Ce que signifient le retrait du NVD du NIST et les mythes autour de Claude pour la sécurité des données en entreprise

En une semaine d’avril 2026, deux annonces initialement traitées séparément se sont transformées en un événement structurel unique. Le National Institute of Standards and Technology (NIST) des États-Unis a officiellement reconnu qu’il ne pouvait plus enrichir la majorité des vulnérabilités entrant dans la National Vulnerability Database. La veille, la Cloud Security Alliance publiait un briefing — signé par certains des plus hauts responsables mondiaux de la cybersécurité — alertant sur le fait que Claude Mythos Preview d’Anthropic marque un tournant dans la découverte autonome de vulnérabilités pilotée par l’IA. Le système de tri des défenseurs réduit volontairement sa couverture. Le système de découverte des attaquants s’industrialise. Le pari de vingt ans qui sous-tend la gestion des vulnérabilités en entreprise — à savoir que les défenseurs peuvent corriger plus vite que les attaquants n’arment — est perdu.

Résumé des points clés

1. L’ère d’autorité du NVD est terminée. Les soumissions de CVE ont augmenté de 263 % entre 2020 et 2025. Le retard dépasse désormais 30 000 entrées. Le NIST a officiellement cessé d’enrichir la plupart d’entre elles. Pour toute organisation utilisant la priorisation des correctifs basée sur le CVSS, la source de données s’est éteinte pour la majorité des nouvelles vulnérabilités.
2. Claude Mythos n’est pas un simple effet d’annonce. Une évaluation indépendante de l’AI Security Institute britannique a confirmé la découverte autonome de milliers de zero-days, la génération d’exploits opérationnels sans intervention humaine et la réalisation de bout en bout d’une simulation d’attaque sur un réseau d’entreprise en 32 étapes. Le seuil de coût pour disposer de capacités offensives de pointe vient de s’effondrer.
3. Les calculs de vitesse ne tiennent plus. Le délai moyen d’exploitation est désormais de moins sept jours. La correction moyenne des vulnérabilités critiques prend 74 jours. Le délai de percée des cybercriminels après un accès initial est de 29 minutes. Ce n’est pas un écart, c’est une rupture structurelle.
4. La défense au niveau applicatif ne peut pas suivre ce qui arrive. Multiplier les scanners, les tickets, les fenêtres de correctifs — rien de tout cela n’atteint la couche où l’exploit se produit réellement. La seule défense durable est celle qui gouverne, chiffre et audite les données elles-mêmes, avec des contrôles efficaces quel que soit le vecteur d’exploitation utilisé par l’attaquant.
5. La preuve existe déjà. Lors de la crise Log4Shell, les organisations dotées d’architectures renforcées au niveau des données ont vécu la vulnérabilité CVSS 10 comme une CVSS 4. La prochaine Log4Shell n’aura pas forcément de numéro CVE. Seule l’architecture sera prête à l’affronter.

Collision d’avril 2026 : deux annonces, un seul événement

Le 14 avril 2026, le NIST a annoncé que la National Vulnerability Database ne chercherait plus à enrichir la majorité des CVE reçues. Les soumissions ont augmenté de 263 % entre 2020 et 2025. Le NIST a enrichi près de 42 000 CVE en 2025 — soit une hausse de 45 % sur un an — et a tout de même vu le retard dépasser 30 000 entrées non analysées. Désormais, le NVD va se concentrer sur trois catégories restreintes : les CVE du catalogue Known Exploited Vulnerabilities de la CISA, les logiciels utilisés par le gouvernement fédéral américain et les « logiciels critiques » de définition floue. Tout le reste sera marqué « not scheduled » — sans score de sévérité, sans analyse, sans signal exploitable par un scanner de vulnérabilités.

La veille, la Cloud Security Alliance publiait un briefing sur Claude Mythos Preview d’Anthropic, signé par l’ancienne directrice de la CISA Jen Easterly, Bruce Schneier, Chris Inglis, Phil Venables et de nombreux autres experts de la sécurité. Son argument central : Mythos marque « un changement d’échelle » dans la découverte de vulnérabilités par l’IA, et « la fenêtre entre découverte et exploitation s’est réduite à quelques heures ». L’AI Security Institute britannique a vérifié indépendamment la capacité, rapportant que Mythos a mené à bien une simulation d’attaque sur un réseau d’entreprise en 32 étapes — de la reconnaissance à la prise de contrôle totale — surpassant tous les autres systèmes d’IA testés.

