Cywise   CYWISE
retour au blog

Cybersécurité : Les États-Unis et l’UE face à l’avenir des bases de vulnérabilités (CVE)

Cybersécurité : Les États-Unis et l’UE face à l’avenir des bases de vulnérabilités (CVE)

La cybersécurité est un enjeu mondial, mais récemment, les tensions entre les États-Unis et l’Union européenne autour des bases de données de vulnérabilités (CVE) ont mis en lumière des défis critiques. Alors que le système CVE, historiquement dominé par les États-Unis, traverse une crise de financement, l’UE a réagi en lançant sa propre base de données. Décryptage d’une situation qui pourrait redéfinir la gouvernance mondiale de la cybersécurité.

Le CVE, un pilier de la cybersécurité en danger

Le Common Vulnerabilities and Exposures (CVE), géré par MITRE et financé principalement par le gouvernement américain, est la référence incontournable pour identifier et suivre les vulnérabilités logicielles. Pourtant, en avril 2025, le programme a frôlé la catastrophe : le Department of Homeland Security (DHS) n’a pas renouvelé son contrat à temps, menaçant de suspendre ce service essentiel.

Grâce à une extension de 11 mois accordée in extremis par la Cybersecurity and Infrastructure Security Agency (CISA), le CVE a évité un arrêt brutal. Mais cette crise a révélé deux problèmes majeurs :

  • Une dépendance excessive au financement américain, fragilisant un outil utilisé mondialement.
  • Des retards et des lacunes dans la gestion des vulnérabilités, érodant la confiance des acteurs de la cybersécurité.

Cette situation a poussé l’Europe à agir.

L’UE lance l’EUVD : souveraineté ou complémentarité ?

Face à ces incertitudes, l’Agence européenne pour la cybersécurité (ENISA) a dévoilé en mai 2025 la European Vulnerability Database (EUVD), une base de données européenne des vulnérabilités : https://euvd.enisa.europa.eu/

Pourquoi cette initiative ?

  • Réduire la dépendance vis-à-vis du CVE américain.
  • Garantir une continuité en cas de défaillance du système américain.
  • Améliorer la réactivité avec des mises à jour en temps réel sur les vulnérabilités critiques.

L’UE insiste sur le fait que l’EUVD ne remplacera pas le CVE, mais le complétera. Les deux bases seront interopérables, avec des identifiants alignés pour éviter la confusion.

Un pas vers la souveraineté technologique ?

Cette initiative s’inscrit dans une tendance plus large : l’UE cherche à affirmer son indépendance dans des domaines stratégiques comme le cloud, l’IA, et désormais la cybersécurité.

Quelles implications pour la communauté internationale ?

  • Une redondance bénéfique
  • Un risque de fragmentation ?
  • Une nouvelle géopolitique de la cybersécurité

Et maintenant ?

La crise du CVE et la réponse européenne soulèvent des questions fondamentales :

  • Faut-il un système mondial unique, ou des alternatives régionales ?
  • Comment financer durablement ces outils critiques sans dépendre d’un seul pays ?
  • Quel rôle pour le secteur privé et les organisations internationales ?

Une chose est sûre : la cybersécurité ne peut plus reposer sur un seul pilier. La collaboration entre les États-Unis, l’UE et d’autres acteurs sera cruciale pour éviter une fragmentation dangereuse.

Et vous, qu’en pensez-vous ?

L’EUVD est-elle une bonne initiative, ou un risque de duplication inutile ?

Comment garantir la stabilité des systèmes CVE à l’avenir ?