Le National Institute of Standards and Technology (NIST) a décidé d’arrêter d’attribuer des scores de gravité aux vulnérabilités jugées moins prioritaires, en raison d’une augmentation significative du volume des soumissions. À partir du 15 avril, l’organisme se concentrera uniquement sur les problèmes de sécurité répondant à des critères spécifiques liés au risque qu’ils représentent.
Bien que la National Vulnerability Database (NVD) continue de répertorier toutes les vulnérabilités soumises, celles considérées comme de faible priorité ne disposeront que d’une évaluation de gravité fournie par la CVE Numbering Authority (CNA) qui les a évaluées. Cette décision a été annoncée récemment par cette agence fédérale non réglementaire.
NIST a précisé qu’il fournirait des détails supplémentaires pour les vulnérabilités qui remplissent un de ces critères :
- figurent dans le catalogue Known Exploited Vulnerabilities (KEV) de la CISA
- affectent les logiciels du gouvernement fédéral américain
- concernent des logiciels critiques selon l’Executive Order 14028
Face à une hausse de 263 % des soumissions récemment, NIST, qui a enrichi 42 000 CVE en 2025, ne peut plus suivre l’augmentation continue du volume au début de 2026.
La NVD constitue une base de données centralisée et publique des vulnérabilités logicielles et matérielles recensées. Elle offre également des descriptions et analyses supplémentaires, au-delà des identifiants uniques attribués par les CNA, telles que les fabricants et l’organisation à but non lucratif MITRE Corporation.
L’enrichissement des détails des vulnérabilités vise à rendre les entrées CVE exploitables dans la gestion des risques, notamment en assignant des scores de gravité, en identifiant les versions de produits affectées, en classifiant les faiblesses, et en fournissant des liens vers des avis, des correctifs ou des recherches connexes.
NIST a indiqué que toutes les CVE soumises seraient toujours ajoutées à la NVD. Cependant, celles qui ne répondent pas aux critères susmentionnés seront classées comme « Not Scheduled ». Ce changement permettra de se concentrer sur les CVE ayant le potentiel d’impact le plus large.
Bien que NIST reconnaisse que certaines CVE à fort impact puissent échapper à cette nouvelle réglementation, l’agence accepte les demandes d’enrichissement pour les « CVEs » de priorité basse via un email à ‘nvd@nist.gov’. Ce manque d’enrichissement ou les délais constatés depuis 2024 deviennent dès lors formels, orientant l’agence vers les entrées les plus critiques.