C’est la convergence qui fait l’événement. Le système d’intelligence centralisé sur lequel s’appuient les défenseurs se contracte au moment même où le système autonome de découverte des attaquants s’étend. Pour les organisations qui ont bâti leur sécurité sur l’enrichissement des CVE, le tri et la correction pilotée par les SLA, les postulats de fonctionnement ont changé en silence.

Ce que « not scheduled » signifie vraiment pour votre programme de sécurité

L’expression « not scheduled » semble administrative. La réalité opérationnelle est bien plus grave.

Dustin Childs, responsable de la veille sur les menaces au Zero Day Initiative de Trend Micro, a expliqué à CSO Online ce que cela signifie concrètement : le NIST a « déclaré publiquement : « Nous ne viendrons jamais à bout de ce retard. » » Le Forum of Incident Response and Security Teams prévoit 59 427 CVE en 2026, contre un peu plus de 48 000 en 2025, avec des scénarios modélisés dépassant les 100 000 — et cette modélisation a été réalisée avant la vague de divulgations attendue avec les outils de type Mythos.

Le problème de qualité est pire que celui de quantité. Le bilan 2026 OT/ICS de Dragos a montré que 15 % des CVE CISA et NVD avaient un score CVSS erroné en 2025 — et 64 % de ces corrections ont augmenté la sévérité à la hausse car les fournisseurs avaient sous-estimé le risque. Un quart des avis publics ne comportaient ni correctif ni consigne d’atténuation. Le NIST a officialisé une érosion déjà bien engagée.

Pour les organisations qui gèrent les correctifs via le CVSS — soit la majorité — la source de données sur laquelle reposent leurs outils va s’éteindre pour la plupart des nouvelles vulnérabilités. Pour les organisations américaines soumises aux obligations de divulgation cyber de la SEC, pour les sous-traitants fédéraux sous CMMC et DFARS, pour les établissements de santé soumis à l’analyse des risques HIPAA, le problème documentaire est loin d’être trivial : comment prouver un processus de priorisation basé sur les risques si le signal de risque est lui-même incomplet ?

Pourquoi Claude Mythos change l’économie de l’attaquant

La réaction facile à Mythos serait de le balayer comme du battage médiatique. La Cloud Security Alliance, l’AISI et un large panel d’anciens responsables cyber gouvernementaux sont arrivés indépendamment à la même conclusion : cette classe de capacités existe, et l’économie s’est inversée.

L’évaluation de l’AISI a mis en lumière quatre fonctions de Mythos Preview à intégrer. Premièrement, la découverte autonome de milliers de vulnérabilités graves sur tous les principaux systèmes d’exploitation et navigateurs — obtenue non par un entraînement offensif spécialisé, mais comme conséquence des progrès en raisonnement sur le code et en autonomie. Deuxièmement, la génération d’exploits opérationnels sans intervention humaine. Troisièmement, l’exploitation réussie de systèmes faiblement protégés une fois l’accès obtenu. Quatrièmement, la réalisation de bout en bout d’une simulation d’attaque sur un réseau d’entreprise en 32 étapes, qui nécessitait auparavant environ 20 heures à un red-teamer humain expérimenté. Mythos a même identifié une vulnérabilité d’exécution de code à distance vieille de 17 ans dans le serveur NFS de FreeBSD et l’a exploitée de façon autonome en quatre heures environ.

Le CrowdStrike 2026 Global Threat Report apporte un contexte général. Les exploits zero-day ont augmenté de 42 % sur un an. Les attaques menées par des adversaires dopés à l’IA ont progressé de 89 %. Le délai moyen de percée des cybercriminels après accès initial est de 29 minutes. Ces données ont été collectées avant que la capacité de type Mythos ne soit largement accessible. Gadi Evron, CISO-in-Residence for AI à la Cloud Security Alliance, a déclaré à CSO Online : « La tempête de divulgations de vulnérabilités du Project Glasswing n’est que la première d’une longue série. »

L’asymétrie est un fait architectural de la cybersécurité en 2026. Le système de tri des défenseurs se restreint volontairement. Le système de découverte des attaquants s’industrialise. Des cycles de correctifs mesurés en semaines ne peuvent rivaliser avec des cycles d’exploitation mesurés en heures.

La défense illusoire : pourquoi persister dans l’existant est devenu le plus risqué

Face à cette collision, beaucoup de programmes de sécurité adopteront une réaction attendue : plus de scanners, plus de tickets, des fenêtres de correctifs plus serrées, plus de tableaux de bord. C’est la défense illusoire. Elle traite le problème comme un simple enjeu d’exécution — il suffirait de mieux corriger — alors que le problème est structurel.

