inquiétude face au système européen GCVE, craignant une « balkanisation » du processus. En avril 2025, le NIST avait déjà marqué « Deferred » l'ensemble des CVE publiés avant le 1ᵉʳ janvier 2018²¹.

Trois mois plus tard, la réévaluation a abouti. Le NIST a annoncé le 15 avril 2026 qu'il cessait d'enrichir l'ensemble des CVE soumis au NVD²². Seules trois catégories seront désormais traitées en priorité : les CVE figurant dans le catalogue KEV de la CISA (objectif : un jour ouvré), les CVE affectant des logiciels utilisés par le gouvernement fédéral américain, et les CVE concernant des logiciels critiques au sens de l'Executive Order 14028. Tout le reste sera publié mais classé « Lowest Priority – not scheduled for immediate enrichment ». L'ensemble du backlog antérieur au 1ᵉʳ mars 2026 a basculé en « Not Scheduled ». Le NIST ne fournira plus de score de sévérité indépendant lorsque la CNA émettrice en a déjà attribué un²².

Quelques ordres de grandeur documentent le basculement : +263% de soumissions CVE entre 2020 et 2025. +33% au seul premier trimestre 2026 par rapport à la même période 2025. 42 000 CVE enrichis en 2025, un record absolu (+45% sur l'année précédente), insuffisant pour absorber le flux. Harold Booth, computer scientist du NIST, l'a reconnu à VulnCon26 : « Our ability to keep up is just not there »²³. Le Forum of Incident Response and Security Teams (FIRST) prévoit environ 59 000 nouveaux CVE en 2026, premier franchissement du seuil des 50 000²³. À VulnCon26, un organisateur a estimé qu'il « serait surpris si Anthropic et OpenAI n'étaient pas des CVE Numbering Authorities d'ici fin 2026 »²⁴. L'entrée en production des outils de découverte de vulnérabilités assistés par IA va accélérer le volume de soumissions au-delà de ce que le NIST peut absorber.

Explicitement américano-centrés, les trois critères de priorisation transforment le NVD. Le NVD fonctionnait comme un bien commun informationnel mondial. Il est devenu un service calibré sur les intérêts opérationnels du gouvernement fédéral américain. Pour les organisations européennes qui importaient ces données comme matière première de leurs programmes de gestion des vulnérabilités, l'enrichissement gratuit, neutre et exhaustif est terminé.

7. Quasi-extinction du programme CVE

MITRE a averti le 15 avril 2025 que le contrat de financement du programme CVE (57,8 millions de dollars annuels²⁵) expirerait le lendemain sans renouvellement annoncé. CISA a exercé une option contractuelle de dernière minute pour prolonger de 11 mois, jusqu'en mars 2026²⁶. MITRE avait déjà perdu 440 employés et 28 millions de dollars de contrats fédéraux annulés par l'administration²⁷.

Créée en urgence, la CVE Foundation vise à découpler le programme de son financeur unique. L'EUVD d'ENISA et le GCVE du CIRCL luxembourgeois ont accéléré leur lancement²⁸. Le 21 janvier 2026, le CVE Board a été informé qu'il n'y aurait « pas de funding cliff en mars » et que les opérations s'étendaient « bien au-delà de cette échéance »²⁹. L'arrangement est décrit comme « plus durable » mais reste opaque : un membre du board parle d'un « mystery contract », MITRE refuse de publier l'accord, et une demande FOIA est restée sans réponse. Le programme dont dépendent les politiques de vulnérabilité de la planète entière est désormais financé sans que ses propres administrateurs connaissent les termes du financement.

8. Restriction des chercheurs internationaux

Selon la politique annoncée, les doctorants et postdocs étrangers devaient être plafonnés à deux ans (un an d'extension possible). Le NIST appliquait une matrice de risque par pays d'origine. Les pays « high risk » (Chine, Russie, Iran, RPDC, Cuba, Venezuela, Syrie) devaient passer en revue avant le 31 mars 2026. Les pays « medium risk » avant le 30 septembre. Les pays « low risk », dont les membres du G7 et de Five Eyes, avant le 31 décembre 2026, avec des accords limités à deux ou trois ans¹.

