Le 13 mai 2025 marque un tournant décisif dans la cybersécurité européenne. L’Agence de l’Union européenne pour la cybersécurité (ENISA) a officiellement lancé la European Vulnerability Database (EUVD) : une base de données centralisée des vulnérabilités affectant les produits et services des technologies de l’information et de la communication (TIC). Avec ce projet, l’Union européenne affirme son ambition de renforcer sa souveraineté numérique, en assurant une réponse coordonnée, transparente et fiable aux failles de sécurité.
Pourquoi l’EUVD maintenant ?
L’EUVD s’inscrit dans le cadre de la directive NIS2, qui impose aux États membres et aux entités critiques de mieux gérer les cyber risques. Le lancement de cette base intervient à un moment où les cyberattaques, qu’elles soient criminelles, étatiques ou opportunistes, se multiplient, et où la dépendance aux bases de données extra-européennes devient un enjeu stratégique.
Jusqu’ici, les acteurs européens s’appuyaient majoritairement sur des bases de données américaines comme :
- NVD (National Vulnerability Database), maintenue par le NIST (États-Unis)
- MITRE CVE, qui attribue les identifiants CVE (Common Vulnerabilities and Exposures)
- CERT-FR ou CERT-EU, plus spécialisés dans le traitement et l’alerte
L’EUVD ne cherche pas à remplacer ces bases, mais à offrir une couche de consolidation et d’interprétation européenne, avec un focus spécifique sur le contexte réglementaire, industriel et technologique de l’UE.
Ce que propose l’EUVD ?
Accessible via euvd.enisa.europa.eu, la base propose:
- Une catégorisation claire des vulnérabilités critiques, exploitées activement ou gérées via coordination européenne (CSIRTs).
- Des informations techniques enrichies, incluant gravité (CVSS), produits affectés, mécanismes d’exploitation, correctifs ou mesures d’atténuation.
- Un pont avec les autres bases comme MITRE CVE, tout en ajoutant des annotations et des recommandations adaptées à l’UE.
- Une publication ouverte à destination des autorités nationales, fournisseurs TIC, entreprises critiques, chercheurs et grand public.
Depuis 2024, ENISA est également une autorité CVE (CNA), ce qui lui permet d’attribuer ses propres identifiants CVE – une première pour une agence européenne.
Comparaison avec les autres bases
| Critère | EUVD (ENISA) | NVD (USA) | MITRE CVE |
|---|---|---|---|
| Origine | Union Européenne | États-Unis (NIST) | Organisation privée (MITRE) |
| Langue / Juridiction | Multilingue / Droit européen | Anglais / Droit américain | Anglais / International |
| Mise à jour | Continue, avec coordination CSIRT | Automatisée, parfois avec délai | Basée sur soumissions |
| Focus | Vulnérabilités TIC en Europe | Généraliste mondial | Attribution d’identifiants |
| Lien réglementaire | Directive NIS2, cadre européen | Non, usage libre | Non, usage libre |
| Ajout de contexte UE | Oui (fournisseurs UE, CSIRTs, loi) | Non | Non |
Complémentarité plutôt que remplacement
L’EUVD n’a pas vocation à concurrencer les bases existantes comme CVE ou NVD. Au contraire, elle les complète stratégiquement :
- En traduisant les alertes en directives opérationnelles adaptées aux normes européennes.
- En renforçant la cohérence des réponses entre États membres via les CSIRTs européens.
- En améliorant la visibilité des vulnérabilités spécifiques aux fournisseurs ou infrastructures critiques de l’UE.
Et après ?
L’année 2025 sera consacrée à l’évolution progressive de l’EUVD, en collaboration avec les États membres, les CERTs, les industriels et les chercheurs. L’objectif est double :
- Renforcer la qualité et la vitesse de traitement des vulnérabilités.
- Créer un standard européen en matière de signalement, réponse et coordination autour des failles de sécurité.
Conclusion : Un outil pour une cybersécurité européenne plus résiliente
Dans un monde où les infrastructures numériques sont au cœur de nos vies, disposer d’un référentiel européen de vulnérabilités, interopérable mais souverain, n’est plus une option : c’est une nécessité. L’EUVD est une brique stratégique du puzzle européen, et son succès dépendra de l’engagement collectif de tous les acteurs de l’écosystème numérique.
🔗 Pour consulter la base de données : euvd.enisa.europa.eu