Améliorer la transparence des vulnérabilités avec Supplier-ADP

Depuis 2024, la Cybersecurity and Infrastructure Security Agency (CISA) a mis en œuvre le programme « Vulnrichment » pour enrichir les données CVE avec des informations supplémentaires. L'objectif est de donner un contexte supplémentaire et d'aider les défenseurs à évaluer le risque spécifique lié à ces vulnérabilités. Chaque CVE de cve.org ou github possède un conteneur Authorized Data Publisher (ADP) dans lequel ces données sont stockées.

Au niveau suivant, Siemens PSIRT préconisait une nouvelle extension de ce système : The Supplier-ADP (SADP), qui a été testé ces derniers mois et finalement introduit en avril 2026. Le SADP est pratique si un fournisseur comme Siemens souhaite ajouter des informations sur une vulnérabilité, qui provient d'une dépendance en amont.

À titre d'exemple, nous pouvons prendre le CVE-2025-47809. Cette vulnérabilité provient de Wibu CodeMeter et a un score CVSS de 8,2. Siemens a publié deux avis à ce sujet, à savoir SSA-201595 et SSA-331739, afin d'informer les clients et les fournisseurs de scanners de sécurité que certains produits Siemens utilisent ce composant et héritent de cette vulnérabilité. Cependant, certaines personnes ne suivent pas directement les avis de sécurité de Siemens et consultent leurs informations, par exemple sur cve.org. Désormais, elles peuvent également être informées.

Avec l'approche actuelle du SADP, nous pensons que les scanners de vulnérabilité puissent augmenter les taux de « vrais positifs » pour les produits Siemens concernés. À l'avenir, lorsque Siemens publiera également des produits « connus pour ne pas être concernés », nous nous attendons à une baisse du nombre de « faux positifs ». Des « faux positifs » se produisent lorsque des composants vulnérables sont installés dans un système, mais que la vulnérabilité ne peut pas être exploitée.