Qu'est-ce que le CVE (vulnérabilités et expositions communes) ?

6 février 2026

Common Vulnerabilities and Exposures (CVE) est un système standardisé permettant d'identifier et de répertorier les vulnérabilités de cybersécurité connues du public.

Qu'est-ce que cve ?

Que signifie CVE ?

Les vulnérabilités et expositions communes (CVE) constituent un système d'identification public et normalisé pour les services de cybersécurité Les vulnérabilités, où chaque entrée attribue un identifiant unique (l'identifiant CVE) à un problème de sécurité spécifique et divulgué publiquement. Un enregistrement CVE sert d'étiquette de référence cohérente pour les outils de sécurité, les avis de sécurité, pièce Les notes et les rapports d'incidents convergent tous vers le même problème, ce qui fait que tout le monde parle du même défaut sous-jacent, même si les fournisseurs ou les produits le décrivent différemment.

Il est important de noter qu'une entrée CVE ne correspond ni à un score de gravité ni à un correctif en soi. Il s'agit plutôt d'une entrée d'index qui comprend généralement une brève description et des références à des sources faisant autorité (telles que des avis de fournisseurs ou des analyses techniques), permettant aux organisations de suivre les produits affectés, d'associer le problème aux actifs internes, de prioriser les mesures correctives et de vérifier leur vulnérabilité.

Comment fonctionne le CVE ?

CVE fonctionne en transformant un signalement vulnérabilité dans un registre standardisé auquel tout l'écosystème de sécurité peut se référer, afin que les outils et les équipes puissent suivre un même problème de manière cohérente, de sa détection à sa résolution. Voici précisément comment cela fonctionne :

  1. Une vulnérabilité potentielle a été découverte et signalée. Les chercheurs, les fournisseurs ou les utilisateurs identifient une faille de sécurité et partagent suffisamment de détails pour décrire ce qui est affecté et pourquoi c'est important, ce qui lance le processus de suivi formel.
  2. Une autorité de numérotation CVE (CNA) examine le rapport. L'organisme d'évaluation des vulnérabilités (souvent le fournisseur ou une organisation de coordination) valide qu'il représente une vulnérabilité distincte et recueille les informations minimales requises pour l'identifier clairement.
  3. Un identifiant CVE est réservé et attribué. Le CNA réserve un identifiant unique (par exemple, CVE-YYYY-NNNNN), qui donne à chacun une référence stable pendant que l'analyse et la coordination se poursuivent.
  4. La vulnérabilité est identifiée et documentée. Les produits/versions concernés, la nature du défaut et les références fiables sont précisés, ce qui réduit la confusion et aide les utilisateurs finaux à faire le lien avec les systèmes réels.
  5. L'enregistrement CVE est publié sur la liste CVE. L'entrée devient visible publiquement dans le catalogue central, la rendant ainsi détectable par les outils de sécurité et les vulnérabilités. bases de donnéeset les flux d'informations.
  6. La gravité et l'exploitabilité sont évaluées ailleurs (souvent via CVSS). L'évaluation et une analyse plus approfondie sont généralement fournies par les fournisseurs, NVD ou d'autres sources, ce qui aide les organisations à prioriser les correctifs même si cela est distinct de l'identifiant CVE lui-même.
  7. Les organisations utilisent l'identifiant CVE pour piloter la correction et la vérification. Les équipes font correspondre les CVE aux actifs, appliquent des correctifs ou des mesures d'atténuation, puis confirment que l'exposition est résolue, en utilisant le CVE comme référence commune entre les scanners, les tickets et les rapports.

Format CVE

Un identifiant CVE s'écrit sous la forme CVE-AAAA-NNNNN (la dernière partie étant parfois plus longue), chaque élément contribuant à rendre l'identifiant unique et facile à consulter. Voici ce qu'il comprend :

  • CVE: le préfixe qui le désigne comme un identifiant de vulnérabilités et d'expositions communes.
  • AAAA: l'année où l'identifiant CVE a été attribué ou réservé (pas nécessairement l'année où le bogue a été découvert ou divulgué publiquement).
  • NNNNN…: une séquence numérique qui identifie de manière unique la vulnérabilité au cours de cette année. C'est au moins quatre chiffres et peuvent être plus de quatre (Il n'y a pas de longueur maximale fixe aujourd'hui), ce qui permet de délivrer de nombreuses cartes d'identité en une seule année.

