L'Agence européenne pour la cybersécurité (European Union Agency for Cybersecurity, Enisa) a lancé officiellement, ce mercredi 13 mai 2025, la European Vulnerability Database (EUVD). Cette base de données répertorie les vulnérabilités des technologies de l'information et de la communication (TIC) répond aux exigences de la directive Network and Information Security 2 (NIS 2).
La base de données la plus communément utilisée au niveau mondial est la base CVE (Common Vulnerabilities and Exposures), maintenue par MITRE, une organisation à but non lucratif soutenue par le gouvernement des États-Unis.
Améliorer la gestion des vulnérabilités
"L'UE dispose désormais d'un outil essentiel pour améliorer la gestion des vulnérabilités", a souligné Juhan Lepassaar, directeur exécutif de l’agence. "La base garantit la transparence pour les utilisateurs des produits TIC concernés et fournit une source efficace pour identifier des mesures d'atténuation", a-t-il ajouté.
Dans le détail, cette nouvelle base de données s'appuie sur une architecture interopérable, capable de croiser les données issues de nombreuses sources – CERT nationaux, éditeurs de logiciels, bases de données open source – puis les enrichit de mesures de remédiation, de statuts d'exploitation ou encore de détails techniques sur les produits affectés. Plusieurs tableaux de bord sont proposés : vulnérabilités critiques, vulnérabilités exploitées, et celles coordonnées au niveau européen.
L'EUVD s'intègre également à des standards, comme le Common Security Advisory Framework (CSAF), qui facilite la lecture automatisée et l’analyse des bulletins de sécurité. A noter également que, depuis janvier 2024, l'Enisa agit également en tant qu’autorité de numérotation CVE (CNA), habilitée à enregistrer des identifiants CVE pour les vulnérabilités détectées par les CSIRTs européens ou signalées dans le cadre d’une divulgation coordonnée.
"La base de données européenne sur les vulnérabilités constitue une avancée majeure pour renforcer la sécurité et la résilience de l’Europe", a indiqué Henna Virkkunen, vice-présidente exécutive de la Commission européenne en charge de la souveraineté technologique. "En consolidant l’information pertinente pour le marché européen, nous élevons nos standards de cybersécurité et permettons une protection plus autonome et efficace de nos espaces numériques", a-t-elle ajouté.
Une phase d'amélioration courant 2025
L'Enisa prévoit une phase d'amélioration tout au long de l'année 2025. Elle sollicitera les retours des utilisateurs pour affiner les services associés à la base.
De son côté, le Cyber Resilience Act (CRA) prévoit, d’ici septembre 2026, les fabricants auront l'obligation de notifier les vulnérabilités activement exploitées via une plateforme dédiée, la Single Reporting Platform (SRP). Elle se distingue de l'EUVD qui a une vocation purement informative.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
