Améliorer la transparence des vulnérabilités grâce à Supplier-ADP

Depuis 2024, la Cybersecurity and Infrastructure Security Agency (CISA) a mis en œuvre le programme « Vulnrichment » pour enrichir les données CVE avec des informations supplémentaires. L'objectif est de donner un contexte supplémentaire et d'aider les défenseurs à évaluer le risque spécifique lié à ces vulnérabilités. Chaque CVE de cve.org ou github possède un conteneur d'éditeur de données autorisé (ADP) dans lequel ces données sont stockées.

Au niveau suivant, Siemens PSIRT préconisait une nouvelle extension de ce programme : le Fournisseur-ADP (SADP), qui a été testé ces derniers mois et a finalement été introduit en avril 2026. Le SADP est pratique si un fournisseur comme Siemens souhaite ajouter des informations sur une vulnérabilité, qui provient d'une dépendance en amont.

À titre d'exemple, nous pouvons prendre le CVE-2025-47809. Cette vulnérabilité provient de Wibu CodeMeter et a un score CVSS de 8,2. Siemens a publié deux avis à ce sujet, à savoir SSA-201595 et SSA-331739 pour informer les clients et les fournisseurs de scanners de sécurité que certains produits Siemens utilisent ce composant et héritent de cette vulnérabilité. Cependant, certaines personnes ne suivent pas directement les avis de sécurité de Siemens et consultent leurs informations, par exemple sur cve.org. Désormais, elles peuvent également être informées.

Avec l'approche actuelle du SADP, nous pensons que les scanners de vulnérabilité puissent augmenter les taux de « vrais positifs » pour les produits Siemens concernés. À l'avenir, lorsque Siemens se développera pour intégrer des données sur les produits « connues et non affectées » dans le SADP (informations actuellement disponibles uniquement par le biais des avis de sécurité et du CSAF), nous prévoyons une baisse du nombre de « faux positifs ». Des « faux positifs » se produisent lorsque des composants vulnérables sont installés dans un système, mais que la vulnérabilité ne peut pas être exploitée.