L'agence américaine de normalisation, NIST Base de données nationale sur la vulnérabilité (NVD), il suffit de couper la portée de ce que vous considérez "enrichissement" des vulnérabilités. La mesure répond à une avalanche de rapports : la quantité de CVE (Vulnérabilités et Expositions communes) qui vient d'être cataloguée a augmenté de façon explosive ces dernières années, et le NIST admet qu'il ne peut plus traiter chacun avec le même niveau de détail.
Le changement central est simple mais significatif: Le NIST continuera d'énumérer tous les QE, mais il n'ajoutera de l'information sur l'enrichissement qu'à ceux qui répondent à des critères de priorité spécifiques. Les vulnérabilités qui ne s'inscrivent pas dans ce cadre apparaîtront "Non programmé" dans la base de données, c'est-à-dire qu'ils seront enregistrés mais ne recevront pas l'extension du contexte, des paramètres et de l'analyse que beaucoup d'équipes de sécurité ont pris pour acquis.
Les conditions que le NIST a établies pour prioriser l'enrichissement - en vigueur depuis le 15 avril 2026 - se concentrent sur l'impact possible et l'exposition réelle. Les QE inclus dans le catalogue Vulnérabilités exploitées connues (KEV) C'est pas vrai. CISA, les vulnérabilités dans les logiciels utilisés par le gouvernement fédéral américain et ceux considérés comme des « logiciels critiques » tels que définis par le Décret exécutif 14028. Cette dernière catégorie comprend les programmes qui fonctionnent avec des privilèges élevés ou gérés, qui gèrent l'accès aux réseaux ou ressources sensibles, qui contrôlent les données ou les opérations industrielles, ou qui fonctionnent en dehors des limites normales de confiance avec une capacité d'accès privilégiée.
Il est important de noter que les QE suspendus pour enrichissement ne disparaissent pas : ils sont toujours disponibles dans la base de données. Ceux qui estiment qu'une vulnérabilité non programmée a un impact élevé peuvent demander une réévaluation envoyer un courrier à nvd @ nist.gov; NIST examinera et, le cas échéant, programmera l'enrichissement.
Le mobile opérationnel derrière tout cela n'est pas moins. Le NIST précise que le volume des expéditions a augmenté : entre 2020 et 2025, le nombre de CVE a augmenté d'environ 263%, et en 2025, l'agence a ajouté de l'enrichissement à environ 42 000 entrées, chiffre bien supérieur aux années précédentes. En outre, les premiers mois de 2026 montrent un rythme encore plus élevé de nouvelles notifications. Cette pression a contraint l'organisme à décider où utiliser les ressources humaines et techniques pour maximiser la protection systémique.
En plus du filtre par priorité, le NIST a introduit des ajustements opérationnels qui modifient la façon dont l'information est présentée et mise à jour. L'organisation ne produira plus systématiquement un score de gravité distinct si l'autorité de numérotation CVE (CNA) a déjà publié sa propre notation. Le CVE modifié ne sera analysé que si le changement a un impact important sur les données d'enrichissement et s'est déplacé vers l'état de "Non programmé" toutes les entrées non enrichies avec la date de publication avant le 1er mars 2026 (sauf celles du catalogue KEV). NIST a également mis à jour les balises d'état et Tableau de bord pour refléter ces transitions en temps réel.
La nouvelle a suscité des réactions dans l'industrie. Les chercheurs des entreprises de sécurité soulignent que la décision était prévisible Priorité fondée sur les risques un pas en arrière pratique contre l'impossibilité de maintenir un enrichissement manuel complet. De VulnCheck Il est à noter que si la transparence du NIST aide à établir les attentes, le mouvement laisse les organisations qui dépendent exclusivement du NVD avec des itinéraires moins clairs pour obtenir une analyse enrichie de nombreuses vulnérabilités. Selon les données partagées par l'industrie, il y a encore des milliers de défaillances de 2025 sans qu'un score CVSS soit attribué.
Pour d'autres experts, la mesure marque la fin d'une époque où un dépôt unique géré par le gouvernement était suffisant pour évaluer le secteur de risque. Les responsables de la sécurité ont souligné que la nouvelle réalité exige que les organisations adoptent des approches plus proactives et axées sur la menace : la priorité doit être donnée à ce qui est réellement exploité dans le monde réel, à suivre des listes telles que la KEV et à établir des mesures d'exploitation. Entreprises comme Contre la sécurité ont fait remarquer que ce changement interrompt les flux d'audit hérités, tout en favorisant une échéance opérationnelle où un sous-ensemble de données curées pouvant donner lieu à une action est préféré à un fichier complet et non abrégé.
Qu'est-ce que cela signifie pour les équipes de sécurité et les administrateurs? Dans la pratique, la transition recommande de renforcer les capacités internes : bien connaître l'inventaire des actifs, automatiser l'ingestion de flux d'exploitation réelle (telle que KEV), intégrer le renseignement sur les menaces dans les processus prioritaires et veiller à ce que les outils eux-mêmes tirent parti des résultats et des mesures d'exploitation en temps réel. Il convient également de maintenir des canaux directs avec les fournisseurs de logiciels et les autorités de numérotation CVE pour recevoir des avertissements et des correctifs précoces.
En fin de compte, la décision du NIST met en évidence une leçon claire de l'environnement actuel : le nombre de vulnérabilités augmente à un rythme qui rend le traitement manuel et uniforme impossible. L'accent passe de l'exhaustivité à l'efficacité opérationnelle en choisissant des ressources pour atténuer ce qui menace l'écosystème dans son ensemble. Pour se défendre, les organisations devront accélérer leur démarche vers l'automatisation, l'orchestration et la collaboration avec des sources de renseignement externes, car ce que les défenseurs ne priorisent pas sera sans doute un attaquant.
Pour suivre les mises à jour officielles et consulter les nouveaux états de vulnérabilité, le point de départ est NVD lui-même dans https: / / nvd.nist.gov / le catalogue KEV CISA. Le guide-cadre sur les logiciels critiques et l'intention de hiérarchiser les priorités figurent dans le texte exécutif publié par la Maison-Blanche en relation avec la Décret exécutif 14028 qui continue de guider nombre de ces décisions de politique publique.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...