EUVD, première brique d’une cybersécurité souveraine en Europe ?

En mai dernier, l’Agence de l’Union européenne pour la cybersécurité (ENISA) a lancé la base EUVD (European Vulnerability Database), une initiative inédite au sein de l’Union européenne. C’est en effet la première fois qu’une base publique de gestion des vulnérabilités voit le jour au sein de l’UE.

« L’initiative EUVD s’inscrit dans un contexte marqué par les difficultés rencontrées par le programme américain NVD (National Vulnerability Database) géré par le NIST (National Institute of Standards and Technology), longtemps considéré comme la référence mondiale en matière de gestion des vulnérabilités. À la suite des restrictions budgétaires imposées par le DOGE (Department of Government Efficiency) aux États-Unis, les activités du NVD ont connu un fort ralentissement, soulevant des inquiétudes quant à sa fiabilité. Dans ce cadre, l’Union européenne a vu dans l’EUVD une opportunité stratégique : disposer d’une base indépendante, complémentaire au NVD, et mieux adaptée aux besoins européens », déclare Maxime Alay-Eddine, Cofondateur de Cyberwatch et Galeax, et membre de XXXXXXX.

Le programme NVD a pour rôle d’analyser les vulnérabilités afin de préciser leur nature, les technologies affectées et de leur attribuer un score de gravité. Ces informations viennent compléter l’identifiant unique CVE (Common Vulnerabilities and Exposures), délivré en amont par The MITRE Corporation, qui sert à référencer chaque vulnérabilité. L’EUVD s’inscrit déjà dans cette logique : les failles issues des bases CVE / NVD se voient également attribuer un identifiant européen, assurant la cohérence entre les différents systèmes.

Une couverture encore limitée sur Linux

« L’EUVD représente une avancée notable pour l’Europe, mais son véritable intérêt se mesurera lorsqu’elle sera en mesure d’apporter des informations techniques enrichies, au-delà du simple identifiant. Aujourd’hui, la base reste très documentée pour les environnements Windows, mais demeure lacunaire du côté Linux. Or, ce manque pourrait être comblé en s’appuyant sur la communauté open source, qui a l’habitude de contribuer à la documentation et pourrait alimenter l’EUVD en données pertinentes », précise Maxime Alay-Eddine. 

Selon une étude réalisée par Markess pour le CNLL (Union des entreprises du logiciel libre et du numérique ouvert), Numeum et Systematic Paris-Region, l’Open Source est une composante clé dans les domaines les plus dynamiques du numérique tels que l’IA, le Big Data, l’IoT, l’ IaaS, le PaaS et la cybersécurité. Le marché français du logiciel libre a été multiplié par 40 en moins de vingt ans. La France est la locomotive de l’Open Source en Europe avec un volume représentant 5,9 milliards d’euros de chiffre d’affaires.

« Une communauté Open Source ne repose pas uniquement sur la participation bénévole : elle doit être accompagnée et structurée. L’idée n’est pas de rémunérer directement les contributeurs, mais de mettre en place une animation dédiée, portée par un chef de projet financé par l’initiative. Celui-ci aurait pour rôle de coordonner les contributions et de valoriser l’engagement des bénévoles, par exemple en certifiant leur participation. Cette reconnaissance officielle constituerait un véritable atout pour les contributeurs, notamment dans leur parcours professionnel », analyse Maxime Alay-Eddine.

Un dispositif aligné sur NIS2 et le Cyber Resilience Act

L’initiative EUVD constitue également un aboutissement directement poussé par les réglementations européennes récentes, en particulier la directive NIS2 et le Cyber Resilience Act (CRA). La directive NIS2, entrée en vigueur en 2024, impose des exigences accrues en matière de cybersécurité et de gestion des vulnérabilités pour un large éventail d’organisations critiques dans l’Union européenne, demandant notamment la déclaration et le partage coordonné des vulnérabilités au niveau européen. 

Le Cyber Resilience Act renforce, quant à lui, l’obligation pour les fabricants de logiciels et de matériels numériques de recenser et signaler rapidement les failles identifiées, favorisant ainsi l’émergence d’une base consolidée et souveraine telle que l’EUVD pour centraliser et harmoniser la gestion des vulnérabilités. « Le Cyber Resilience Act introduit une logique de transparence comparable à l’étiquetage alimentaire : les éditeurs de logiciels devront publier la liste des composants utilisés et signaler les vulnérabilités associées. Une approche inédite qui vise à offrir aux utilisateurs une meilleure visibilité sur la sécurité des produits numériques », note Maxime Alay-Eddine.

L’EUVD s’appuie sur des standards internationaux pour offrir un service interopérable et automatisé dans la gestion des vulnérabilités numériques. Au cœur de son architecture se trouve l’utilisation du Common Security Advisory Framework (CSAF), un standard qui permet la diffusion et la lecture automatisée des bulletins de sécurité, facilitant ainsi l’intégration des alertes dans les systèmes des entreprises européennes.

2025 : année d’ajustements pour le dispositif EUVD

L’ENISA a annoncé que l’une de ses priorités pour 2025 était de mettre en place un cycle d’amélioration continue, directement alimenté par les besoins exprimés par les RSSI, les CERTs nationaux, les chercheurs en cybersécurité et les éditeurs de logiciels. Cela se traduit notamment par des consultations régulières auprès des parties prenantes, afin d’identifier les manques actuels, par exemple sur la couverture Linux, la granularité technique ou la rapidité de mise à jour. Un dispositif de feedback a par ailleurs été intégré à la plateforme, permettant aux utilisateurs de signaler des incohérences, de suggérer de nouvelles fonctionnalités ou d’apporter des précisions sur des vulnérabilités.

« La base de données de l’UE sur la vulnérabilité est une étape majeure vers le renforcement de la sécurité et de la résilience de l’Europe. En rassemblant des informations sur les vulnérabilités pertinentes pour le marché européen, nous relevons les normes de cybersécurité, ce qui permet aux parties prenantes des secteurs privé et public de mieux protéger nos espaces numériques communs avec plus d’efficacité et d’autonomie », conclut Henna Virkkunen, Vice-présidente exécutive de la Commission européenne chargée de la souveraineté technologique, de la sécurité et de la démocratie.