Skip to content

CVE

Le site CVE est le portail officiel du programme CVE (Common Vulnerabilities and Exposures), un référentiel mondial des vulnérabilités informatiques connues.

🧠 Qu’est-ce que CVE ?

Le CVE est une liste publique de failles de sécurité connues affectant les logiciels, les systèmes d’exploitation, les équipements réseau, etc.
Chaque faille reçoit un identifiant unique appelé CVE ID (ex : CVE-2024-3094).

🎯 Objectif du programme CVE

  • Référencer de manière standardisée toutes les vulnérabilités publiquement connues

  • Permettre aux entreprises, éditeurs, chercheurs et gouvernements de :

    • Parler la même langue lorsqu’ils décrivent une faille

    • Suivre, corriger, ou comparer les vulnérabilités de manière claire

    • Automatiser la gestion des correctifs (via scanners, SIEM, etc.)

📦 À quoi ressemble un identifiant CVE ?

Un CVE ID suit cette forme :

CVE-AAAA-NNNNN

Exemple : CVE-2023-23397 → une faille critique dans Microsoft Outlook.

Chaque fiche contient :

  • Une brève description

  • Le fournisseur/logiciel concerné

  • Un lien vers la base NVD (National Vulnerability Database)

  • Des références (correctifs, annonces de l’éditeur, etc.)

  • (Parfois) un score CVSS (gravité de 0 à 10)

🏛️ Qui gère le programme CVE ?

  • Géré par le MITRE Corporation, avec le financement du gouvernement américain (CISA / DHS).

  • MITRE coordonne un réseau d’environ 200 partenaires CVE Numbering Authorities (CNAs) :

    • Entreprises (Google, Microsoft, Cisco, etc.)

    • Projets open source (Apache, GitLab…)

    • CERTs (ex : CERT-FR)

    • Agences gouvernementales

🔗 CVE vs NVD : quelle différence ?

  • CVE.org fournit une entrée de vulnérabilité standardisée (titre, ID, brève description)

  • NVD (National Vulnerability Database) ajoute :

    • Score CVSS (gravité)

    • Métadonnées techniques

    • Vecteurs d’attaque

    • Informations enrichies

⚠️ Pourquoi c’est important ?

  • Les éditeurs de sécurité utilisent les CVE pour alimenter les :

    • Outils de détection (antivirus, scanners de vulnérabilités, SIEM)

    • Tableaux de bord de risques

    • Politiques de correctifs automatisées

  • Les entreprises suivent les CVE pour :

    • Prioriser les mises à jour logicielles

    • Anticiper les risques d’exploitation

    • Réagir à des alertes de cybersécurité

✅ En résumé

Élément Détail
CVE = Common Vulnerabilities and Exposures
Portail https://www.cve.org
Géré par MITRE (USA), financé par la CISA
Objectif Identifier de manière unique les failles connues
Format CVE-année-numéro (ex : CVE-2024-12345)
Utilisateurs Équipes sécurité, CERTs, éditeurs, chercheurs, développeurs
Complémentaire avec NVD (National Vulnerability Database) pour les scores CVSS