Trois faits structurels rendent cette approche insuffisante. Premièrement, le système CVE qui alimente la couche d’exécution n’est plus exhaustif. Quand le NVD marque une vulnérabilité « not scheduled », le moteur de priorisation de votre scanner ne reçoit aucun signal. Deuxièmement, les outils de découverte pilotés par l’IA n’attendent pas l’enrichissement NVD pour que les attaquants exploitent leurs trouvailles. Troisièmement, le délai moyen de correction des vulnérabilités critiques reste de 74 jours — une fenêtre déjà intenable quand le temps d’exploitation était de 14 jours, et a fortiori de moins sept jours.

L’environnement réglementaire accentue le problème. Les règles de divulgation cyber de la SEC, l’application du HIPAA Security Rule par le HHS et la FTC Safeguards Rule rendent les organisations responsables de « mesures techniques raisonnables » — et invoquer un NVD incomplet ne justifie pas des contrôles insuffisants. Les sanctions HIPAA du HHS Office for Civil Rights ont dépassé 100 millions de dollars en 2024, avec des pénalités directement liées à des contrôles d’accès et à un chiffrement inadéquats. La fiche d’information cybersécurité de la NSA d’avril 2024 sur le Data Pillar indique clairement que les défenses périmétriques seules sont insuffisantes et que les adversaires qui prennent pied accèdent souvent sans restriction à toutes les données.

La défense honnête commence par une question plus difficile. Si vous ne pouvez plus supposer que vous connaîtrez chaque vulnérabilité exploitable avant qu’elle ne soit armée, que signifie réellement la sécurité d’entreprise ? La réponse : la défense doit descendre d’un niveau. L’actif doit porter sa propre protection.

La réponse architecturale : gouvernance au niveau des données

La gouvernance au niveau des données, directement sur la couche des données, est la posture architecturale qui reste efficace quand les contrôles applicatifs échouent. Elle protège les données sensibles par des contrôles embarqués, efficaces quel que soit le CVE exploité par l’attaquant, l’agent compromis ou la vulnérabilité non notée.

Contrôle d’accès basé sur les attributs au niveau du contenu. Les règles s’appliquent directement sur la donnée — selon les attributs de l’utilisateur, de la donnée, du moment, de l’usage et du contexte — plutôt qu’au périmètre réseau ou à la frontière applicative. Un fichier accessible uniquement par le personnel autorisé d’une zone géographique et d’une plage horaire précises porte cette règle avec lui, qu’il soit sur un partage, en pièce jointe d’e-mail ou dans une requête IA.

Chiffrement FIPS 140-3 avec clés gérées par le client. Les données sensibles sont chiffrées au repos et en transit avec des modules cryptographiques validés selon la norme fédérale en vigueur. Les clés gérées par le client, protégées par des modules matériels de sécurité, garantissent que l’organisation — et non le fournisseur cloud, l’éditeur SaaS ou le modèle IA — contrôle les accès.

Journalisation d’audit infalsifiable. Chaque interaction avec des données sensibles génère une entrée normalisée dans les journaux, envoyée au SIEM en temps réel, sans limitation ni délai caché. En cas d’incident, la reconstitution forensique ne dépend pas de la connaissance du CVE exploité ; la traçabilité est totale.

Accès Zero Trust pour humains, services et agents IA. Chaque demande est authentifiée, autorisée, limitée à un usage précis, bornée dans le temps et journalisée — qu’il s’agisse d’un utilisateur humain, d’un compte de service ou d’un agent IA. Un agent IA manipulé par prompt ne peut pas exfiltrer des données auxquelles il n’a jamais été autorisé à accéder.

Architecture durcie, pas configuration durcie par le client. La plateforme elle-même est livrée sous forme d’appliance virtuelle durcie avec pare-feu intégré, WAF et détection d’intrusion. L’isolation à locataire unique empêche les modes de défaillance croisée qui affectent les services cloud mutualisés.

C’est la combinaison de ces éléments qui fait la différence. Une compromission de l’application devient une compromission du contenant, pas du contenu.

L’approche Kiteworks : l’architecture avant l’aspiration

Kiteworks a été conçu précisément pour ce moment — même si ce moment ne fait que commencer.