Le classement était instructif. La France, l'Allemagne, le Royaume-Uni n'étaient pas « trusted ». Ils étaient « low risk ». La nuance est une matrice de sécurité nationale, pas un vocabulaire d'alliance. Avant de recruter un chercheur international, les responsables de laboratoire devaient démontrer qu'aucun candidat américain qualifié n'était disponible¹.

Sur le campus de Boulder, le moral a été qualifié de « fragile ». « There have been tears in the office »¹. Icarus Quantum, spin-off du NIST Boulder qui avait reçu 400 000 dollars pour développer des technologies quantiques, a cherché des installations alternatives en Californie, Boston et Chicago³⁰.

Le 6 mars 2026, après trois semaines de pression parlementaire et médiatique, Burkhardt a envoyé un email au personnel NIST : « There is no explicit ban on foreign national research associates from any country, nor any mandated time limit or cap for the length of an associate's potential tenure at NIST »³¹. Le même email précise que « NIST examine actuellement ses protocoles de sécurité de recherche pour assurer l'alignement avec les lois et les guidances en évolution », et que les règles « pourraient à nouveau changer ». Les restrictions d'accès aux laboratoires hors heures ouvrables restent en place³². La politique formelle a été retirée. L'intention reste documentée.

La topologie de la dépendance

Cette série a documenté les deux premiers niveaux de dépendance européenne au système américain. Cet article en documente deux supplémentaires.

Le premier niveau est celui des données de vulnérabilité³³. Le NVD traite les CVE, le CISA KEV priorise les vulnérabilités exploitées. L'Europe importe ces données comme matière première de ses programmes de gestion des vulnérabilités. Le problème documenté : dépendance à 85% aux données américaines. Depuis le 15 avril 2026, le problème a changé de nature : le NVD a formellement restreint son enrichissement aux vulnérabilités jugées prioritaires pour le gouvernement fédéral américain. La dépendance n'est plus seulement technique. Elle est désormais soumise à un filtre souverain.

Au deuxième niveau, la grammaire défensive⁵. ATT&CK fournit la taxonomie des menaces. D3FEND catalogue les contre-mesures. Ces frameworks structurent la manière dont les organisations occidentales pensent l'attaque et la défense. Le problème documenté : biais de survivabilité, couverture stagnante, absence de mesure d'effectivité.

Le NIST est le troisième niveau, la production normative elle-même. Les standards post-quantiques (FIPS 203, 204, 205) que le monde entier adopte sont des produits NIST, même si les algorithmes sous-jacents ont été conçus par des équipes majoritairement européennes. Le Cybersecurity Framework est un produit NIST : les RTS de DORA, texte réglementaire européen contraignant pour l'ensemble du secteur financier, le référencent explicitement aux côtés de NIS2 et de la série ISO 27000³. Trois transpositions nationales de NIS2 le citent nommément : l'Italie y a bâti son cadre national de cybersécurité, l'Irlande et Chypre le mentionnent dans leur législation³.

Au quatrième niveau, le plus profond : la formation. Le CISSP est la certification cybersécurité la mieux rémunérée en zone EMEA, reconnue équivalent Master par le UK NARIC, et mappée par l'ENISA sur six des douze rôles de son European Cybersecurity Skills Framework⁴. Son Domaine 1 (Security and Risk Management, 16% du score) teste explicitement les « Security control frameworks » et « Risk frameworks » incluant le NIST³⁴. Les professionnels européens qui conçoivent les architectures, rédigent les politiques de risque et opèrent les SOC sont formés sur un corpus dont le NIST est un pilier central. La dépendance va au-delà des outils et des données. Elle est dans les cerveaux qui opèrent la défense.

