CVE (Common Vulnerabilities and Exposures)
Une CVE est l’identifiant public unique d’une vulnérabilité logicielle connue, par exemple CVE-2021-44228 pour Log4Shell. Le référentiel est piloté par le MITRE.
Le programme Common Vulnerabilities and Exposures, piloté par le MITRE, attribue un identifiant unique à chaque vulnérabilité logicielle rendue publique. Le format est stable depuis des années : CVE, l’année de publication, puis un numéro de séquence, comme CVE-2021-44228 pour Log4Shell. Cet identifiant sert de langue commune à tout l’écosystème : éditeurs, scanners, bulletins d’alerte et pentesters parlent de la même faille sans ambiguïté.
La fiche CVE elle-même reste succincte ; ce sont les bases comme la NVD américaine qui l’enrichissent d’un score CVSS, de la liste des versions affectées et des références aux correctifs. Le volume, lui, ne cesse de croître : plus de 40 000 CVE ont été publiées sur la seule année 2024. Autant dire que « tout patcher » n’est pas un plan, et c’est pourquoi des signaux de priorisation comme l’EPSS et le catalogue KEV sont devenus indispensables.
Encore faut-il savoir quels actifs exposés portent ces CVE. C’est le travail de la surveillance continue de la surface d’attaque : rapprocher chaque service exposé des vulnérabilités qui le concernent, sans attendre le prochain audit.