L’Agence européenne pour la cybersécurité (European Union Agency for Cybersecurity Enisa) a annoncé la mise en place de l’EUVD (European Vulnerability Database), la toute première base de données européenne qui regroupe les vulnérabilités des technologies de l’information et de la communication.
Le directeur exécutif de l’agence, Juhan Lepassaar a annoncé : « L’UE dispose désormais d’un outil essentiel pour améliorer la gestion des vulnérabilités. (…) La base garantit la transparence pour les utilisateurs des produits TIC concernés et fournit une source efficace pour identifier des mesures d’atténuation ».
L’EUVD permet de structurer la gestion des risques informatiques grâce à la centralisation des données fiables sur les failles qui touchent les services et produits numériques utilisés en Europe. Avec son architecture interopérable, la base croise les données de sources multiples (éditeurs, bases de données open source, CERT nationaux) et les améliore en y ajoutant des mesures de remédiation, des statuts d’exploitation ou d’autres détails plus techniques. La base s’organise sur trois tableaux de bord dédiés : le premier aux vulnérabilités critiques, le deuxième aux vulnérabilités exploitées et un troisième pour les vulnérabilités coordonnées par le CSIRT de l’Union européenne. L’agence européenne entend améliorer ce service en prenant en compte les retours de ses utilisateurs.
Une avancée pour la souveraineté de l’Europe
De son côté, la vice-présidente exécutive de la Commission européenne en charge de la souveraineté technologique Henna Virkkunen s’est félicitée de cette avancée : « En consolidant l’information pertinente pour le marché européen, nous élevons nos standards de cybersécurité et permettons une protection plus autonome et efficace de nos espaces numériques »
Cette base répond à la directive NIS 2. Elle applique par ailleurs les standards Common Security Advisory Framework (CSAF), qui concernent notamment la lecture automatique et l’analyse des bulletins de sécurité. Enfin, l’Enisa s’appuie également sur l’autorité de numérotation CVE pour enregistrer ces identifiants pour les failles repérées par les CISTR d’origine européenne ou celles déclarées dans le cas de divulgations coordonnées.
Pour rappel, la CVE (Common Vulnerabilities and Exposures) correspond à la base de données la plus utilisée dans le monde et maintenue par MITRE, une organisation à but non lucratif et soutenue jusqu’à maintenant par le gouvernement des Etats-Unis.