La différence entre les quatre niveaux est qualitative. Au premier, la dégradation a changé de nature : ce qui était un retard d'enrichissement passif est devenu, depuis avril 2026, une restriction active scopée sur des critères souverains américains. Au deuxième, les limites sont de fond : les frameworks font ce qu'ils peuvent avec les biais inhérents à leurs méthodes de construction. Au troisième, la dégradation est active et volontaire. Le NIST ne subit pas un manque de moyens. Il subit une politique délibérée de réduction, réorientation et fermeture. Au quatrième, la dépendance est invisible : elle est perçue comme un savoir universel, pas comme une dépendance.

Budget en hausse voté par le Congrès. Chercheurs licenciés par l'administration. Le Congrès finance la recherche. L'administration renomme l'institut de sécurité IA en centre d'innovation. Le Congrès maintient le Manufacturing Extension Partnership. L'administration tente de le supprimer. La tension entre le législatif et l'exécutif traverse le NIST de part en part. Les experts qui partent ne reviennent pas.

Ce qui émerge

L'Europe a commencé à construire des alternatives, mais elles ne couvrent qu'un seul des quatre niveaux de dépendance documentés : les données de vulnérabilité.

L'EUVD (European Vulnerability Database), lancé en bêta par l'ENISA en mai 2025, se positionne comme l'équivalent européen du NVD. Il utilise ses propres identifiants, enrichit les CVE avec des métadonnées supplémentaires, et propose trois vues spécialisées : vulnérabilités critiques, vulnérabilités activement exploitées, vulnérabilités coordonnées par les CSIRT européens³⁵. Le Cyber Resilience Act rendra obligatoire la notification des vulnérabilités activement exploitées à partir de septembre 2026.

Lancé en janvier 2026 par le CIRCL luxembourgeois, le GCVE (Global CVE Allocation System) adopte un modèle décentralisé avec 25+ sources publiques et une infrastructure européenne. Le système permet aux GCVE Numbering Authorities (GNA) d'allouer et publier des identifiants de manière indépendante, sans approbation centralisée³⁶.

Ces initiatives répondent à un besoin réel. Mais les limites sont documentées. L'analyse de VulnCheck sur l'EUVD montre que l'API principale ne retourne pas 50 000+ CVE qui existent pourtant sur le site web³⁷. L'EUVD reste en bêta. Le GCVE a deux mois d'existence. Aucun des deux ne dispose du réseau de 450+ CNA, de l'intégration dans les outils de sécurité commerciaux, ou de l'inertie institutionnelle de 25 ans de standardisation mondiale que le système américain a construits.

L'Europe ne manque pas d'initiatives. L'EUCC certifie des produits depuis février 2025, une quarantaine de standards CRA sont en développement chez CEN, CENELEC et ETSI, et CEN/CENELEC a créé un groupe miroir pour la cryptographie post-quantique. Mais là où le NIST produit une architecture intégrée (données, frameworks, standards cryptographiques, formation se référençant mutuellement), l'Europe disperse ses efforts entre ENISA, CEN/CENELEC, ETSI, CIRCL et les agences nationales sans architecture d'ensemble. Aucun framework de gouvernance européen ne remplace le CSF que DORA et trois transpositions NIS2 continuent de référencer. Aucun corpus de formation ne se substitue au NIST dans les certifications que l'ENISA elle-même recommande. L'Europe construit des pièces. Elle n'a pas de système.

Côté réglementaire, le décalage est tout aussi visible. Le Cyber Resilience Act impose un signalement des vulnérabilités sous 24 heures qui repose sur une infrastructure d'identification (CVE/NVD) que l'Europe ne contrôle pas et ne produit pas en volume suffisant³⁸. Les algorithmes post-quantiques que l'ANSSI recommande (ML-KEM, ML-DSA, SLH-DSA) ont acquis leur adoption industrielle mondiale parce que le NIST les a standardisés en FIPS, et l'équipe qui pilotait ce processus vient de perdre ses leaders, alors même que les algorithmes sous-jacents ont été conçus par des chercheurs majoritairement européens. L'Europe finance la recherche. Le NIST la transforme en norme. Quand le NIST perd cette capacité, la recherche européenne perd son débouché normatif.

