Face à l’explosion du volume de failles, le NIST fait évoluer le fonctionnement de sa base de référence. L’objectif n’est plus de tout analyser, mais de prioriser ce qui fait réellement risque systémique.
Un changement de doctrine imposé par la réalité des volumes
Jusqu’ici, la National Vulnerability Database reposait sur un principe simple : enrichir chaque CVE publiée avec des informations essentielles, notamment des scores de sévérité et des détails produits. Ce modèle n’est plus tenable selon la communication officielle sur leur site.
Entre 2020 et 2025, le volume de vulnérabilités a bondi de 263 %. La dynamique s’accélère encore en 2026, avec des soumissions en hausse d’un tiers sur les premiers mois de l’année. Malgré une montée en puissance des capacités, près de 42 000 CVE enrichies en 2025, un niveau inédit, l’écart continue de se creuser.
Le NIST tranche et opte pour une approche plus sélective.
Une priorisation assumée du risque systémique
À partir du 15 avril 2026, seules les vulnérabilités répondant à certains critères feront l’objet d’une analyse complète. De fait, la base évolue vers un fonctionnement à deux vitesses, entre vulnérabilités priorisées et enrichies d’un côté, et de l’autre, des failles peu documentées.
Le NIST concentre désormais ses ressources sur les failles déjà exploitées activement, celles qui concernent des logiciels utilisés par l’administration fédérale, ainsi que les logiciels critiques définis par le cadre réglementaire américain.
Toutes les autres vulnérabilités continuent d’être publiées dans la base, mais basculent dans une catégorie de priorité minimale. Elles ne sont plus enrichies immédiatement. Le NIST reconnaît explicitement que certaines d’entre elles peuvent avoir un impact significatif à l’échelle d’un système donné, mais qu’elles ne présentent pas le même niveau de risque global. La NVD devient un outil orienté impact, et non plus de couverture exhaustive. Ce changement implique une remise en question des chaînes d’analyse automatisées qui s’appuyaient jusqu’ici directement sur les scores fournis par la NVD.
Vers une rationalisation des efforts d’analyse
Ce changement ne se limite pas à la priorisation. Il s’accompagne d’une refonte plus large des pratiques d’analyse.
Le NIST met fin à la duplication systématique des scores de sévérité. Jusqu’ici, l’institution produisait ses propres évaluations, même lorsque celles-ci existaient déjà côté éditeur ou autorité émettrice. Désormais, ce travail ne sera plus réalisé de manière systématique, afin de concentrer les ressources sur les cas jugés les plus critiques.
Même logique sur la gestion des mises à jour : les CVE déjà enrichies ne seront réanalysées que si une modification impacte réellement les données existantes. Le backlog accumulé depuis 2024 est également traité de manière radicale : le NIST reconnaît ne pas avoir réussi à résorber le retard accumulé depuis 2024 et choisit de reléguer ces vulnérabilités dans une catégorie non prioritaire.
