Pourquoi le NIST a-t-il arrete l'enrichissement des CVE avant mars 2026 ?

Le nombre de CVE soumises a la NVD a bondi de 263 pourcent entre 2020 et 2025, ce qui a sature les analystes du NIST. Le 17 avril 2026, le NIST a officialise un tri par risque : seules les CVE presentes dans le catalogue KEV de la CISA, ou touchant les logiciels du gouvernement federal US, ou classees critiques selon l'Executive Order 14028 continueront d'etre enrichies.

Quel impact concret pour les RSSI francais ?

La plupart des CVE qui touchent les SI francais ne rentrent pas dans les criteres NIST prioritaires. Les RSSI doivent integrer plusieurs sources de scoring (OSV.dev, EU-VDB de l'ENISA, GitHub Security Advisories) et documenter une politique de triage CVE explicite. Les auditeurs NIS2 vont demander des preuves de cette politique a partir de Q3 2026.

L'EU-VDB peut-elle remplacer la NVD pour la conformité francaise ?

Oui, partiellement. L'European Vulnerability Database (EUVD) lancee par l'ENISA en 2025 est positionnee comme le pendant europeen de la NVD. Avec le Cyber Resilience Act applicable en 2027, l'EUVD recevra de plus en plus de notifications obligatoires d'editeurs europeens. Pour les operateurs francais OSE/OIV et les entites NIS2, l'EUVD devient la base de reference europeenne, complementee par OSV.dev pour la couverture open source.

Combien coute la mise en conformité multi-source des CVE ?

Pour une PME francaise sans pipeline existant, comptez 12 a 25 jours de prestation pour migrer vers une stack multi-source (osv-scanner, EUVD, GitHub Advisories) et documenter la politique. Budget : 14 000 a 32 000 EUR. Pour une ETI multi-sites, comptez 40 a 80 jours et un budget de 50 000 a 110 000 EUR avec la formation des equipes SOC.

NIST abandonne l'enrichissement des CVE avant mars 2026 : impact pour les RSSI francais et NIS2

— Ce que le NIST a annonce le 17 avril 2026

Le vendredi 17 avril 2026, Harold Booth, informaticien au NIST, a officialise les changements operationnels de la National Vulnerability Database (NVD). Avec un bond de 263 % du nombre de CVE soumises entre 2020 et 2025, l'equipe d'analystes federaux n'arrive plus a tenir le rythme d'enrichissement (CVSS, CWE, references). Le NIST introduit donc un tri par risque, effectif immediatement.

Concretement : toutes les CVE dont la date de publication NVD est anterieure au 1er mars 2026 et qui n'ont pas encore ete enrichies basculent dans la categorie Not Scheduled. Elles restent listees mais sans CVSS calcule par le NIST, sans mapping CWE, sans references verifiees. Trois criteres seuls maintiennent l'enrichissement prioritaire :

CVE presentes dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA ;
CVE touchant les logiciels du gouvernement federal US ;
CVE classees critiques selon l'Executive Order 14028.

Pour tout le reste - et c'est la majorite de l'ecosysteme open source mondial - le score CVSS sera celui que la CVE Numbering Authority (CNA) emettrice fournit, sans verification independante.

Avis d'expert

« Le NIST envoie un signal clair : la NVD reste une reference officielle, mais ce n'est plus un SOC temps-reel. Pour les RSSI francais, le risque immediat n'est pas que les CVE disparaissent - c'est qu'elles soient mal scorees par les CNA emettrices, sans contre-pouvoir. Une CVE classee 6.5 par un editeur commercial peut etre en realite 9.0 si elle touche un module critique. La pression sur la triage interne s'intensifie. »

Nicolas Berger, Expert en cybersecurite offensive — WebGuard Agency

— Consequences directes pour les RSSI francais

Si vous etes RSSI d'une PME, ETI ou grand compte francais, votre pipeline de detection des vulnerabilites s'appuyait probablement de maniere directe ou indirecte sur la NVD : Dependabot, Renovate, Snyk, Trivy, Grype, Qualys, Tenable, Rapid7 - tous consomment l'enrichissement NVD. A partir d'avril 2026, cette source unique devient insuffisante. Trois actions concretes deviennent prioritaires.

Premierement, basculer la pipeline sur plusieurs sources. osv-scanner (gratuit, maintenu par Google) agrege OSV.dev et fonctionne hors-ligne. La European Vulnerability Database (EUVD) de l'ENISA, lancee en 2025 et renforcee par le Cyber Resilience Act applicable en 2027, devient la base de reference europeenne. GitHub Security Advisories, VulnCheck, et les bases editeur (Red Hat, SUSE, Canonical) completent l'arsenal.

Deuxiemement, documenter une politique de triage CVE en interne. Quelle source a priorite quand les CVSS divergent ? Quels delais de patch selon la severite ? Quelles exceptions ? Sans cette politique ecrite, vos auditeurs NIS2 vont ouvrir une non-conformite. Pour les RSSI qui ne savent pas par ou commencer, notre guide ANSSI hygiene informatique et notre audit de perimetre NIS2 couvrent les fondations.