Ce que je ne sais pas

Je ne sais pas si le Congrès américain continuera de protéger le NIST contre les coupes de l'exécutif. L'équilibre bipartisan actuel tient à un nombre limité de parlementaires qui comprennent le rôle du NIST dans la compétitivité industrielle. Cet équilibre peut basculer à la prochaine élection de mi-mandat ou au prochain continuing resolution.

Je ne sais pas si les experts partis du NIST (Scholl, Hall, Ferraiolo, Cooper, Kelly, Tabassi, Schwartz) seront remplacés par des profils équivalents. Le recrutement scientifique fédéral américain est en concurrence avec le secteur privé, et le climat actuel au sein de l'agence ne favorise pas l'attraction de talents de premier plan. Le « brain drain » documenté par le Congressional Research Service dans d'autres agences (NOAA, EPA) après des périodes similaires suggère des délais de reconstitution de cinq à dix ans.

Je ne sais pas si l'EUVD et le GCVE atteindront la masse critique nécessaire pour constituer une alternative opérationnelle au système américain. L'adoption dépend de l'intégration dans les outils commerciaux (SIEM, scanners de vulnérabilités, plateformes de threat intelligence), et ces outils sont majoritairement produits par des éditeurs américains dont les intérêts ne convergent pas nécessairement avec la souveraineté normative européenne.

Je ne sais pas ce que contient le contrat qui finance désormais le programme CVE au-delà de mars 2026. Les administrateurs du CVE Board eux-mêmes ne le savent pas. Les demandes FOIA sont restées sans réponse. Le programme existe, ses gouvernants ne connaissent pas les termes de son existence.

Je ne sais pas comment les scores CVSS auto-attribués par les CNA éditrices se comporteront en l'absence de l'arbitrage indépendant du NIST. Le conflit d'intérêt est structurel : l'entité qui produit le logiciel vulnérable attribue le score qui détermine la priorité de correction. Je ne sais pas non plus si les CERT nationaux européens (CERT-FR, CERT-EU, CSIRT régionaux) absorberont la charge analytique que le NVD vient de transférer. À budget constant, c'est un transfert de coût silencieux du fédéral américain vers le reste de la chaîne.

Ce que je sais : huit vecteurs de dégradation frappent simultanément l'organisme dont dépendent les quatre niveaux de la posture défensive européenne, des données de vulnérabilité jusqu'à la formation des professionnels. Aucune de ces couches de dépendance ne dispose d'un plan B opérationnel.

La question posée précédemment était : quel modèle remplace le detect-and-respond quand il atteint ses limites empiriques ? La question suppose qu'il existe une institution capable de produire le modèle suivant. Les huit vecteurs documentés ici montrent que cette institution est en cours de transformation active. L'organisme qui devrait concevoir l'après-detect-and-respond a tenté d'expulser ses chercheurs étrangers, perd ses experts en cryptographie, renomme son institut de sécurité IA, a officiellement cessé d'enrichir les vulnérabilités qu'il ne juge pas prioritaires pour le gouvernement fédéral américain, et survit grâce à un Congrès qui vote contre son propre exécutif.

L'Europe a importé des outils défensifs qui plafonnent, puis bâti sa conformité réglementaire sur des standards produits par un organisme dont huit vecteurs de dégradation convergent en même temps. Le locataire découvre que le propriétaire a cessé l'entretien, change les serrures et renvoie les ingénieurs.

