Aller au contenu principal

CVE (Common Vulnerabilities and Exposures)

Une CVE est l’identifiant public unique d’une vulnérabilité logicielle connue, par exemple CVE-2021-44228 pour Log4Shell. Le référentiel est piloté par le MITRE.

Le programme Common Vulnerabilities and Exposures, piloté par le MITRE, attribue un identifiant unique à chaque vulnérabilité logicielle rendue publique. Le format est stable depuis des années : CVE, l’année de publication, puis un numéro de séquence, comme CVE-2021-44228 pour Log4Shell. Cet identifiant sert de langue commune à tout l’écosystème : éditeurs, scanners, bulletins d’alerte et pentesters parlent de la même faille sans ambiguïté.

La fiche CVE elle-même reste succincte ; ce sont les bases comme la NVD américaine qui l’enrichissent d’un score CVSS, de la liste des versions affectées et des références aux correctifs. Le volume, lui, ne cesse de croître : plus de 40 000 CVE ont été publiées sur la seule année 2024. Autant dire que « tout patcher » n’est pas un plan, et c’est pourquoi des signaux de priorisation comme l’EPSS et le catalogue KEV sont devenus indispensables.

Encore faut-il savoir quels actifs exposés portent ces CVE. C’est le travail de la surveillance continue de la surface d’attaque : rapprocher chaque service exposé des vulnérabilités qui le concernent, sans attendre le prochain audit.

Termes liés

Les définitions posent le vocabulaire, mais rien ne remplace un état des lieux concret. Si vous voulez savoir ce que ces concepts donnent sur votre propre périmètre, notre plateforme EASM cartographie votre surface d’attaque externe à partir d’un simple nom de domaine, et notre équipe répond sous 24 heures via la page contact.

    CVE : définition | own2pwn