### Le NIST met à jour les opérations du NVD Le **NIST** a annoncé qu'il n'enrichira que les CVE listés dans son **NVD** qui remplissent certaines conditions, en raison d'une explosion des soumissions. Selon leur annonce, les CVE ne répondant pas à ces critères seront toujours listés mais ne seront pas automatiquement enrichis par le **NIST**. Cette décision découle d'une augmentation de 263 % des soumissions de CVE entre 2020 et 2025. ### Critères de priorisation Les critères de priorisation, effectifs à partir du 15 avril 2026, incluent : * Les CVE figurant dans le catalogue des Vulnérabilités Exploitées Connues (KEV) de la **U.S. Cybersecurity and Infrastructure Security Agency (CISA)**. * Les CVE pour les logiciels utilisés au sein du gouvernement fédéral. * Les CVE pour les logiciels critiques tels que définis par l'Executive Order 14028, englobant les logiciels avec des privilèges élevés, un accès privilégié aux ressources réseau ou informatiques, un contrôle sur les données ou la technologie opérationnelle, et une opération en dehors des limites de confiance normales. Les soumissions de CVE ne répondant pas à ces seuils seront marquées comme "Not Scheduled" (Non planifié), permettant au **NIST** de se concentrer sur les vulnérabilités à fort impact. ### Impact des changements Le **NIST** a indiqué que les soumissions de CVE au cours des trois premiers mois de 2026 sont près d'un tiers plus élevées que l'année dernière, malgré l'enrichissement de près de 42 000 CVE en 2025, soit une augmentation de 45 % par rapport aux années précédentes. Les utilisateurs peuvent demander l'enrichissement des CVE à fort impact classés comme non planifiés en envoyant un e-mail à "nvd@nist[.]gov". ### Changements supplémentaires aux opérations du NVD Les changements supplémentaires incluent : * Le **NIST** ne fournira plus systématiquement de scores de sévérité distincts si l'autorité de numérotation des CVE l'a déjà fait. * Les CVE modifiés ne seront réanalysés que s'ils ont un impact matériel sur les données d'enrichissement. Les demandes de réanalyse peuvent être envoyées par e-mail. * Les CVE non enrichis dans le backlog avec une date de publication antérieure au 1er mars 2026 seront déplacés dans la catégorie "Not Scheduled", à l'exception de ceux figurant dans le catalogue KEV. * Le **NIST** a mis à jour les étiquettes et descriptions de statut des CVE, ainsi que le **NVD Dashboard**, pour refléter avec précision les statuts et statistiques des CVE en temps réel. ### Réaction de l'industrie **Caitlin Condon**, vice-présidente de la recherche en sécurité chez **VulnCheck**, a noté que le **NIST** établit des attentes face à l'augmentation du nombre de vulnérabilités. Cependant, une part importante des vulnérabilités pourrait manquer d'un chemin d'enrichissement clair pour les organisations qui dépendent uniquement des données du **NIST**. Les données de **VulnCheck** indiquent qu'environ 10 000 vulnérabilités de 2025 n'ont pas de score CVSS, tandis que le **NIST** a enrichi environ 14 000 vulnérabilités 'CVE-2025', représentant environ 32 % de la population des CVE de 2025. **David Lindner**, directeur de la sécurité de l'information chez **Contrast Security**, suggère que la décision du **NIST** marque la fin de la dépendance à une seule base de données gouvernementale pour l'évaluation des risques de sécurité. Les organisations doivent désormais adopter une approche proactive, axée sur le renseignement sur les menaces. Lindner conseille de se concentrer sur la liste **CISA KEV** et les métriques d'exploitabilité, en priorisant l'exposition réelle par rapport à la sévérité théorique pour une résilience nationale accrue.