Quinzième article d'une série sur les failles de construction de la cybersécurité occidentale :

• Article 1 : La vulnérabilité de la gestion des vulnérabilités
• Article 2 : La dépendance européenne aux standards américains
• Article 3 : Les États, architectes cachés du marché noir des vulnérabilités
• Article 4 : L'IA ou l'effondrement du modèle défensif occidental
• Article 5 : Desert Power — survivre sans l'Empire
• Article 6 : I Am Altering the Deal
• Article 7 : Le dernier canal
• Article 8 : Lord of Cyber War
• Article 9 : Les faucons du numérique
• Article 10 : They Live... we sleep
• Article 11 : Soylent Green
• Article 12 : Ghost in the Binary
• Article 13 : Now You See Me
• Article 14 : The Prestige

Références

¹ Boulder Reporting Lab, « At Boulder's NIST, three-year cap on international researchers sparks fears of a scientific exodus » (12 février 2026) — Cap de 2-3 ans, matrice de risque par pays, obligation de prouver l'absence de candidats américains qualifiés. « There have been tears in the office. » https://boulderreportinglab.org/2026/02/12/at-boulders-nist-three-year-cap-on-international-researchers-sparks-fears-of-a-scientific-exodus/

² NIST, FIPS 203, 204, 205 (août 2024) — ML-KEM, ML-DSA, SLH-DSA. Premiers standards post-quantiques. Adoption : Cloudflare (défaut pour tous les clients depuis janvier 2026), recommandations ANSSI, ENISA, BSI. https://csrc.nist.gov/publications/fips

³ Deloitte, « DORA Regulation — ICT risk management in light of ESAs' RTS » — Les RTS sur le cadre de gestion du risque ICT de DORA contiennent des « direct references to other European and international regulations and standards (including NIS2, NIST cybersecurity framework, as well as standards from the ISO 27000-series). » ECSO NIS2 Transposition Tracker : l'Italie a basé son National Framework for Cybersecurity and Data Protection sur le NIST CSF 2.0 (mis à jour 2025) ; l'Irlande mentionne le NIST CSF 2.0 ; Chypre référence NIST 800-53. https://www2.deloitte.com/dk/da/pages/risk/articles/DORA-Regulation-ICT-risk-management-in-light-of-ESAs-recent-publication-of-additional-Regulatory-Technical-Standards.html https://ecs-org.eu/activities/nis2-directive-transposition-tracker/

⁴ ISC2, « CISSP in the ECSF — Understanding How the Certification Maps » (mai 2025) — Le CISSP est mappé sur 6 des 12 rôles définis dans l'European Cybersecurity Skills Framework de l'ENISA. La certification est reconnue comme équivalent Master (RQF Level 7) par le UK NARIC (mai 2020), transposable en Europe via le European Qualifications Framework. Certification la mieux rémunérée en zone EMEA (Global Knowledge). https://www.isc2.org/Insights/2025/05/CISSP-in-the-ECSF-Understanding-how-the-certification-maps

⁵ Voir dans cette série : « Now You See Me » (ATT&CK : biais de survivabilité, 21% de couverture SIEM, financement fédéral) et « The Prestige » (D3FEND : corpus de brevets, absence de mesure d'effectivité).

⁶ FedScoop, « NIST Director Laurie Locascio to depart in January » (octobre 2024) — Locascio a supervisé l'AISI, les standards PQC, les Digital Identity Guidelines. Départ vers l'ANSI. https://fedscoop.com/nist-director-laurie-locascio-to-depart-in-january/

⁷ NIST, « Our Leadership Team » — Craig Burkhardt, Acting Under Secretary and Acting NIST Director depuis janvier 2025. https://www.nist.gov/director/leadership

⁸ Manufacturing Dive, « NIST director nominee advances despite senators' MEP concerns » (mars 2026) — Arvind Raman avancé par le Senate Commerce Committee le 12 mars 2026 par un vote de 16-12, largement sur ligne de parti. Vote plénier non programmé. https://www.manufacturingdive.com/news/nist-director-nominee-arvind-raman-senate-confirmation/815356/

⁹ AIP FYI, « Senators Grill NIST Director Nominee » (mars 2026) — Engagement de Raman devant Cruz à « réorienter le NIST vers sa mission apolitique et s'assurer qu'il ne serve pas de moteur pour l'idéologie d'extrême-gauche sous prétexte de "sécurité" ». Déclaration de Cruz sur l'AI Risk Management Framework comme « social engineering de gauche ». https://www.aip.org/fyi/senators-grill-nist-director-nominee

