“Quand la référence mondiale ralentit, c’est toute la chaîne de décision qui doit s’adapter.”

Executive Summary :

Le National Institute of Standards and Technology a annoncé en avril 2026 une évolution majeure du fonctionnement de la National Vulnerability Database (NVD) : face à une croissance soutenue du volume de vulnérabilités publiées, l’agence américaine priorise désormais ses efforts d’analyse.

Concrètement, toutes les CVE continueront d’être enregistrées, mais seules les vulnérabilités jugées prioritaires feront l’objet d’un enrichissement complet (score CVSS, vecteur d’attaque, classification CWE). Les autres seront publiées avec un niveau d’analyse réduit, voire sans scoring indépendant du NIST.

Il faudra donc pour continuer à respecter NIS2 trouver d’autres sources (ENISA, CERT-FR, etc.)

Une rupture opérationnelle pour les équipes sécurité

Cette évolution marque un changement structurel : pendant des années, le NVD a servi de référentiel quasi-universel de priorisation. Son enrichissement systématique permettait d’industrialiser la gestion des vulnérabilités, en particulier dans des environnements complexes.

Ce modèle atteint aujourd’hui ses limites.

Pour les RSSI, la conséquence est immédiate :

• La priorisation ne peut plus être déléguée à une source unique ;
• Le coût d’analyse se déplace vers les organisations.

Autrement dit, là où le NVD fournissait une grille de lecture standardisée, les équipes doivent désormais reconstruire leur propre capacité de triage.

Vers une approche multi-sources, donc plus exigeante

Dans ce nouveau contexte, la gestion des vulnérabilités reposera nécessairement sur un croisement de sources :

• ENISA ;
• CERT-FR ;
• Éditeurs, fournisseurs et bases commerciales ;
• Renseignement interne (exposition réelle, criticité métier).

Cette diversification n’est pas neutre. Elle implique :

• Une capacité d’analyse renforcée ;
• Des outils de corrélation plus avancés ;
• Et surtout une lecture métier du risque, au-delà du simple score CVSS.

NIS2 : une exigence inchangée, une responsabilité accrue

Sur le plan réglementaire, cette évolution ne modifie pas les obligations, elle les rend plus exigeantes dans les faits.

L’article 21, §2.b de la directive NIS2 impose aux entités concernées de mettre en œuvre des mesures de gestion des risques, incluant explicitement la gestion des vulnérabilités.

La disparition progressive d’un scoring systématique côté NVD signifie que la responsabilité de la priorisation repose désormais pleinement sur l’organisation. Il ne suffit plus d’appliquer un score externe ; il faut être capable de :

• Justifier ses arbitrages ;
• Démontrer la cohérence de son processus ;
• Documenter ses décisions en cas de contrôle.

Ce que cela change réellement

Ce mouvement n’est pas anecdotique. Il traduit une évolution plus profonde :

• Le volume de vulnérabilités dépasse les capacités d’analyse centralisée ;
• Les référentiels globaux deviennent incomplets par nature ;
• La gestion du risque redevient un acte d’expertise, pas un automatisme.

Les organisations les plus matures avaient déjà intégré cette réalité.
Pour les autres, le changement est plus brutal : il faut passer d’une logique de consommation d’information à une logique de production de décision.

En synthèse

Le NVD reste une source incontournable, mais ce n’est plus une source suffisante.

La question n’est plus : “Quelle est la sévérité de cette vulnérabilité ?” mais devient :
“Quel est son impact réel dans mon environnement, et que dois-je traiter en priorité ?”

C’est précisément à ce niveau que se joue aujourd’hui la maturité cyber.

Sources utiles

	ENISA (EUVD)[1] : https://euvd.enisa.europa.eu/
	CERT-FR bulletins : https://www.cert.ssi.gouv.fr/actualite/
	CERT-FR avis : https://www.cert.ssi.gouv.fr/avis/
	NVD (National Vulnerability Database) : https://nvd.nist.gov/

---

[1] On se souviendra que l’article 22 de la directive NIS2, relatif aux évaluations coordonnées des risques liés aux chaînes d’approvisionnement critiques, renvoie explicitement au rôle de l’ENISA dans la coordination de ces travaux.