Le **NIST** a annoncé cette semaine qu'il allait réduire ses efforts d'analyse des vulnérabilités en raison d'une augmentation considérable des soumissions de Common Vulnerabilities and Exposures (CVE). À compter du 15 avril, la **National Vulnerability Database (NVD)** ne fournira une analyse détaillée, y compris une notation de gravité, que pour les vulnérabilités répondant à des critères spécifiques. ### Critères de priorisation Le **NIST** concentrera désormais ses ressources sur les vulnérabilités qui : * Sont répertoriées dans le catalogue des vulnérabilités exploitées connues (KEV) de la **CISA**. * Affectent les logiciels des gouvernements fédéraux américains. * Impliquent des logiciels critiques tels que définis par l'Ordre exécutif 14028. ### La vague de soumissions Le **NIST** attribue ce changement à une augmentation spectaculaire des soumissions de CVE. L'agence signale une augmentation de 263 % des soumissions, une tendance qui devrait se poursuivre. En 2025, le **NIST** a enrichi environ 42 000 CVE, mais l'agence déclare qu'elle ne peut plus maintenir ce niveau d'analyse pour toutes les soumissions. ### Impact sur la NVD La **NVD** continuera de répertorier toutes les vulnérabilités soumises. Cependant, celles qui ne répondent pas aux critères de priorisation n'auront qu'une notation de gravité attribuée par la CVE Numbering Authority (CNA) qui a initialement évalué et soumis la vulnérabilité. Les CNA comprennent des fournisseurs et des organisations tels que **The MITRE Corporation**. ### Pourquoi c'est important La **NVD** du **NIST** est une ressource essentielle pour les chercheurs en sécurité, les professionnels de l'informatique et les organisations du monde entier. Elle fournit des informations détaillées sur les vulnérabilités, y compris les scores de gravité, les produits affectés et les liens vers les avis et les correctifs. Ces informations sont essentielles pour une gestion efficace des risques et la remédiation des vulnérabilités. ### Statut "Non planifié" Les vulnérabilités ne répondant pas aux nouveaux critères seront classées comme "Non planifié". Le **NIST** souligne que cela ne signifie pas que ces vulnérabilités sont sans importance, mais plutôt qu'elles ne présentent pas le même niveau de risque systémique que celles des catégories prioritaires. "Toutes les CVE soumises seront toujours ajoutées à la NVD. Cependant, celles qui ne répondent pas aux critères ci-dessus seront classées comme 'Non planifié', [explique le NIST.](https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth)" ### Demandes d'enrichissement Reconnaissant que certaines vulnérabilités à fort impact pourraient échapper au processus de priorisation, le **NIST** accepte les demandes d'enrichissement pour les CVE de priorité inférieure par e-mail à '[email protected]'. ### Un changement d'orientation Bien que des retards dans l'enrichissement aient été observés depuis 2024, cette annonce officialise le changement d'orientation du **NIST** vers les vulnérabilités les plus critiques et les plus largement impactantes.