En bref

  • Le NIST a officialisé le 15 avril 2026 l'abandon de l'enrichissement systématique des CVE publiés dans le NVD.
  • Face à une hausse de 263% des soumissions entre 2020 et 2025, seuls les CVE KEV et les logiciels fédéraux critiques seront enrichis.
  • Tout le backlog antérieur au 1er mars 2026 bascule en « Not Scheduled », obligeant les équipes sécurité à s'appuyer sur d'autres sources.

Ce qui s'est passé

Le National Institute of Standards and Technology a publié le 15 avril 2026 une mise à jour majeure de sa politique d'enrichissement des vulnérabilités au sein de la National Vulnerability Database. L'organisme américain ne traitera plus automatiquement l'ensemble des CVE : seuls ceux qui répondent à des critères précis bénéficieront du scoring CVSS, des métadonnées CPE et des références détaillées qui font historiquement la valeur du NVD.

La liste des critères de priorisation se resserre autour de trois cas : les CVE inscrits au catalogue Known Exploited Vulnerabilities (KEV) de la CISA, les vulnérabilités affectant des logiciels utilisés par l'administration fédérale, et les logiciels critiques définis par l'Executive Order 14028. Les CVE publiés avant le 1er mars 2026 qui n'ont pas encore été traités sont basculés en statut « Not Scheduled » et ne le seront pas sans demande explicite à l'adresse nvd@nist.gov.

Le NIST justifie cette bascule par une explosion du volume : 263% de hausse des soumissions entre 2020 et 2025, et près de 42 000 CVE enrichis sur la seule année 2025, soit 45% de plus que le précédent pic historique. L'organisme cesse également de produire un score CVSS secondaire lorsqu'une CVE Numbering Authority a déjà publié son propre score, et ne réanalysera une CVE modifiée que si le changement a un impact matériel sur les données d'enrichissement.

Pourquoi c'est important

Le NVD est depuis vingt ans le référentiel de facto sur lequel reposent les scanners de vulnérabilités, les outils de gestion de patch et une grande partie des programmes de conformité. En perdant la garantie d'un enrichissement exhaustif, les RSSI se retrouvent avec un référentiel à deux vitesses : les CVE « premium » enrichis en priorité, et une longue traîne d'entrées à peine documentées. Les chaînes de traitement qui s'appuient aveuglément sur le CVSS du NVD pour prioriser les correctifs vont devoir intégrer des sources alternatives.

Pour les éditeurs et les équipes DevSecOps, l'enjeu immédiat est la qualité des données fournies par les CNA eux-mêmes : puisque le NIST ne corrige plus systématiquement les scores, la responsabilité bascule vers les organismes qui attribuent les CVE. Les référentiels tiers comme le EPSS de FIRST, les bases de SentinelOne, VulnCheck ou GreyNoise deviennent complémentaires plutôt qu'optionnels. Côté conformité, les contrôles PCI DSS, HIPAA ou DORA qui s'appuient sur une lecture mécanique du NVD devront être réoutillés.

Ce qu'il faut retenir

  • Le NVD reste la source publique de CVE mais son enrichissement devient sélectif : priorité aux KEV, logiciels fédéraux et critiques.
  • Les CVE publiés avant le 1er mars 2026 et non enrichis ne le seront qu'à la demande, par email à nvd@nist.gov.
  • Les programmes de gestion de vulnérabilités doivent désormais croiser plusieurs sources : KEV CISA, EPSS, bases CNA, renseignement privé.

Le NVD est-il encore fiable pour prioriser les correctifs ?

Oui, mais plus seul. Le NVD reste utile pour les CVE retenus par le triage prioritaire, en particulier celles alignées avec le catalogue KEV. Pour les autres, il faut combiner les scores CNA, l'EPSS de FIRST et les sources privées de threat intelligence pour obtenir un signal exploitable.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact