Cybersécurité : qu’est-ce que la base de données européenne sur les vulnérabilités (EUVD) et qu’apporte-t-elle aux territoires ?

En mai dernier, l’Agence européenne pour la cybersécurité (Enisa) a publié la première base de données européenne recensant les vulnérabilités des logiciels et des équipements informatiques. Cette EUVD (European Vulnerability Database) peut être exploitée par les territoires pour la veille cyber qui sera rendue obligatoire par la directive NIS2. Entretien avec Valentin Chuzel, Responsable du CSIRT Breizh Cyber, et explications de Christophe Guillemin.

Quel est le rôle du CSIRT Breizh Cyber et comment travaillez-vous avec les collectivités ?

Nous sommes le centre de réponse à incident de cybersécurité de la région Bretagne ou « SAMU Cyber » (CSIRT en anglais pour "computer security incident response team"). Comme les 14 autres CSIRT territoriaux, nous sommes issus d'un projet du plan France Relance en 2021. Notre mission est de venir en aide aux entreprises, associations et collectivités victimes de cyberattaques. Cela peut aller du simple phishing à des attaques plus conséquentes, comme des rançongiciels. Nous réalisons nous même le travail de remédiation quand cela est possible. Si l’incident nécessite un déplacement sur le site de la victime, nous la mettons en relation avec une entreprise locale spécialisée en cybersécurité pour qu’elle prenne le relais. Depuis notre création, en 2023, nous avons traité près de 250 incidents.

Une de nos missions est également d’assurer une veille des vulnérabilités décelées sur les logiciels et les équipements informatiques.

Nous communiquons sur le sujet via les réseaux sociaux pour en informer les DSI (Directeur des systèmes d’information) ou RSSI (Responsable Sécurité des Systèmes) des entreprises, associations et collectivités. En cas d’incident, nous exploitons aussi des informations sur ces vulnérabilités pour réaliser des corrélations entre l’incident et les vulnérabilités existantes, afin de trouver la potentielle porte d’entrée exploitée par les cyberattaquants. Par exemple, quand une collectivité nous indique qu’elle utilise tel pare-feu ou tel VPN, nous savons si des failles existent sur ces équipements et pouvons en informer le prestataire avec lequel nous avons mis la victime en relation.

Vous utilisiez auparavant la base américaine CVE, qui est la référence mondiale des bases de données de vulnérabilité. Depuis la publication de la base européenne EUVD vous utilisez désormais principalement ce nouvel outil. Pourquoi ?

Oui, nous utilisions comme beaucoup la base CVE (Common Vulnerabilities and Exposures), gérée par l’organisation américaine MITRE. Mais depuis mai dernier, nous nous appuyons désormais sur l’EUVD.

Une des raisons de ce changement, est le souhait de prendre notre indépendance vis-à-vis du CVE, qui reste une base de données américaine. MITRE est indirectement financée par la CISA (Cybersecurity and Infrastructure Security Agency), qui est une agence fédérale. Autre élément : le président Trump a annoncé des coupes budgétaires assez fortes visant la CISA. L’avenir de la base CVE est donc désormais incertain. L’EUVD arrive au bon moment, comme solution alternative.

Il n’y a pas de relation de cause à effet entre les coupes budgétaires américaines et la publication de l’EUVD, mais c’est un heureux hasard du calendrier pour ce projet européen porté depuis plusieurs années par la Commission Européenne.

Or, ce texte impose désormais aux éditeurs de logiciels et d’équipements de signaler les vulnérabilitésdécouvertes dans leurs produits. Il fallait donc aussi leur fournir un outil pour les publier : c’est là que l’EUVD intervient.

Concrètement, en quoi consiste l’EUVD et quels sont ses atouts pour les acteurs ayant des enjeux de cybersécurité, dont les territoires ?

