Introduction
Le National Institute of Standards and Technology (NIST) a annoncé une nouvelle politique concernant la base de données nationale des vulnérabilités, qui avait du mal à être mise à jour avec des détails pour chaque nouvelle vulnérabilité ajoutée au système.
Contexte Technique
Le NIST a décidé de ne enrichir les données que pour les vulnérabilités importantes, ce qui inclut trois types de failles de sécurité : les entrées CVE pour les vulnérabilités répertoriées dans la base de données CISA KEV, les CVE dans les logiciels connus pour être utilisés par les agences fédérales américaines et les CVE dans les logiciels classés comme « critiques ».
Cette décision est due à l'explosion du nombre de découvertes de bogues et aux coûts croissants, ainsi qu'aux réductions budgétaires récentes de l'administration Trump pour les budgets de la DHS et de la CISA.
Analyse et Implications
L'annonce du NIST est une capitulation, car l'agence admet qu'elle ne pourra jamais rattraper son retard en raison de ses circonstances budgétaires actuelles.
Cette décision aura des implications pour les entreprises de gestion des vulnérabilités, qui devront trouver d'autres sources de données ou enrichir elles-mêmes les informations.
Perspective
Il est important de surveiller les limites de cette nouvelle politique et les prochaines étapes que le NIST pourrait prendre pour améliorer la gestion des vulnérabilités.
La communauté de la cybersécurité devra s'adapter à ce changement et trouver des solutions alternatives pour obtenir les informations nécessaires à la gestion des vulnérabilités.
