Le financement du programme CVE (Common Vulnerabilities and Exposures) a été prolongé in extremis par la CISA, évitant une interruption brutale d’un service essentiel à la cybersécurité mondiale. Cette base de données, gérée par MITRE, permet d’identifier et de suivre les failles logicielles et matérielles utilisées partout sur la planète. Mais derrière ce sursis, une réalité s’impose : les coupes budgétaires décidées par l’administration Trump fragilisent l’ensemble de l’écosystème, bien au-delà des frontières américaines.
Des coupes qui dépassent les frontières américaines
Depuis le retour de Donald Trump à la Maison-Blanche, la cybersécurité américaine subit une réduction massive de ses moyens. La CISA prévoit la suppression de plus de 1 300 postes, ce qui met en péril des programmes clés comme la protection des infrastructures critiques, la sécurisation des élections et le soutien aux écoles. Plusieurs initiatives fédérales sont suspendues, privant des milliers d’organisations de ressources et d’accompagnement face à la montée des cyberattaques.
Qu’est-ce que MITRE, CVE et CISA ?
Le MITRE est une organisation à but non lucratif qui gère le programme CVE (Common Vulnerabilities and Exposures), une base de données internationale de référence pour l’identification et le suivi des failles de sécurité dans les logiciels et matériels. Le CVE permet aux experts, entreprises et gouvernements de partager un langage commun pour décrire et corriger les vulnérabilités. La CISA (Cybersecurity and Infrastructure Security Agency), agence gouvernementale américaine, finance et supervise en partie ce programme afin d’assurer la sécurité des infrastructures critiques et de coordonner la réponse aux menaces cyber à l’échelle mondiale. Ensemble, MITRE, CVE et CISA jouent un rôle central dans la prévention et la gestion des risques liés à la cybersécurité.
Le Canada directement exposé
Le Canada, comme de nombreux pays alliés, s’appuie sur les outils, bases de données et standards américains pour protéger ses infrastructures critiques et coordonner la réponse aux cybermenaces. La base CVE, référence mondiale, est utilisée quotidiennement par les équipes de sécurité canadiennes pour détecter, analyser et corriger les vulnérabilités. Si ce service venait à être interrompu ou fragilisé, c’est toute la capacité de réponse qui serait affaiblie, exposant davantage les organisations canadiennes aux cyberattaques.
Les experts canadiens rappellent que la multiplication des menaces, notamment de la part d’acteurs étatiques, rend la coopération internationale et l’accès à des ressources partagées plus cruciaux que jamais. La réduction du financement de la CISA, et la suppression de programmes de soutien aux gouvernements locaux et infrastructures critiques, fragilisent tout l’écosystème nord-américain. Provinces, municipalités et entreprises canadiennes se retrouvent alors avec moins d’outils, moins de renseignements partagés et une exposition accrue aux attaques sophistiquées.
Vers une diversification des ressources
Face à cette nouvelle donne, le Canada et d’autres pays cherchent à renforcer leur autonomie. Cela passe par la création de bases de données nationales ou européennes sur les vulnérabilités, ou par l’investissement dans des capacités de cybersécurité locales. Mais cette transition prendra du temps. D’ici là, chaque décision budgétaire américaine continue d’avoir un effet domino sur la cybersécurité mondiale, dont le Canada est un maillon essentiel.
La création de la CVE Foundation, organisation à but non lucratif, vise à garantir l’indépendance et la pérennité du programme CVE, en le sortant de la dépendance exclusive au budget fédéral américain. En Europe, l’ENISA lance sa propre base de vulnérabilités (EUVD) pour diversifier les sources et renforcer la sécurité du continent. Mais la crise du financement du CVE est un signal d’alarme : la sécurité informatique mondiale repose sur des infrastructures fragiles, souvent à la merci de décisions politiques.