Exemple : CVE-2024-3094.

Quel est un exemple de vulnérabilité et d'exposition courantes ?

Exemple de CVE

Un exemple bien connu est Log4Shell (CVE-2021-44228), un critique exécution de code à distance Une vulnérabilité dans la bibliothèque de journalisation Java Apache Log4j permettait aux attaquants de déclencher le chargement et l'exécution de code contrôlé par l'attaquant en envoyant une chaîne de caractères spécialement conçue que Log4j pouvait résoudre (souvent via une entrée journalisée).

Qu’est-ce qui constitue une vulnérabilité et une exposition communes ?

Une CVE est attribuée lorsqu'une faille de sécurité distincte et pertinente peut être clairement décrite et suivie comme un problème à part entière. Il s'agit généralement d'une vulnérabilité dans un produit ou un code source spécifique qui peut être exploitée pour avoir un impact négatif (par exemple, pour…). confidentialité, intégrité ou disponibilitéLes CNA sont autorisées à attribuer des identifiants CVE aux vulnérabilités relevant de leur périmètre défini et à les publier lors de la première annonce publique.

En pratique, un problème est généralement admissible lorsqu'il remplit toutes ces conditions :

  • Elle représente une vulnérabilité identifiable (et non une vague catégorie de problèmes).
  • Nous disposons de suffisamment d'informations pour rédiger une description pertinente et citer des références faisant autorité.
  • Elle réussit le processus de décision d'inclusion de la CNA (sinon elle peut être rejetée comme non admissible ou mal déclarée).

Système commun de notation des vulnérabilités (CVSS)

Le système CVSS (Common Vulnerability Scoring System) est une norme ouverte permettant de décrire la gravité technique d'une vulnérabilité de manière cohérente et de produire un score numérique de 0.0 à 10.0, souvent associé à des étiquettes telles que : Faible/Moyen/Élevé/Critique. Il est conçu pour aider les équipes à comparer les vulnérabilités en utilisant le même critère, mais il ne s'agit pas de la même chose que le risque, car le risque dépend de votre environnement, de votre exposition et de l'impact sur l'activité.

CVSS fonctionne en sélectionnant des valeurs pour un ensemble défini de métriques et en les combinant pour obtenir un score. Dans CVSS v3.x, les métriques sont regroupées en trois catégories : Base, Temporelle et Environnementale. Dans CVSS v4.0, ces groupes sont : Base, Menace, Environnementale et Supplémentaire, ce qui reflète une distinction plus nette entre la « gravité intrinsèque », les « éléments qui évoluent dans le temps » et le « contexte local ».

Comment les CVE sont-elles identifiées ?

Les CVE sont identifiées par un processus coordonné où un rapport de vulnérabilité est examiné puis reçoit une notification. Identifiant CVE unique par un organisme autorisé, afin que chacun puisse se référer à la même question de manière cohérente. Voici comment l'identifier :

  1. Une vulnérabilité est découverte et signalée au fournisseur concerné ou à une autorité de numérotation CVE (CNA) (une organisation autorisée à attribuer des identifiants CVE).
  2. L'analyse des vulnérabilités (CNA) valide et circonscrit le problème, confirmant qu'il représente une vulnérabilité distincte et recueillant suffisamment de détails pour le décrire et le relier à des références fiables.
  3. Un identifiant CVE est réservé/attribué (par exemple, CVE-2026-12345), ce qui crée un identifiant stable que les outils, les avis et les tickets peuvent tous utiliser, même si les détails sont encore en cours de finalisation.
  4. L'enregistrement CVE est publié lorsque le CNA remplit l'enregistrement (description + références), le faisant passer d'un état « RÉSERVÉ » à une entrée publique dans la liste CVE.
  5. Si le problème s'avère non admissible ou est retiré pour une autre raison, l'enregistrement peut être marqué REJETÉ plutôt que publié comme un CVE valide.