C’est une base ouverte à tous, accessible en ligne et ceci gratuitement. Elle regroupe à la fois des informations créées directement par l’équipe EUVD et des données importées d’autres sources européennes, notamment des CERT nationaux comme l’ANSSI pour la France. On y trouve la description de chaque vulnérabilité, son score de criticité (le "CVSS " sur une échelle de 1 à 10) et des consignes de remédiation quand elles existent, ce qui est un atout très intéressant. Un second score, le "EPSS", qui indique la probabilité qu’une vulnérabilité soit exploitée par un attaquant. C’est également très pertinent pour tous les acteurs ayant des enjeux de cybersécurité pour évaluer le risque potentiel d’une vulnérabilité.

 

 

 

 

 

 

 

Par exemple, une faille avec un score CVSS de 9,5 mais un EPSS de 0, signifie que la vulnérabilité est très grave, mais qu’elle n'a pas de grandes chances d’être exploitée. À l’inverse, une faille moyenne mais avec un EPSS élevé devient prioritaire à corriger. C’est une vraie avancée, car cela permet de hiérarchiser les menaces.

Comment utilisez-vous cette base EUVD ?

Nous avons automatisé notre veille grâce à l’EUVD qui dispose d’une API (interface de programmation d'application) publique et gratuite. Via cette API nous avons connecté nos outils de veille à la base EUVD pour générer automatiquement des contenus. Tous les matins, nous recevons par exemple un mail qui recense les vulnérabilités critiques des dernières 24 heures.

Les collectivités peuvent-elles l’utiliser également ?

Oui, complètement. C’est gratuit, accessible, et cela répond aux futures obligations de la directive NIS2, qui vise à renforcer la sécurité des réseaux et des systèmes d'information en Europe, notamment auprès des territoires. En Bretagne, à partir de 2026, environ 400 collectivités seront concernées par NIS2 et devront faire de la veille en vulnérabilités. L’EUVD est un excellent outil pour cela. Et si la collectivité n’a pas les compétences internes, elle peut s’appuyer sur un CSIRT régional. L’EUVD facilite la veille de vulnérabilités. Un territoire peut créer des alertes ou un bulletin quotidien comme nous, via l’API. En cas d’incident, un expert en cybersécurité pourra l'utiliser pour les corrélations précédemment évoquées. Mais le principal usage reste la veille plus que la remédiation, qui est cruciale dans une stratégie de cybersécurité, pour une entreprise comme pour un territoire. C’est pour cette raison qu’elle devient une obligation pour de nombreuses collectivités via la directive NIS2.

Est-ce que cette base couvre aussi les briques technologiques du territoire connecté et durable (TCD) ?

Oui, tout à fait. Ce n’est pas limité aux logiciels des systèmes d’information. L’IoT fait ainsi partie du périmètre. Il y a des vulnérabilités pour les capteurs IoT et les équipements réseau. Et au-delà de l’IoT, l’EUVD couvre les équipements embarqués ou encore les smartphones. Dans une logique de Smart City résiliente, connaître les vulnérabilités informatiques est essentiel. La surface d’attaque s’étend dans les territoires avec l’IoT, mais aussi tous les autres systèmes urbains connectés de mobilité ou d’énergie. Gérer ces vulnérabilités, c’est éviter de vivre avec des systèmes critiques vulnérables sans le savoir.

Selon vous, quelle place va prendre l’EUVD dans les territoires ?

Pour l’instant son adoption n’est pas généralisée, car l’EUVD n’est pas encore très connue. Mais je pense que dans les années à venir elle va s’imposer très rapidement, surtout en Europe et en France. Elle répond à un vrai besoin de souveraineté numérique et c’est une base claire et accessible, même au-delà des experts en cybersécurité.

Elle ne va peut-être pas remplacer complètement le CVE qui est ancré depuis plusieurs décennies dans les habitudes des acteurs de la cybersécurité.  Mais elle en constitue une excellente alternative. Et si le CVE venait à péricliter, l’EUVD serait alors une solution de repli incontournable.