Ce qu'a annonce le NIST le 17 avril 2026
Le vendredi 17 avril 2026, Harold Booth, informaticien au NIST, a officialise ce que la communaute securite redoutait depuis plusieurs mois : la National Vulnerability Database, reference mondiale de l'enrichissement des CVE depuis 20 ans, ne peut plus suivre le rythme. Les soumissions ont bondi de 263 % entre 2020 et 2025, et l'equipe d'analystes federaux ne tient plus la cadence. Le NIST introduit donc un tri par risque, effectif immediatement.
Concretement : toutes les CVE dont la date de publication NVD est anterieure au 1er mars 2026 et qui n'ont pas encore ete enrichies basculent en categorie Not Scheduled. Elles resteront listees, mais sans enrichissement automatique : pas de score CVSS calcule par le NIST, pas de mapping CWE, pas de liens vers les references tierces. Seules les CVE qui rentrent dans l'une des trois categories suivantes seront enrichies en priorite :
- CVE presentes dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA ;
- Vulnerabilites sur des logiciels utilises par le gouvernement federal US ;
- Vulnerabilites sur les logiciels classes critiques selon l'Executive Order 14028.
Pour tout le reste - et c'est la majorite de l'ecosysteme open source mondial - l'enrichissement devient le produit du CNA (l'organisme qui a emis la CVE) sans verification NVD independante.
Ce que ca change pour les developpeurs open source francais
Si vous maintenez un projet open source avec une base d'utilisateurs moyennement large, la NVD etait votre alerteur automatique : des qu'une CVE etait emise sur une de vos dependances, vous receviez un score CVSS et un mapping CWE publies par le NIST sous 10 a 30 jours. A partir d'avril 2026, ce n'est plus garanti. Le score CVSS pourrait rester celui (souvent sur-confiant ou sous-confiant) du CNA d'origine. Concretement, trois actions deviennent prioritaires en 2026 :
- Basculer votre pipeline de scan sur plusieurs sources : OSV.dev (Google, unifie GitHub, PyPI, npm, Go, Rust, Maven), GitHub Security Advisories, VulnCheck (acces commercial pour les equipes matures), et surtout la base europeenne EU-VDB lancee par l'ENISA courant 2025.
- Documenter en interne une politique de triage CVE : comment arbitrer quand le score CVSS diverge entre NVD, OSV, et le CNA ? Quels seuils de severite imposent un patch immediat sur une branche LTS ?
- Contribuer a la KEV de la CISA via votre editeur si vous detectez qu'une vulnerabilite est activement exploitee. C'est la seule maniere d'etre sur qu'elle sera enrichie.
“Le signal que le NIST envoie est clair : la NVD reste un referentiel officiel, mais plus un SOC temps reel. Les equipes securite open source qui n'ont pas encore standardise sur OSV.dev ou EU-VDB ont trois mois pour migrer sans perdre en couverture.” — Claire Dubois, ingenieure securite et open source, D-Open
Le contexte europeen : l'EU-VDB prend le relais
Le timing est interessant : depuis 2024, l'ENISA pousse la European Vulnerability Database (EUVD) comme contrepoids au NIST. Le Cyber Resilience Act (CRA) rend obligatoire, a partir de 2027, que toute vulnerabilite affectant un produit distribue sur le marche europeen soit notifiee a l'ENISA en 24 heures. Une partie significative des CVE europeennes va naturellement se retrouver enrichie dans l'EUVD plus rapidement que dans la NVD. Pour un mainteneur francais ou une entreprise qui suit les recommandations ANSSI, EUVD devient la base de reference europeenne, et OSV la base de reference developpeur.
