L'Institut national américain des normes et de la technologie a annoncé aujourd'hui une refonte de la façon dont il traite les vulnérabilités en matière de cybersécurité dans sa base de données nationale sur les vulnérabilités.
Le NIST abandonne son objectif de longue date consistant à analyser pleinement chaque vulnérabilité et exposition commune soumise au profit d'un modèle de tri basé sur les risques qui donne la priorité aux failles les plus dangereuses. Le changement, qui est entré en vigueur aujourd'hui, est le résultat du grand volume de soumissions CVE que le NIST a reçues et leur nombre est élevé. Entre 2020 et 2025, les soumissions de CVE ont bondi de 263 % et au premier trimestre de cette année, elles étaient près d'un tiers plus élevées qu'à la même période de l'année dernière.
Le NIST a enrichi près de 42 000 CVE en 2025, soit une hausse de 45 % d’une année sur l’autre, mais l’augmentation de la production n’a pas été suffisante pour suivre le rythme croissant des soumissions. Dans le cadre du nouveau modèle, le NIST n'enrichira désormais pleinement que les CVE qui répondent à l'un des trois critères.
Les critères nécessaires pour qu'un CVE soit retenu incluent une vulnérabilité répertoriée dans le catalogue des vulnérabilités exploitées connues de la US Cybersecurity and Infrastructure Security Agency, les CVE qui affectent les logiciels utilisés au sein du gouvernement fédéral et les CVE qui affectent les logiciels classés comme critiques en vertu du décret 14028.
Avec ce nouveau modèle, le NIST vise à enrichir les entrées du catalogue KEV dans un délai d'un jour ouvrable après réception.
Toutefois, les autres CVE signalés ne disparaîtront pas. Ils seront toujours répertoriés dans le NVD mais seront classés comme « Non planifiés », ce qui signifie que le NIST n'ajoutera pas automatiquement les scores de gravité et les données sur les produits sur lesquels les équipes de sécurité s'appuient pour prioriser les correctifs.
L'agence s'attaque également à un retard important qui s'est accumulé depuis début 2024. Tous les CVE dont la date de publication NVD est antérieure au 1er mars 2026 et qui restent non enrichis seront déplacés dans la catégorie « Non programmé », le NIST les considérant pour un enrichissement uniquement dans la mesure où les ressources le permettent. Les CVE déjà présents dans le catalogue KEV sont exclus de ce balayage.
Le nouveau modèle comprend deux modifications procédurales supplémentaires. Le NIST n'émettra plus systématiquement son propre score de gravité pour les CVE lorsque l'autorité de numérotation CVE qui a soumis la demande en a déjà fourni un. Cela éliminera les analyses en double, et les CVE modifiés ne seront également réanalysés que si un changement affecte matériellement les données d'enrichissement plutôt que automatiquement à chaque mise à jour.
Bien que le NIST n'impute pas directement l'augmentation des soumissions CVE à l'intelligence artificielle, c'est l'un des principaux moteurs de l'augmentation des soumissions CVE, selon Vincenzo Iozzo, co-fondateur et directeur général du fournisseur de détection et de réponse aux menaces d'identité SlashID Inc.
« Nous avons constaté une augmentation spectaculaire des vulnérabilités valides signalées par l'IA. Selon les rapports, rien que l'année dernière, le nombre de vulnérabilités signalées a plus que doublé », a déclaré Iozzo à SiliconANGLE par e-mail. « En conséquence, la nouvelle politique du NIST est sensée et les catégories encore couvertes sont les plus critiques. »
En outre, a-t-il ajouté, « les grands modèles de langage approchent du point où ils sont suffisamment performants pour permettre aux organisations individuelles de hiérarchiser et de contextualiser les vulnérabilités de leur environnement, réduisant ainsi le besoin de CVE enrichis ».
Shane Fry, directeur de la technologie chez RunSafe Security Inc., société de solutions de cybersécurité, estime que « cette annonce est un signal pour l'industrie que l'époque où l'on attendait un score CVE avant d'agir est révolue ».
« La visibilité des vulnérabilités est imparfaite, mais les organisations qui utilisent un ensemble diversifié de sources de données sur les vulnérabilités auront un aperçu plus fiable des vulnérabilités et de celles qui les affectent », a déclaré Fry. « Plus important encore, les organisations doivent supposer que des vulnérabilités inconnues existent déjà dans leurs logiciels et déployer des protections qui peuvent empêcher leur exploitation avant qu'un correctif – ou un score CVE – ne soit disponible. »
