Klaerenn
⌘K
Klaerenn
GSMag

Quatre vulnérabilités pour un seul mot

Le mot « vulnérabilité » désigne aujourd'hui quatre choses superposées. Une faille à patcher, une dépendance normative qui se retire, des indicateurs qui ont cessé d'indiquer, une production industrielle de failles que les institutions ne peuvent plus nommer. Tribune publiée dans GSMagazine n°63.
Quatre vulnérabilités pour un seul mot

Le métier cyber emploie un terme stable depuis vingt-cinq ans pour désigner une réalité qui s'est dédoublée plusieurs fois. La grammaire tient. Ce qu'elle nomme a changé.

Le 15 avril 2026, le NIST a annoncé qu'il cessait d'enrichir l'ensemble des vulnérabilités soumises au National Vulnerability Database. Trois critères américano-centrés filtreront désormais ce qui sera analysé. Le reste sera publié, classé en attente, sans contexte ni score indépendant. Le Forum of Incident Response and Security Teams prévoit le franchissement des cinquante mille CVE annuels en 2026. L'institution qui structure la connaissance mondiale des vulnérabilités a admis qu'elle ne peut plus suivre, et qu'elle privilégiera désormais les intérêts opérationnels du gouvernement fédéral américain. L'événement a circulé dans les cercles spécialisés sans susciter de réaction proportionnée. Il signe pourtant la fin d'un arrangement de vingt-cinq ans, et oblige à reformuler ce que le métier appelle vulnérabilité.

La première lecture du mot reste familière. Une faiblesse identifiée par un CVE, scorée par un CVSS, corrigée par un patch dans un délai mesurable. La discipline est rodée, les outils en place, les équipes formées. Cette définition héritée structure encore le quotidien des SOC, l'écriture des règles SIEM, la rédaction des contrats fournisseurs et la formulation des obligations réglementaires. Le retrait du NIST ne change pas cette couche immédiatement, il en change l'environnement. Le scanner européen consomme passivement les sorties d'un service public américain qui vient d'arrêter de produire pour tout le monde. Quatre-vingt-cinq pour cent des solutions de sécurité déployées en Europe dépendent de ces données. La donnée brute reste accessible, l'analyse contextuelle disparaît. Le score CVSS continue d'être attribué, mais par les éditeurs eux-mêmes, sans arbitrage indépendant. Le métier conserve la grammaire et perd le dictionnaire.

Une seconde lecture du même mot apparaît dès qu'on sort du composant logiciel. La vulnérabilité devient celle de la chaîne de production, de qualification et de diffusion de la connaissance défensive. Les standards techniques de DORA renvoient au Cybersecurity Framework du NIST. Plusieurs transpositions nationales de NIS2 référencent les mêmes standards américains. La certification de référence des analystes européens teste explicitement la maîtrise des frameworks NIST dans son socle d'examen. Cette dépendance est apparue comme vulnérabilité quand le propriétaire du langage commun a commencé à le retirer. Le contrat fédéral du programme CVE a failli expirer en avril 2025 avant une prolongation in extremis. L'institut de référence n'a plus de directeur confirmé depuis janvier 2025. La gratuité du langage commun n'était jamais qu'un arrangement entre alliés, et cet arrangement vient de prendre fin.

Les indicateurs cessent d'indiquer

Une troisième lecture met en cause les outils par lesquels le métier mesurait sa propre posture. La couverture moyenne d'ATT&CK dans les SIEM en production, mesurée en 2025 sur 2,5 millions de sources de logs, atteint vingt-et-un pour cent de la matrice. Cinq ans de mesure, pas de progression. Le framework défensif jumeau, construit sur cinq cents brevets américains, n'a jamais établi de mesure d'effectivité. Le framework dédié aux systèmes IA, testé sur le premier outil agentique majeur, donne dix-sept pour cent de défense moyenne. Quand la première vraie menace IA d'ampleur émerge, ce framework n'est mentionné par aucun acteur officiel. La vulnérabilité, à ce niveau, porte sur ce que le métier croit voir parce que des dashboards verts le lui affirment. Scores de couverture, pourcentages de règles déployées, catalogues de techniques produisent la sensation d'une défense lisible. Cette lisibilité est devenue indépendante de la défense effective.