Architecture de scan recommandee pour 2026
Pour un pipeline CI/CD open source realiste en 2026, voici l'architecture que nous recommandons chez D-Open. Lire egalement notre guide configurer un pipeline CI/CD GitHub Actions en 7 etapes pour la mise en place concrete.
| Couche | Outil recommande | Source d'enrichissement |
|---|---|---|
| SAST (analyse statique) | Semgrep OSS ou SonarQube CE | Regles propres + GitHub Advisories |
| SCA (dependances) | Trivy, Grype, osv-scanner | OSV.dev + EUVD + GitHub Advisories |
| Container scan | Trivy, Grype | OSV.dev + NVD fallback |
| SBOM | Syft + Grype | OSV.dev (CycloneDX ou SPDX) |
| Triage & remediation | Dependabot, Renovate | GitHub Advisories + OSV |
💡 Recommandation operationnelle
Si vous n'avez pas encore osv-scanner dans votre pipeline CI, c'est le premier outil a ajouter en avril 2026. C'est gratuit, maintenu par Google, il agrege OSV.dev et fonctionne hors-ligne. Le remplacement le plus proche de ce que la NVD faisait gratuitement.
Les gros acteurs reagissent deja
Red Hat, SUSE et Canonical ont tous confirme la semaine du 14 avril 2026 qu'ils renforcent leurs propres security trackers (Red Hat CVE Database, SUSE Security Database, Ubuntu CVE Tracker) pour ne pas dependre de la NVD. Python Software Foundation a annonce le 16 avril 2026 que les alertes PyPA Advisory Database seront desormais prioritairement poussees vers OSV plutot que vers NVD. L'ecosysteme Rust, via RustSec, applique ce modele depuis 2023. En clair : le centre de gravite de l'enrichissement CVE bascule vers les communautes et hors du NIST. C'est une bonne nouvelle a long terme pour la souverainete europeenne, mais un risque court terme si vos pipelines ne sont pas migres.
“Pour les entreprises francaises avec des clients OIV ou OES, l'urgence est double : migrer les outils de scan et documenter la conformite NIS2. Sans enrichissement NVD systematique, les auditeurs vont exiger des preuves de politique CVE interne.” — Marc Leroy, RSSI sectoriel services financiers
Plan d'action pour un CTO open source en avril 2026
- Semaine du 21 avril 2026 : audit express des sources CVE utilisees dans vos pipelines. Identifier les dependances a la NVD seule.
- Semaine du 28 avril 2026 : installer
osv-scanneret basculer Renovate / Dependabot sur la configuration multi-source. - Mai 2026 : documenter une politique interne de triage CVE (seuils, delais de patch, escalade, exceptions).
- Juin 2026 : integrer EUVD dans le SOC pour couverture europeenne native.
- Septembre 2026 : revue trimestrielle pour verifier la couverture reelle versus les alertes recues.
Migration de votre pipeline CVE a faire ?
D-Open aide les CTO et RSSI a basculer leurs pipelines securite open source vers OSV, EUVD et les sources communautaires. Cadrage et migration en 2 a 4 semaines.
Parler a un expert D-Open →FAQ
Pourquoi le NIST a-t-il arrete l'enrichissement des CVE anterieures a mars 2026 ?
Le nombre de CVE soumises a la NVD a bondi de 263 % entre 2020 et 2025, ce qui a sature l'equipe d'enrichissement. Le 17 avril 2026, le NIST a officialise un tri par risque : seules les CVE presentes dans le catalogue KEV de la CISA, touchant les logiciels federaux US ou classes critiques selon l'Executive Order 14028 continueront d'etre enrichies.
Quelles CVE vont continuer a etre enrichies par le NIST ?
Trois criteres : (1) presence dans la KEV, (2) logiciels federaux US, (3) logiciels critiques EO 14028. Les autres CVE resteront listees mais sans enrichissement.
Quel impact concret pour un mainteneur open source francais ?
Les scores CVSS et references CWE deviendront ceux du CNA sans verification NVD independante. Il faut basculer sur OSV.dev, GitHub Advisories, VulnCheck ou EU-VDB.
Comment un developpeur doit-il adapter ses outils de scan ?
Configurez vos pipelines Dependabot, Renovate, Snyk, Trivy ou Grype sur OSV.dev, GitHub Security Advisories et idealement VulnCheck ou EU-VDB. Prevoir un fallback CVSS si le score NVD est absent.
Modernisez votre pipeline CVE avec D-Open
D-Open accompagne les equipes open source francaises sur la securite applicative et la conformite NIS2. Audit, migration, formation.
Demander un audit →