Avantages et limites du CVE

Le système CVE facilite le suivi et la communication des vulnérabilités en attribuant à chaque problème un identifiant unique auquel les outils, les fournisseurs et les équipes de sécurité peuvent se référer. Cependant, le système CVE n'est qu'un système d'identification ; il ne garantit donc pas une couverture complète, ne fournit pas de correctif et ne reflète pas le risque réel que représente une vulnérabilité dans votre environnement spécifique.

Avantages liés aux vulnérabilités et expositions communes

CVE offre une méthode commune pour référencer les vulnérabilités, ce qui réduit l'ambiguïté et accélère les efforts de sécurité entre les fournisseurs, les outils et les équipes. Les principaux avantages sont les suivants :

  • Une dénomination standardisée dans tout l'écosystème. Un seul identifiant CVE évite toute confusion due à des noms de fournisseurs différents ou à de multiples descriptions d'un même problème, ce qui rend la communication et le signalement cohérents.
  • Un suivi simplifié, de la découverte à la résolution du problème. Les identifiants CVE servent d'identifiants durables que vous pouvez utiliser dans les tickets, les notes de correctifs et les audits pour suivre un problème tout au long de son investigation, de son atténuation et de sa vérification.
  • Rapidité interopérabilité entre les outils de sécurité. Scanners, SIEMLes plateformes SOAR, les CMDB et les bases de données de vulnérabilités peuvent toutes s'appuyer sur le même identifiant CVE, améliorant ainsi la corrélation et réduisant le travail en double.
  • Renseignements et coordination plus rapides sur les vulnérabilités. Les avis publics, les descriptions d'exploits et les bulletins des fournisseurs peuvent être liés via l'enregistrement CVE, aidant ainsi les équipes à recueillir rapidement le contexte sans avoir à suivre plusieurs systèmes de dénomination.
  • Des preuves de conformité et d'audit plus claires. Lorsque les politiques exigent le suivi des vulnérabilités connues, les CVE constituent une référence acceptée qui favorise la cohérence des rapports et de la documentation.
  • Des données de priorisation plus fiables lorsqu'elles sont associées à une notation et à un contexte. Les identifiants CVE permettent de combiner des données telles que le CVSS, l'activité d'exploitation, l'exposition des actifs et la criticité pour l'entreprise, ce qui rend la priorisation des mesures correctives plus structurée.

Limitations des vulnérabilités et expositions communes

Le CVE est précieux pour l'identification et la coordination, mais il a ses limites lorsqu'il s'agit de prioriser et de gérer les risques concrets. Les limitations courantes sont les suivantes :

  • CVE est un système d'identification, pas une évaluation des risques. Une entrée CVE ne vous indique pas à quel point elle est urgente pour votre environnement ; vous avez toujours besoin de contexte comme l'exposition, les contrôles compensatoires et l'impact sur l'activité (souvent accompagnés de CVSS et de renseignements sur les menaces).
  • La couverture n'est pas garantie. Tous les problèmes de sécurité ne font pas l'objet d'une CVE, notamment les failles spécifiques à un produit qui ne sont pas divulguées publiquement, les problèmes hors du champ d'application de la CNA ou les vulnérabilités qui ne répondent pas aux critères d'attribution.
  • Le niveau de détail des enregistrements peut être minimal ou inégal. Certaines descriptions et références CVE sont brèves, et la profondeur/qualité des informations varie selon le fournisseur ou le CNA, ce qui peut rendre l'évaluation d'impact plus difficile.
  • Les entrées CVE n'incluent pas de correctifs par défaut. Le CVE peut renvoyer à des avis de sécurité, mais la disponibilité des correctifs, les mesures d'atténuation et les solutions de contournement proviennent des fournisseurs et d'autres sources, et non du système CVE lui-même.
  • Le timing peut être décalé par rapport à l'activité du monde réel. Une vulnérabilité peut être exploitée en conditions réelles avant même la publication d'un CVE, ou un CVE peut être réservé longtemps avant que tous les détails ne soient disponibles, créant ainsi des failles pour les défenseurs.
  • La granularité des CVE ne correspond pas toujours à la manière dont vous appliquez les correctifs. Une seule CVE peut affecter de nombreuses versions/produits, et certains correctifs traitent plusieurs CVE à la fois, de sorte que la correspondance « CVE → action de correctif » n'est pas toujours directe.

