Incertitudes sur le financement du programme CVE : quelles conséquences pour la cybersécurité mondiale et marocaine ?

Parmi les deux programmes (CVE et CWE), le CVE est considéré comme le plus important. Il est géré par MITRE, avec un financement assuré par la Division nationale de cybersécurité relevant du Département de la Sécurité intérieure des États-Unis. Ce programme occupe une place centrale en garantissant une approche normalisée, précise et claire dans la classification et l’échange d’informations sur les vulnérabilités de sécurité.

Dans le même sens, Médias24 a sollicité Badr Bellaj, expert en sécurité des systèmes distribués, pour apporter des clarifications sur l’impact potentiel d’une telle rupture sur la cybersécurité internationale et aussi marocaine.

Selon Bellaj, le CVE est un système d’identifiants standardisés pour les failles de sécurité. "Il permet aux chercheurs, éditeurs et défenseurs de cybersécurité de parler un langage commun. Il joue un rôle clé pour détecter, documenter et corriger efficacement les vulnérabilités dans les téléphones, ordinateurs et services en ligne", indique-t-il.

Ainsi, il y a lieu de s’interroger sur les risques que les entreprises, administrations et citoyens encourraient si la base CVE cessait de fonctionner. Pour Badr Bellaj, un tel arrêt aurait des conséquences néfastes.

"Un arrêt de la base entraînerait une perte de coordination entre chercheurs, fournisseurs et gouvernements, des délais dans la correction des failles, une augmentation du risque de cyberattaques, ainsi qu’une vulnérabilité accrue des infrastructures critiques (santé, transport, énergie)", précise notre interlocuteur.

Ainsi, on peut se demander si un antivirus ou une mise à jour de sécurité peut réellement protéger en l’absence du système CVE. Badr Bellaj indique que cela serait inefficace.

"Pas efficacement. Les antivirus et systèmes de patching utilisent les identifiants CVE pour reconnaître et corriger les failles. Sans ce socle commun, la détection serait moins fiable, les correctifs plus lents, et la protection des utilisateurs affaiblie", précise-t-il.

Qu'en est-il du Maroc ?

Selon notre interlocuteur, le Maroc dépend fortement des alertes du programme CVE. "Le Maroc, confronté à une augmentation significative des cyberattaques, dépend fortement des alertes internationales sur les vulnérabilités pour protéger ses infrastructures critiques. Dans ce contexte, le maCERT, en tant que centre national de veille, de détection et de réponse aux incidents informatiques, joue un rôle central dans la cybersécurité du pays. Cependant, l’incertitude entourant le financement du programme CVE pourrait compromettre la capacité du Maroc à détecter et à répondre rapidement aux menaces émergentes. Le maCERT pourrait ainsi être confronté à des défis accrus pour maintenir une veille efficace et coordonner les réponses aux incidents", explique-t-il.

"Bien que le pays ait récemment renforcé sa posture avec la Stratégie nationale de cybersécurité 2030, l’efficacité de cette politique repose en partie sur un accès continu à des données fiables sur les vulnérabilités, telles que celles fournies par le système CVE. Il est donc essentiel de renforcer les capacités du maCERT et de diversifier les sources d'information pour garantir la résilience de la cybersécurité nationale", poursuit Badr Bellaj.

Alors, si tel est le cas et que le programme CVE venait à cesser ses fonctions, existerait-il un plan B ? Dans ce sens, Badr Bellaj souligne que l'absence de solution alternative fiable à court terme renforcerait l’incertitude et l’exposition aux menaces pour l’ensemble de l’écosystème numérique mondial.

"Face au risque de coupure de financement, une CVE Foundation indépendante est en cours de création. Elle pourrait à terme assurer la continuité du service avec le soutien de grands acteurs comme Apple, mais son financement et sa gouvernance restent flous. Pour l’instant, le gouvernement américain a prolongé le financement de 11 mois, ce qui donne un sursis… mais pas de garantie durable", clarifie M. Bellaj.