À l’occasion de la Cyber-IA expo, Florian Wininger, CTO et cofondateur de Cyberwatch a dressé un état des lieux et donné sa vision de l’évolution de la gestion des vulnérabilités dans les prochaines années. En 2025, pas moins de 48 000 CVE ont été publiées, soit une moyenne de 130 par jour. Face à cette explosion, un nombre croissant d’entre elles ne sont pas enrichies dans les temps, ce qui rend impossible une remédiation rapide. L’IA va devenir indispensable pour identifier, enrichir et prioriser les risques, mais aussi pour automatiser les remédiations.
Vulnérabilités en nette augmentation : la fin de la centralisation
Historiquement, la gestion des vulnérabilités reposait sur un acteur central : la National Vulnerability Database (NVD), gérée par le National Institute of Standards and Technology (NIST). Son rôle était de répertorier les CVE, de leur attribuer un score de sévérité (CVSS) et de les lier aux produits concernés (avec des identifiants CPE, Common Platform Enumeration).
Cependant, avec l’explosion du nombre de vulnérabilités, la NVD ne suit plus, avec comme conséquences des retards de publication, des scores de criticité manquants et une absence d’informations sur les produits affectés. Lors de sa dernière réunion trimestrielle, qui s’est tenue en janvier 2026, les responsables du NIST ont reconnu mener « un combat perdu d’avance » et ont indiqué vouloir basculer vers un modèle où l’enrichissement serait confié aux CVE Numbering Authorities (CNA).
Enrichissement des données CVE : des sources multiples
Pour permettre de recenser et enrichir les informations liées aux vulnérabilités, tout un écosystème s’est progressivement organisé.
Les CNA (CVE Numbering Authorities)
Il existe aujourd’hui près de 490 organismes habilités à documenter les CVE, dont une dizaine au niveau « racine », dotés d’une autorité pleine et entière pour émettre des numéros de CVE.
À noter : depuis novembre 2025, l’ENISA, agence européenne de cybersécurité, est désormais reconnue comme autorité racine. L’Europe, conformément à l’article 12 de la directive NIS2, dispose enfin de sa propre base de données, baptisée EUVD (European Union Vulnerability Database).
Les ADP (Authorized Data Publishers)
Lorsqu’une CNA publie une CVE, elle renseigne l’existence d’une faille, mais ne fournit pas toujours les métadonnées essentielles à sa priorisation, tels que le score CVSS ou le CPE (identifiant du produit affecté). C’est le rôle des ADP (Authorized Data Publishers) que de compléter ces informations après coup. Aujourd’hui, l’agence américaine de cybersécurité CISA est quasiment le seul ADP opérant à grande échelle.
Les CERT européen et nationaux
Les CERT européen et nationaux jouent un rôle essentiel dans la qualification et le déclenchement d’alertes sur les vulnérabilités les plus critiques. Mais aucun CERT ne couvre l’intégralité du spectre technologique. Par exemple :
- Le CERT-FR sera particulièrement pertinent sur des outils très répandus en France comme la solution open source GLPI, moins systématiquement sur des technologies comme SAP ou AIX ;
- Le CERT belge a émis récemment des alertes très réactives sur des produits émergents comme Moltbot ou OpenClaw.
L’initiative open source Vulnrichment
Pour enrichir collectivement la donnée CVE à l’échelle mondiale, est également né le projet open source Vulnrichment (contraction de Vulnerability + Enrichment) sur GitHub, qui compte une dizaine de contributeurs actifs, parmi lesquels Cyberwatch.
L’IA au service de l’enrichissement automatique des CVE
Pour effectuer une veille à spectre large et accélérer l’identification de nouvelles CVE, Cyberwatch exploite la complémentarité de l’ensemble de ces sources publiques : NVD, CNA, ADP, CERT, contributions open source…
Au-delà de la veille sur les vulnérabilités, et de leur niveau de criticité, l’un des défis majeurs est d’associer à chaque CVE les bons CPE, c’est-à-dire d’identifier précisément les produits et versions concernés. Sans cette information, détecter si une vulnérabilité affecte un système d’information donné est impossible.
Cependant, en 2025, une part significative des CVE n’ont pas bénéficié de cet enrichissement en temps utile, parfois pendant plusieurs jours, parfois même jamais.
C’est ici que l’intelligence artificielle entre en jeu.
Face à la multiplicité des sources d’informations sur les CVE, Cyberwatch a développé un modèle d’enrichissement automatique par IA qui permet de :
- Identifier automatiquement les CPE associés aux CVE publiées ;
- Réconcilier les noms de produits et de vendeurs avec les nomenclatures CPE ;
- Traiter les vulnérabilités à l’échelle de l’heure, sans attendre les mises à jour de la NVD.
Résultat : sur les 48 000 vulnérabilités de 2025, 13 000 ont fait l’objet d’un enrichissement automatique, avec un taux de faux positifs relativement faible. L’IA ne crée pas la donnée, mais elle la rend exploitable en temps réel, là où l’attente d’une mise à jour humaine prendrait des jours, voire des semaines.
Identification, priorisation et remédiation des CVE assistée par LLM
D’autre part, Cyberwatch a intégré un serveur MCP (Model Context Protocol) dans sa solution de gestion des vulnérabilités. Ce dernier permet d’interagir avec notre plateforme directement depuis un client LLM (Claude, Copilot, ChatGPT, etc.) en langage naturel.
Concrètement, l’utilisateur peut poser des questions comme « Quelles sont les dernières vulnérabilités critiques sur mes équipements Fortinet ? » et obtenir en temps réel :
- La liste des CVE récentes concernant les actifs Fortinet ;
- L’identification des machines affectées dans le parc (par exemple : 6 assets FortiOS, 3 FortiAnalyzer, 3 FortiManager, 1 FortiWeb) ;
- Le niveau de criticité de chaque vulnérabilité ;
- Une proposition de plan de remédiation.
L’intérêt de cette approche, par rapport à une recherche effectuée à partir d’un LLM qui interroge le web, est que Cyberwatch consulte directement sa base de données en temps réel et retourne les vulnérabilités publiées dans les dernières heures, sans risque de décalage de plusieurs semaines.
Il est même envisageable d’aller plus loin avec des agents IA autonomes capables d’effectuer, chaque jour, une synthèse des nouvelles vulnérabilités, d’identifier les actions prioritaires à réaliser et de les exécuter automatiquement, sans intervention humaine. Cette approche pourrait bien révolutionner les workflows de détection, priorisation et remédiation des CVE dans les années à venir.
Vous souhaitez en savoir plus ? Prenez contact avec nos équipes.