Chargement en cours
Informatique

Virage stratégique du NIST : un trou béant de 30 000 failles de sécurité

gestion_vulnérabilités_numériques

Face à un afflux massif de signalements de vulnérabilités, l’institut américain de normalisation opère un virage radical dans sa stratégie de gestion des menaces cybernétiques. Une décision qui pourrait bouleverser l’équilibre fragile entre les défenseurs et les attaquants dans le cyberespace.

Un arriéré qui dépasse les 30 000 vulnérabilités

Le National Institute of Standards and Technology fait face à une situation critique. Lors de la conférence VulnCon du 15 avril, Harold Booth, responsable technique et de programme, a révélé un arriéré colossal de plus de 30 000 CVE non traitées.

Selon Dustin Childs, responsable de la sensibilisation aux menaces chez Zero Day Initiative de Trend Micro, l’organisme a capitulé : « Ils viennent de faire une déclaration publique : « Nous ne parviendrons jamais à résorber ce retard » ».

Cette accumulation a commencé début 2024, alimentée par une explosion du nombre de signalements que l’institut n’a pas réussi à absorber.

Une explosion sans précédent des découvertes

Les chiffres témoignent d’une accélération vertigineuse. Entre 2020 et 2025, les signalements ont bondi de 263 %. Le premier trimestre 2026 a enregistré près d’un tiers de vulnérabilités supplémentaires par rapport à la même période l’année précédente.

Malgré un enrichissement record de près de 42 000 CVE en 2025 – soit 45 % de plus que toute année antérieure – le NIST n’a pas réussi à suivre le rythme.

Le Forum of Incident Response and Security Teams (FIRST) prévoit 59 427 CVE pour 2026, contre un peu plus de 48 000 en 2025. C’est la première fois que ce seuil des 50 000 devrait être franchi.

Des projections qui donnent le vertige

Chris Gibson, CEO de First, résume la situation : « La vitesse à laquelle les vulnérabilités sont découvertes et exploitées est sans précédent ».

FIRST avait même envisagé des scénarios où le nombre total dépasserait les 100 000 d’ici 2026, avant l’annonce du modèle d’intelligence artificielle Mythos d’Anthropic.

Une stratégie de triage drastique

Désormais, le NIST ne se concentrera que sur les vulnérabilités les plus critiques. L’organisme justifie cette réorientation en expliquant qu’elle « permettra de stabiliser le programme pendant que nous développons les systèmes automatisés et les améliorations des flux de travail nécessaires à sa viabilité à long terme ».

Quelles failles seront prioritaires ?

Trois catégories bénéficieront d’un traitement préférentiel. D’abord, les CVE du catalogue KEV de la CISA, avec un objectif d’enrichissement fixé à un jour ouvrable suivant leur réception.

Ensuite, les vulnérabilités concernant les logiciels utilisés par le gouvernement fédéral américain, ainsi que celles touchant d’autres logiciels critiques.

Les autres CVE continueront d’être intégrées à la base de données nationale sur les vulnérabilités (NVD), mais seront marquées comme « non programmées ». Cela signifie que leur enrichissement ne sera plus priorisé par l’institut.

Un changement méthodologique majeur

Le NIST abandonne également le calcul des scores de gravité pour les CVE déjà notées par leur déclarant. Les vulnérabilités reçues avant le 1er mars rejoindront la catégorie « non programmées ».

L’intelligence artificielle au cœur du problème

Dustin Childs pointe du doigt l’IA comme facteur aggravant : « Nous constatons déjà une augmentation des CVE sans intérêt – mais aussi des CVE réels – liés à l’IA ».

Paradoxalement, les grands modèles de langage, les agents IA et l’automatisation robotisée des processus (RPA) figurent sur la liste des priorités technologiques du NIST, selon Chris Booth à VulnCon.

Des défis insurmontables pour les entreprises

Cette nouvelle donne pose question aux responsables de la sécurité qui devront inventorier leurs technologies pour vérifier si elles figurent parmi les priorités de l’institut.

Childs souligne une première difficulté : « La détection est l’un des problèmes les plus difficiles auxquels nous sommes confrontés ». La définition floue des logiciels prioritaires complique encore la tâche, notamment concernant ceux utilisés par le gouvernement fédéral.

Une course perdue d’avance ?

Le responsable de Zero Day Initiative exprime ses doutes sur la capacité des défenseurs à tenir le rythme : « Les gens n’appliquent toujours pas les correctifs et nous allons quadrupler le nombre de patchs qu’ils devront déployer. Comment mettre alors en place nos défenses à l’échelle de l’entreprise ? Je ne sais pas si nous y parviendrons avant les pirates. »

Une délégation vers les autorités de numérotation

Pour alléger sa charge, le NIST prévoit de transférer une partie du travail aux autorités de numérotation CVE (CNA). Ces entités comprennent notamment des fournisseurs de solutions de sécurité et des chercheurs indépendants.

Reste à savoir si cette réorganisation suffira à endiguer le flot croissant de vulnérabilités dans un contexte où la cybersécurité devient un enjeu toujours plus crucial.
Julien Giraud

Il suit de près l’évolution des outils d’intelligence artificielle et des innovations numériques. Spécialisé dans les usages concrets de l’IA, il teste, compare et explique les solutions qui transforment la productivité, la création de contenu et l’automatisation au quotidien.

Voir tous les articles

Articles similaires

Laisser un commentaire

À ne pas manquer