Une quatrième lecture s'est imposée en avril 2026. Claude Mythos Preview, modèle de frontière publié par Anthropic, a découvert plusieurs milliers de vulnérabilités haute et critique dans les systèmes d'exploitation et navigateurs majeurs, et exploité de façon entièrement autonome un zero-day vieux de dix-sept ans dans FreeBSD. Le même mois, une étude empirique sur deux cent cinquante-neuf vulnérabilités Java a démontré que les bases publiques manquent près de huit cents versions vulnérables, et qu'un agent autonome peut désormais exécuter cette vérification empirique à l'échelle d'un dépôt entier. Le mot vulnérabilité désigne désormais aussi ce déséquilibre entre une production de failles passée à l'échelle industrielle et une capacité institutionnelle à les nommer qui se replie au même moment.

Reformuler l'antifragilité

Quatre lectures, un seul mot. Et un CISO de 2026 qui doit tenir les quatre simultanément, sans école qui le forme, sans référentiel qui le mesure, sans certification qui le valide. La continuité de vocabulaire masque une discontinuité de réalité. L'antifragilité demande à être reformulée à son tour. Tant que la grammaire commune tenait, transformer la contrainte en avantage supposait un cadre partagé. Cette condition n'est plus garantie. La posture antifragile de 2026 commence par un travail moins visible : formuler ses propres règles, ses propres priorités de patch, ses propres mesures de défense, sans déléguer à un dictionnaire qui ne sera plus tenu à jour pour soi. Reste à savoir si la profession européenne saura organiser ce travail collectivement, ou si chaque organisation devra le mener pour elle seule.

More like this

Le Guépard

Le Guépard

Le Cyber Resilience Act impose un signalement de vulnérabilité en 24 heures à des fabricants dont le temps médian de correction atteint 43 jours. Quatre failles traversent ce décalage. La conformité change de forme ; la condition de dépendance de l'Europe reste identique.
Une rente n'a pas de nationalité

Une rente n'a pas de nationalité

L'étude Asterès-Cigref de mai 2026 documente un phénomène réel : les prix du cloud-logiciel grimpent bien au-delà de l'inflation. Mais le cadre qu'elle choisit (une fuite de valeur européenne) diverge du mécanisme qu'elle décrit elle-même.
Status: clean

Status: clean

En un mois, une IA a trouvé plus de dix mille failles critiques. 75 corrigées. Tout le monde en tire la même leçon : patcher plus vite. C'est la mauvaise. Le taux ne bouge pas, le volume double, et l'instrument de mesure devient aveugle au même moment.
I want to play a game

I want to play a game

48 PME, 9 millions d'euros, un dispositif d'accompagnement vers SecNumCloud conçu avec le mauvais outil, le mauvais référentiel, et aucun bilan public trois ans plus tard. Anatomie d'un piège à subventions.
The Thing That Should Not Be

The Thing That Should Not Be

ATLAS copie ATT&CK pour l'IA. Quatre attaques en deux mois, mêmes identifiants, aucun mécanisme en commun. Le framework nomme les techniques sans armer les défenseurs. L'industrie l'adopte parce qu'il ressemble à ATT&CK. La ressemblance est le piège.
L'ubérisation labellisée de la cybersécurité des PME

L'ubérisation labellisée de la cybersécurité des PME

L'État vient de subventionner un label cyber pour les PME, opéré par un acteur dont le métier principal est la commercialisation de données IT au marché financier, sans coordination publique avec Cybermalveillance, sans aucune exigence cyber dans son référentiel. Anatomie.