La plateforme Kiteworks applique les principes Zero Trust à la couche des données, et non au réseau ou à l’application. Elle consolide les canaux de contenu sensible — la messagerie électronique, le partage et le transfert de fichiers, SFTP, formulaires de données, salles de données virtuelles, API et DRM nouvelle génération — sous un même cadre de gouvernance avec application unifiée des règles. Chaque opération est évaluée par un moteur de politique de données qui croise l’identité de l’utilisateur, la sensibilité des données et l’action demandée avant d’autoriser l’accès. Chaque interaction est journalisée dans une piste d’audit consolidée, transmise au SIEM en temps réel sans limitation.

L’exemple Log4Shell prouve concrètement l’efficacité de cette architecture sous stress maximal. Quand le secteur a été confronté à une vulnérabilité CVSS 10 en décembre 2021, les clients Kiteworks l’ont vécue comme une CVSS 4. L’architecture d’appliance virtuelle durcie, l’isolation à locataire unique, le double chiffrement au repos et la conception « assume breach » ont empêché la pire vulnérabilité de bibliothèque de la décennie d’atteindre les données censées être exposées.

Pour l’ère de l’IA, Kiteworks applique le même schéma de gouvernance aux interactions des agents IA. Kiteworks Compliant AI applique les mêmes règles ABAC, le chiffrement FIPS 140-3 et la journalisation d’audit infalsifiable à chaque interaction d’agent IA avec des données réglementées. Le serveur MCP sécurisé de Kiteworks permet aux clients IA de se connecter via l’authentification OAuth 2.0, garantissant que les identifiants n’atteignent jamais les modèles de langage. Le rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données détaille comment les cas d’usage IA dans les secteurs réglementés tirent la demande pour ce modèle architectural.

La gouvernance au niveau des données n’est pas une simple fonctionnalité. C’est une posture de conception — efficace précisément parce qu’elle ne dépend pas d’une visibilité parfaite sur les menaces situées au-dessus.

Ce que les organisations doivent faire maintenant

Premièrement, acceptez que la sécurité au niveau applicatif, bien que nécessaire, n’est plus suffisante comme stratégie de défense principale. Le volume de vulnérabilités détectables va bientôt dépasser la capacité de réaction de toute organisation, et la réduction de la couverture du NVD signifie que moins de ces vulnérabilités seront notées. Les architectures doivent évoluer pour protéger les données indépendamment des applications qui les traitent. Le rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données révèle que seulement 17 % des organisations disposent d’un cadre de gouvernance IA pleinement déployé ; l’écart de contrôle est aussi architectural que procédural.

Deuxièmement, réalisez un inventaire et une classification des données. Le rapport Thales Data Threat 2026 indique que seulement 33 % des organisations savent précisément où se trouvent leurs données sensibles. Impossible de protéger ce que vous ne trouvez pas.

Troisièmement, mettez en œuvre le chiffrement des données avec des clés gérées par le client. Les données doivent être chiffrées au repos et en transit avec des clés contrôlées par l’organisation — ni par le fournisseur cloud, ni par l’éditeur SaaS, ni par le modèle IA. Les modules cryptographiques validés FIPS 140-3 et les modules matériels de sécurité doivent être la norme.

Quatrièmement, déployez des contrôles d’accès basés sur les attributs qui accompagnent la donnée. Le contrôle statique par rôle échoue dès que la donnée circule hors de l’organisation, dans des workflows IA ou via des écosystèmes tiers. Les règles d’accès doivent être embarquées dans la donnée pour être appliquées où qu’elle soit ouverte.

Cinquièmement, gérez l’accès aux données par l’IA avec la même rigueur que pour les humains. Le CrowdStrike 2026 Global Threat Report a constaté une hausse de 89 % des attaques menées par des adversaires dopés à l’IA. Chaque interaction IA avec des données sensibles doit être authentifiée, autorisée, journalisée et auditable — au niveau des données, pas du modèle.

Sixièmement, cessez de concevoir vos processus autour de l’enrichissement des CVE comme s’il s’agissait d’un signal fiable. Superposez la priorisation informée par la menace — CISA KEV, scoring prédictif d’exploit, avis fournisseurs, renseignement sur la menace — à des contrôles au niveau des données qui limitent l’impact si la priorisation manque une faille.

Les organisations qui agissent maintenant seront celles qui resteront défendables en 2027. La fenêtre pour refondre le modèle opérationnel est étroite, et la pression réglementaire continuera d’augmenter à mesure que la vague de divulgations issues des outils de type Mythos atteindra son pic.