¹⁰ Nextgov/FCW, « Plankey withdraws nomination to lead CISA » (22 avril 2026) — « After thirteen months since my initial nomination, it has become clear the Senate will not confirm me. » Holds de Scott (R-Fla., contrats Coast Guard), Wyden (D-Ore., rapport télécoms). Re-nomination janvier 2026 après retour au Président sous Senate Rule XXXI. Aucun successeur annoncé. https://www.nextgov.com/people/2026/04/plankey-withdraws-nomination-lead-cisa/413045/ https://www.govinfosecurity.com/no-vote-no-leader-cisa-faces-2026-without-director-a-30208 https://cyberscoop.com/sean-plankey-re-nominated-to-lead-cisa/

¹¹ Federal News Network / TechCrunch (27 février 2026) — Gottumukkala écarté après avoir uploadé des documents sensibles sur ChatGPT public et échoué un polygraphe. Nick Andersen (acting EAD cybersecurity) nommé troisième acting director. Effectifs CISA réduits d'un tiers. Trois acting directors en 14 mois (Bean, Gottumukkala, Andersen). https://federalnewsnetwork.com/cybersecurity/2026/02/cisa-leadership-shakeup-comes-amid-pressure-moment-for-cyber-agency/ https://techcrunch.com/2026/02/27/cisa-replaces-acting-director-gottumukkala-after-a-bumbling-year-on-the-job/

¹² Nextgov/FCW, « NIST fires over 70 probationary employees » (4 mars 2025) — 73 licenciements, dont 42 recrutés sous le CHIPS and Science Act. https://www.nextgov.com/people/2025/03/nist-fires-over-70-probationary-employees/403459/

¹³ Bloomberg / Business Standard, « Trump team plans firings of probationary workers at NIST » (20 février 2025) — Plan initial de 500 licenciements sur 3 400 employés. https://www.business-standard.com/world-news/trump-team-plans-firings-of-probationary-workers-at-nist-key-agency-for-ai-125022000118_1.html

¹⁴ WIRED / Bureau du Représentant Jake Auchincloss — Membres de DOGE aperçus dans le Building 225 (Information Technology Laboratory) avant les annonces. Trois directeurs de laboratoire promus dans l'année ciblés. https://auchincloss.house.gov/media/in-the-news/the-national-institute-of-standards-and-technology-braces-for-mass-firings

¹⁵ Lettre du 2 avril 2025 de 22 représentants (McClain Delaney, Lofgren, Neguse et 19 collègues) au secrétaire Lutnick — Impact par campus, par bureau, par projet. Questions sur le recrutement, les standards internationaux, la compétition avec la Chine en IA et quantique. https://mcclaindelaney.house.gov/sites/evo-subsites/mcclaindelaney.house.gov/files/evo-media-document/amd-letter-to-sec-lutnik-re-nist-probationary-and-rif-plans-v.f.pdf

¹⁶ Cybersecurity Dive, « NIST loses key cyber experts in standards and research » (mai 2025) — Départs Scholl, Hall, Ferraiolo, Cooper. Citations Reese sur le post-quantique et la perte de « critical institutional knowledge ». https://www.cybersecuritydive.com/news/nist-cyber-retirements-quantum-ai-research-standards/747270/

¹⁷ CyberScoop, « In Paris, U.S. signals shift from AI safety to deregulation » (février 2025) — Vance : « I'm not here this morning to talk about AI safety. » US et UK refusent de signer le communiqué. Technical.ly — Départs Kelly, Tabassi, Schwartz. Personnel AISI non invité au sommet de Paris. https://cyberscoop.com/ai-safety-jd-vance-paris-ai-summit-deregulation/ https://technical.ly/software-development/nist-layoffs-ai-safety-chips-act-trump/