Troisiemement, contribuer a la KEV de la CISA. Si vous detectez qu'une CVE non-KEV est activement exploitee dans votre SOC, signalez-le via votre CNA. C'est la seule maniere d'obtenir l'enrichissement NIST pour cette CVE.

Architecture de scan recommandee 2026

SAST : Semgrep OSS / SonarQube CE

SCA : Trivy, Grype, osv-scanner

Container scan : Trivy, Grype

SBOM : Syft + Grype (CycloneDX/SPDX)

Triage : Dependabot, Renovate (multi-source)

Enrichissement : OSV.dev + EUVD + GitHub

— Conformite NIS2 et BSI : les questions d'audit a anticiper

Depuis octobre 2024, des milliers d'entreprises francaises sont entrees dans le perimetre NIS2. Les auditeurs (organismes certificateurs, ANSSI, autorites sectorielles) vont desormais aligner leurs questions sur cette nouvelle realite. Anticipez ces questions des Q3 2026 :

Comment verifiez-vous les scores CVSS qui ne proviennent que d'un CNA, sans contre-verification NIST ?
Quelles sources europeennes (EUVD, ANSSI CERT-FR) sont integrees dans votre SOC ?
Quel est votre processus de triage pour les CVE absentes du KEV ?
Comment documentez-vous les exceptions de patch superieures a 30 jours ?
Avez-vous une SBOM a jour pour vos applications critiques ?

Avis d'expert

« Pour les operateurs OSE et OIV francais, l'urgence est double : migrer techniquement vers une stack multi-source ET prouver par ecrit la politique de triage. Sans documentation, l'auditeur ouvre la non-conformité, point. C'est exactement ce qu'on a vu sur les premiers controles NIS2 du printemps 2026 dans le secteur sante. »

Nicolas Berger, Expert en cybersecurite offensive — WebGuard Agency

Votre politique CVE est-elle prete pour l'audit NIS2 ?

WebGuard Agency audite votre pipeline de gestion des vulnerabilites en moins de 5 jours et livre un plan de mise en conformité chiffre. Audit de perimetre NIS2.

Demander un audit NIS2 →

— Comment l'ecosysteme reagit deja

Red Hat, SUSE et Canonical ont confirme la semaine du 14 avril 2026 qu'ils renforcent leurs security trackers (Red Hat CVE Database, SUSE Security Database, Ubuntu CVE Tracker). La Python Software Foundation a annonce le 16 avril 2026 que les advisories PyPA seront prioritairement publiees dans OSV plutot que dans NVD. L'ecosysteme Rust applique deja ce modele depuis 2023 via RustSec. La meme dynamique est observee chez les developpeurs open source francais (voir notre analyse cote D-Open) et chez les agences IA qui basculent vers le self-host pour controler aussi leurs chaines d'outils (voir notre analyse Plug-Tech sur Mozilla Thunderbolt).

Le centre de gravite de l'enrichissement CVE bascule vers les communautes et hors du NIST. C'est une bonne nouvelle a long terme pour la souverainete europeenne. C'est un risque court terme si vos pipelines ne sont pas migrees.

Avis d'expert

« La meilleure defense en avril 2026, c'est la diversification des sources et l'automatisation du triage. Une PME francaise qui passe de NVD-seul a OSV+EUVD+GitHub Advisories en mai 2026 sera mieux protegee qu'une grosse boite qui attend septembre 2026 pour reagir. La taille n'est pas un avantage si la vitesse n'est pas la. »

Nicolas Berger, Expert en cybersecurite offensive — WebGuard Agency

— Plan d'action pour un RSSI francais en avril 2026

KW 17 (21-27 avril) : audit des sources CVE consommees dans tous les pipelines internes. Identifier les dependances NVD-seul.
KW 18 (28 avril - 4 mai) : installer osv-scanner dans la CI, basculer Renovate / Dependabot sur configuration multi-source.
Mai 2026 : documenter la politique CVE interne (seuils de severite, delais de patch, escalade, exceptions).
Juin 2026 : integrer EUVD dans le SOC pour couverture europeenne native, alignement avec CRA 2027.
Septembre 2026 : revue trimestrielle de la couverture reelle versus alertes recues, tests d'audit blanc NIS2.

— FAQ

Pret a moderniser votre gestion CVE ?

WebGuard Agency accompagne les RSSI francais sur la refonte de la gestion des vulnerabilites, la conformité NIS2 et l'integration de sources multi-CVE. Audit, plan d'action, formation SOC.

Demander un audit gratuit →

NIST abandonne l'enrichissement des CVE avant mars 2026 : impact pour les RSSI francais et la conformité NIS2

TL;DR

— Ce que le NIST a annonce le 17 avril 2026

— Consequences directes pour les RSSI francais

Architecture de scan recommandee 2026

— Conformite NIS2 et BSI : les questions d'audit a anticiper

Votre politique CVE est-elle prete pour l'audit NIS2 ?

— Comment l'ecosysteme reagit deja

— Plan d'action pour un RSSI francais en avril 2026

— FAQ

Pret a moderniser votre gestion CVE ?