FAQ sur les CVE

Voici les réponses aux questions les plus fréquemment posées sur les CVE.

CVE vs. CWE

AspectCVE (vulnérabilités et expositions courantes)CWE (Énumération des faiblesses communes)
Ce qu'il représenteUne vulnérabilité spécifique et concrète qui existe dans un produit ou un système.Une catégorie générale de faiblesses dans la conception ou la mise en œuvre des logiciels ou du matériel.
Niveau d'abstractionConcret et basé sur des exemples.Abstrait et par catégories.
Question typique à laquelle elle répond« De quelle vulnérabilité s’agit-il exactement ? »« Quel type d’erreur a provoqué cette vulnérabilité ? »
Format d'identifiantCVE-AAAA-NNNNNCWE-NNN
DomaineUne vulnérabilité distincte dans un produit/une version spécifique.Un schéma de faiblesse récurrent qui peut apparaître dans de nombreux produits.
Assigné parAutorités de numérotation CVE (CNA).Géré et mis à jour par MITRE.
Changements au fil du tempsStatique une fois publié (peut être mis à jour ou rejeté, mais se réfère toujours au même numéro).Taxonomie évolutive à mesure que de nouveaux types de faiblesses sont ajoutés ou affinés.
Utilisé le plus souvent pourSuivi des vulnérabilités, application de correctifs, analyse, conformité, réponse aux incidents.Conception sécurisée, revue de code, analyse statique, formation des développeurs.
La relation entre euxUne CVE peut être associée à une ou plusieurs CWE pour expliquer sa cause première.Une vulnérabilité CWE peut être liée à de nombreuses vulnérabilités CVE qui partagent la même faiblesse sous-jacente.
ExempleCVE-2021-44228 (Log4Shell).CWE-502 (Désérialisation de données non fiables).

Qui gère les CVE ?

Les CVE sont gérées par le biais du programme CVE, supervisé par le Conseil CVE et géré au quotidien par le Secrétariat CVE (actuellement la MITRE Corporation). En pratique, la plupart des identifiants et enregistrements CVE sont créés par un réseau mondial d'autorités de numérotation CVE (CNA), généralement des fournisseurs et des organismes de sécurité autorisés à attribuer des identifiants CVE dans un périmètre défini. Le Conseil assure la gouvernance du programme, tandis que le Secrétariat prend en charge les opérations, la qualité et la coordination.

À quelle fréquence les CVE sont-elles mises à jour et publiées ?

Les CVE ne suivent pas un cycle de publication hebdomadaire ou mensuel. Elles sont publiées en continu au fur et à mesure que les autorités de numérotation CVE (CNA) ajoutent et publient les enregistrements dans la liste officielle des CVE. Chaque enregistrement CVE peut être mis à jour à tout moment si de nouvelles informations ou références sont disponibles. En aval, la base de données nationale américaine sur les vulnérabilités (NVD) vérifie la liste des CVE toutes les heures afin d'intégrer les nouvelles publications, les rejets et les modifications (mais les analyses supplémentaires de la NVD, telles que le score et l'enrichissement, peuvent apparaître ultérieurement).

Les données CVE sont-elles gratuites ?

Oui. Les données CVE sont gratuites et accessibles à tous. Le programme CVE met la liste officielle des CVE à disposition sans frais de licence ni restriction d'utilisation. Ainsi, les organisations, les fournisseurs de solutions de sécurité, les chercheurs et les particuliers peuvent utiliser les identifiants et les enregistrements CVE dans leurs outils, rapports et services. Certaines bases de données tierces peuvent facturer des analyses à valeur ajoutée (enrichissement, priorisation ou tableaux de bord, par exemple), mais les données CVE sous-jacentes restent ouvertes.

Anastasie
Spasojevic
Anastazija est une rédactrice de contenu expérimentée avec des connaissances et une passion pour cloud l'informatique, les technologies de l'information et la sécurité en ligne. À phoenixNAP, elle se concentre sur la réponse à des questions brûlantes concernant la garantie de la robustesse et de la sécurité des données pour tous les acteurs du paysage numérique.