NIST adopte une triage basé sur les risques pour la base de données des vulnérabilités

Introduction

L'Institut national des normes et de la technologie (NIST) des États-Unis a annoncé un changement dans la façon dont il traite les vulnérabilités de cybersécurité dans sa base de données nationale des vulnérabilités. En raison du nombre croissant de soumissions de vulnérabilités, le NIST passe à un modèle de triage basé sur les risques qui donne la priorité aux failles les plus dangereuses.

Contexte Technique

Les soumissions de vulnérabilités ont augmenté de 263 % entre 2020 et 2025, et le NIST a enrichi près de 42 000 vulnérabilités en 2025, soit une augmentation de 45 % par rapport à l'année précédente. Cependant, l'augmentation de la production n'a pas été suffisante pour suivre le rythme des soumissions croissantes. Le nouveau modèle donne la priorité aux vulnérabilités qui répondent à l'un des trois critères suivants : les vulnérabilités répertoriées dans le catalogue des vulnérabilités exploitées connues de l'Agence de cybersécurité et de sécurité des infrastructures des États-Unis, les vulnérabilités qui affectent les logiciels utilisés au sein du gouvernement fédéral, et les vulnérabilités qui affectent les logiciels classés comme critiques en vertu de l'ordre exécutif 14028.

Analyse et Implications

Le nouveau modèle vise à enrichir les entrées du catalogue KEV dans un délai d'un jour ouvrable après réception. Les autres vulnérabilités signalées seront toujours répertoriées dans la base de données nationale des vulnérabilités, mais seront classées comme « Non planifiées », ce qui signifie que le NIST n'ajoutera pas automatiquement les scores de gravité et les données de produit dont les équipes de sécurité ont besoin pour donner la priorité aux correctifs. L'augmentation des soumissions de vulnérabilités est en partie due à l'utilisation de l'IA pour détecter les vulnérabilités, selon Vincenzo Iozzo, co-fondateur et PDG de SlashID Inc.

Perspective

Le nouveau modèle du NIST est une étape vers une approche plus ciblée de la gestion des vulnérabilités, mais il soulève également des questions sur la manière dont les organisations devraient aborder la priorisation et la correction des vulnérabilités. Comme l'a déclaré Shane Fry, directeur technique de RunSafe Security Inc., « l'ère de l'attente d'un score de vulnérabilité avant d'agir est révolue ». Les organisations doivent désormais assumer que des vulnérabilités inconnues existent déjà dans leurs logiciels et déployer des protections pour prévenir l'exploitation avant qu'un correctif ou un score de vulnérabilité ne soit disponible.