Le 13 mai 2025, l’Agence européenne pour la cybersécurité (ENISA) a lancé officiellement la European Vulnerability Database (EUVD), une base de données centralisée visant à renforcer la cybersécurité en Europe. Cette initiative répond aux exigences de la directive NIS2, qui impose aux États membres de l’UE de disposer de mécanismes efficaces pour gérer les vulnérabilités informatiques.
Un outil d’identification et de souveraineté numérique
Face à la prédominance mondiale de la base CVE (Common Vulnerabilities and Exposures), gérée par l’organisation américaine MITRE, l’Union européenne a fait le choix stratégique de créer sa propre ressource dédiée aux failles informatiques. L’EUVD n’est pas une simple duplication, mais un outil pensé pour répondre spécifiquement aux besoins européens en matière de cybersécurité. Elle agrège et croise les informations provenant des CERT nationaux, des éditeurs de logiciels et des bases open source, tout en enrichissant les données avec des mesures de remédiation, des statuts d’exploitation et des détails techniques précis.
Cette architecture interopérable repose sur des standards comme le Common Security Advisory Framework (CSAF), facilitant l’automatisation et l’analyse rapide des bulletins de sécurité. Ainsi, l’EUVD garantit aux acteurs européens une transparence accrue et une meilleure maîtrise des risques, éléments clés pour renforcer la souveraineté numérique de l’Union.
Henna Virkkunen, vice-présidente de la Commission européenne en charge de la souveraineté technologique, a insisté sur cette dimension, soulignant que la consolidation de l’information pertinente pour le marché européen élève les standards de cybersécurité tout en permettant une protection plus autonome des infrastructures numériques du continent.
Le premier pas vers une cybersécurité continentale
Au-delà de son rôle d’agrégateur de données, l’EUVD incarne une étape essentielle vers une gestion harmonisée et proactive des vulnérabilités à l’échelle européenne. Grâce à ses tableaux de bord dédiés — qui mettent en lumière les vulnérabilités critiques, celles exploitées activement et celles coordonnées par les CSIRT européens — la base favorise une réaction rapide et concertée face aux menaces émergentes.
Par ailleurs, ENISA a intégré depuis début 2024 le rôle d’autorité de numérotation CVE (CNA) pour les vulnérabilités détectées en Europe, renforçant ainsi la capacité du continent à identifier, cataloguer et diffuser ces informations stratégiques.
Si l’EUVD est accessible gratuitement et s’adresse à tous les acteurs publics et privés concernés, elle est aussi appelée à évoluer : une phase d’amélioration est prévue en 2025, notamment pour optimiser les services en fonction des retours utilisateurs. Parallèlement, le Cyber Resilience Act imposera à partir de 2026 une notification obligatoire des vulnérabilités activement exploitées via une plateforme spécifique, la Single Reporting Platform (SRP), qui complétera l’EUVD en jouant un rôle plus opérationnel.
Si cet article vous a plu et si vous envisagez une carrière dans la Data Science ou tout simplement une montée en compétences dans votre domaine, n’hésitez pas à découvrir nos offres de formations ou nos articles de blog sur DataScientest.
Source : euvd.enisa.europa.eu