¹⁸ FDD, « Cutting NIST's Workforce Threatens American Tech Innovation and Leadership » (avril 2025) — Lutnick sur le renommage AISI → CAISI. Analyse des impacts sur la compétitivité américaine. https://www.fdd.org/analysis/2025/04/16/cutting-nists-workforce-threatens-american-tech-innovation-and-leadership/

¹⁹ Crédits FY2026 — Proposition exécutive : 839 M$ (−43%). Crédits votés par le Congrès : 1,847 Md$ (+21% vs FY24/25). Détail des coupes proposées par programme. https://www.commerce.senate.gov/2026/1/ves-existential-threat-from-trump-budget-as-senate-rejects-gutting-nasa-nsf-nist https://aas.org/posts/news/2025/07/fy2026-presidents-budget-request-doe-office-science-and-nist-details

²⁰ Cybersecurity Dive, « NIST is rethinking its role in analyzing software vulnerabilities » (23 janvier 2026) — Jon Boyens, acting chief CSD : « I don't think it serves our mission or our stakeholders to try to go back and enrich every CVE. » Scepticisme envers Vulnrichment CISA. Inquiétude sur la « balkanisation » par le GCVE. https://www.cybersecuritydive.com/news/nist-rethinking-vulnerability-analysis/738004/

²¹ NIST NVD Update (19 mars 2025) — Soumissions CVE +32% en 2024. Backlog en croissance. CVE antérieurs au 01/01/2018 marqués « Deferred » (avril 2025). https://csrc.nist.gov/news/2025

²² NIST, « NIST Updates NVD Operations to Address Record CVE Growth » (15 avril 2026) — Annonce officielle de l'abandon de l'enrichissement universel. Trois critères de priorisation : KEV CISA, logiciels fédéraux, EO 14028. +263% de soumissions CVE 2020-2025, +33% Q1 2026. 42 000 CVE enrichis en 2025 (+45%), insuffisant. Backlog pré-mars 2026 basculé en « Not Scheduled ». NIST ne fournira plus de score de sévérité indépendant lorsque la CNA en a déjà attribué un. https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth

²³ Infosecurity Magazine, « NIST Drops NVD Enrichment for Pre-March 2026 Vulnerabilities » (25 avril 2026) — Harold Booth (NIST computer scientist) à VulnCon26, Scottsdale : « Our ability to keep up is just not there. » FIRST prévoit environ 59 000 nouveaux CVE en 2026, premier franchissement du seuil des 50 000. https://www.infosecurity-magazine.com/news/nvd-enrichment-premarch-2026/

²⁴ Resilient Cyber, « The NVD Just Threw In The Towel — Now What? » (avril 2026) — Gibson (organisateur VulnCon26) : « I would be surprised if Anthropic and OpenAI were not CVE Numbering Authorities by the end of 2026. » Analyse de la transition d'un modèle d'enrichissement universel vers un modèle privatisé. https://www.resilientcyber.io/p/the-nvd-just-threw-in-the-towel-now https://www.cybersecuritydive.com/news/nist-cve-vulnerability-analysis-nvd-review/810300/

²⁵ Swarmnetics, « MITRE CVE Program Safe Until Early 2026 » (avril 2025) — Programme CVE : 57,8 M$/an de financement fédéral. https://swarmnetics.com/blog/mitre-cve-program-safe-until-early-2026-but-what-happens-then/

²⁶ BleepingComputer / SecurityWeek — CISA exerce option contractuelle de 11 mois le 16 avril 2025. Extension jusqu'en mars 2026. Lettre Barsoum : « deterioration of national vulnerability databases and advisories. » https://www.securityweek.com/mitre-signals-potential-cve-program-deterioration-as-us-gov-funding-expires/

²⁷ CyberScoop, « CVE Foundation eyes year-end launch » (mai 2025) — MITRE : 440+ employés licenciés, 28 M$ de contrats annulés. https://cyberscoop.com/cve-program-funding-crisis-cve-foundation-mitre/

²⁸ CVE Foundation — Non-profit créée par des membres du CVE Board pour découpler le programme CVE du financement gouvernemental unique. https://www.computerweekly.com/news/366622835/CVE-Foundation-pledges-continuity-after-MITRE-funding-cut

