CVE (Common Vulnerabilities and Exposures)

Le terme CVE désigne un identifiant unique attribué à chaque vulnérabilité de sécurité connue.  Le système CVE est un élément fondamental de la veille et de la gestion des vulnérabilités. Il offre un langage commun, une visibilité mondiale et un outil de coordination indispensable à la cyberdéfense moderne.
Pour une entreprise, suivre et traiter les CVE n’est pas une option : c’est une nécessité stratégique pour maintenir un niveau de sécurité conforme et résilient.

Qu’est-ce qu’une CVE ?

Une CVE (Common Vulnerabilities and Exposures) est un identifiant public et standardisé attribué à une vulnérabilité de sécurité logicielle connue.
Chaque CVE décrit une faille spécifique – par exemple un défaut de configuration, une erreur de code ou une faiblesse de protocole – pouvant être exploitée par un attaquant.

Le système CVE a été créé en 1999 par le MITRE Corporation, en collaboration avec la CISA (Cybersecurity and Infrastructure Security Agency) et la communauté internationale de la cybersécurité.
Il permet de référencer, classer et communiquer efficacement sur les vulnérabilités à travers le monde.

Concrètement, une CVE ressemble à ceci :
CVE-2024-21410 — identifiant unique associé à une faille spécifique, documentée dans une base publique.

À quoi sert une CVE ?

L’objectif principal du programme CVE est de faciliter la communication et la coordination entre les acteurs de la cybersécurité : éditeurs, chercheurs, CERT, RSSI, SOC, et fournisseurs de solutions de sécurité.

Chaque CVE permet de :

  • Identifier sans ambiguïté une vulnérabilité donnée.

  • Informer rapidement les utilisateurs et les éditeurs concernés.

  • Suivre l’évolution du correctif ou du patch associé.

  • Prioriser les actions de remédiation en fonction de la gravité.

Les CVE servent de langage commun entre les équipes de sécurité, les outils de gestion des vulnérabilités (scanner, SIEM, SOC) et les autorités de veille (ANSSI, CERT-FR, ENISA, CISA).

Comment une vulnérabilité devient une CVE ?

Lorsqu’un chercheur ou un éditeur découvre une vulnérabilité, il la soumet à un CVE Numbering Authority (CNA) – un organisme habilité par MITRE à valider et enregistrer de nouvelles entrées.
Une fois validée, la vulnérabilité reçoit un identifiant unique et une description publique incluant :

  • L’identifiant CVE (ex. CVE-2025-12345)

  • La description technique de la faille

  • Les produits ou versions concernées

  • Les conditions d’exploitation

  • Les liens vers les correctifs ou mitigations disponibles

Ces informations sont ensuite intégrées dans des bases de données telles que la National Vulnerability Database (NVD), où elles sont enrichies avec un score CVSS (Common Vulnerability Scoring System) pour mesurer leur criticité.

Le rôle des CVE dans la gestion des vulnérabilités

Dans une démarche de cybersécurité opérationnelle, la gestion des CVE est un processus clé.
Elle permet aux organisations de :

  • Cartographier leurs vulnérabilités connues sur leurs actifs.

  • Évaluer les priorités de traitement selon les scores de gravité.

  • Suivre les correctifs proposés par les éditeurs.

  • Automatiser la détection et la surveillance via les outils SOC et SIEM.

Chez ITrust, les identifiants CVE sont intégrés dans nos solutions de détection et de supervision afin de corréler les événements de sécurité avec des vulnérabilités connues et d’anticiper les risques d’exploitation.

Cas concret : comment une CVE est exploitée ?

Prenons un scénario réel.
Une faille critique affecte une version obsolète d’un serveur web. Cette vulnérabilité, référencée sous CVE-2024-6387, permet à un attaquant distant d’exécuter du code arbitraire.
Sans correctif appliqué, elle peut être exploitée pour compromettre l’ensemble du serveur.
Les équipes Blue Team d’ITrust détectent alors des tentatives d’exploitation en s’appuyant sur les signatures et comportements associés à cette CVE, et engagent immédiatement une procédure de confinement et de remédiation.

Cet exemple illustre le rôle fondamental des CVE : donner une visibilité précise sur les menaces connues et permettre une réaction rapide et coordonnée.

CVE, CVSS et CPE : des notions complémentaires

  • CVE : identifiant unique d’une vulnérabilité.

  • CVSS (Common Vulnerability Scoring System) : notation standardisée de la gravité (de 0 à 10).

  • CPE (Common Platform Enumeration) : format d’identification des produits concernés.

Ces trois standards travaillent ensemble pour offrir une vision complète du risque.
Par exemple, une faille CVE-2025-XXXX notée 9.8 en CVSS et affectant un CPE donné indiquera une vulnérabilité critique nécessitant une correction immédiate.

Protégez dès maintenant vos systèmes contre les vulnérabilités connues et émergentes.