²⁹ CSO Online, « CVE program funding secured, easing fears of repeat crisis » (9 mars 2026) — Réunion du CVE Board du 21 janvier 2026 : « no funding cliff in March », opérations étendues « well beyond that timeframe ». Nick Andersen (acting director CISA) : « Under CISA's leadership and sponsorship, the CVE program is fully funded. » Pete Allor (CVE Foundation co-founder) : « mystery contract with a mystery number ». Un membre du board a réitéré ses demandes d'accès au contrat à plusieurs réunions successives ; MITRE a refusé, invoquant la protection légale de l'accord. Demande FOIA séparée restée sans réponse. https://www.csoonline.com/article/4142600/cve-program-funding-secured-easing-fears-of-repeat-crisis.html

³⁰ Boulder Reporting Lab — Icarus Quantum cherche des installations de nanofabrication alternatives après les restrictions NIST. https://boulderreportinglab.org/2026/02/12/at-boulders-nist-three-year-cap-on-international-researchers-sparks-fears-of-a-scientific-exodus/

³¹ Boulder Reporting Lab, « NIST appears to walk back limits on international researchers » (10 mars 2026) — Email de Burkhardt au personnel NIST le 6 mars 2026 : « There is no explicit ban on foreign national research associates from any country, nor any mandated time limit or cap. » Même email : « NIST is currently reviewing its research security protocols to ensure alignment with evolving laws and guidance as well as consistency with other agencies. » Sen. Hickenlooper (Colorado) a interrogé Raman sur les rapports à l'audition du 5 mars. https://boulderreportinglab.org/2026/03/10/nist-appears-to-walk-back-limits-on-international-researchers/

³² Science (AAAS), « U.S. science agency moves to restrict foreign scientists from its labs » (février 2026, mis à jour 12 mars) — Chercheurs étrangers interdits d'accès aux labos en soirée et week-end sans escorte par un employé fédéral. Ces restrictions persistent après le retrait de la politique de plafonnement. https://www.science.org/content/article/nist-moves-restrict-foreign-scientists-its-labs

³³ Voir dans cette série : « La vulnérabilité de la gestion des vulnérabilités » (NVD), « La dépendance européenne aux standards américains » (dépendance à 85% aux données américaines), « Le dernier canal » (CISA KEV).

³⁴ ISC2, CISSP Certification Exam Outline — Domaine 1 (Security and Risk Management, 16% de l'examen) : « Security control frameworks (e.g., ISO, NIST, COBIT, SABSA, PCI, FedRAMP) » et « Risk frameworks (e.g., ISO, NIST, COBIT, SABSA, PCI) » comme matières d'examen explicites. Le NIST SP 800-53 figure dans les références de préparation recommandées. https://www.isc2.org/certifications/cissp/cissp-certification-exam-outline

³⁵ ENISA, European Vulnerability Database (EUVD) — Lancé en bêta mai 2025. Identifiants propres (EUVD-2025-XXXXX). Trois vues : vulnérabilités critiques, activement exploitées, coordonnées par les CSIRT. https://euvd.enisa.europa.eu/

³⁶ Cybernews / Infosecurity Magazine — GCVE lancé en janvier 2026 par le CIRCL (Luxembourg). 25+ sources publiques. Modèle décentralisé. Infrastructure européenne. https://www.infosecurity-magazine.com/news/global-cybersecurity-vulnerability/

³⁷ VulnCheck, « Does ENISA EUVD live up to all the hype? » (mai 2025) — 50 000+ CVE absents de l'API principale. Comparaison détaillée des couvertures EUVD / NVD / CVE.org. https://www.vulncheck.com/blog/enisa-euvd

³⁸ Voir dans cette série : « Ghost in the Binary » (angles morts du CRA sur les vulnérabilités introduites par le compilateur et la dépendance à l'infrastructure CVE/NVD pour le signalement obligatoire).