FAQ

Les CVE jouent un rôle central dans la gestion des vulnérabilités. Elles fournissent un langage commun à tous les acteurs de la cybersécurité pour suivre et documenter les failles, ce qui permet de prioriser les correctifs, d’automatiser les analyses et de structurer la veille sécuritaire. Sans CVE, chaque éditeur ou chercheur pourrait décrire une faille différemment, rendant la coordination complexe.

Elles sont également utilisées par les outils de scan de vulnérabilités, les SIEM, les SOC et les RSSI pour établir des politiques de réponse aux incidents. Leur adoption mondiale garantit que les failles sont identifiables et que les défenses peuvent être activées plus rapidement et de manière coordonnée.

Les failles zero-day sont particulièrement dangereuses parce qu’elles sont inconnues des éditeurs, des utilisateurs, et souvent des solutions de sécurité traditionnelles (antivirus, IDS, etc.). Cela signifie qu’il n’existe aucun correctif, aucun patch, et souvent aucun mécanisme de détection ou de protection au moment de l’attaque.

Les attaquants peuvent donc les exploiter sans être détectés, souvent dans le cadre d’attaques ciblées et sophistiquées (cyberespionnage, sabotage, accès prolongé à un système). Leur valeur est si élevée que certaines zero-day sont revendues sur le dark web ou à des acteurs gouvernementaux pour des centaines de milliers d’euros.

Le score CVSS (Common Vulnerability Scoring System) mesure la gravité d’une vulnérabilité en lui attribuant une note de 0 à 10, où 10 représente une faille extrêmement critique. Il est conçu pour fournir une évaluation standardisée et objective des vulnérabilités, afin que les organisations puissent les comparer entre elles et prioriser leurs traitements.

Ce score prend en compte plusieurs aspects : la facilité d’exploitation, les effets potentiels sur la confidentialité, l’intégrité et la disponibilité, ainsi que les conditions nécessaires à l’attaque. En résumé, le CVSS aide à quantifier le niveau de danger inhérent d’une faille de sécurité.

CAPEC signifie Common Attack Pattern Enumeration and Classification. C’est une base de connaissances structurée développée par MITRE qui répertorie et décrit les modèles d’attaques connus utilisés contre les systèmes informatiques. Contrairement à des incidents ponctuels, les CAPEC décrivent des stratégies réutilisables par les attaquants pour exploiter des failles.

Chaque modèle CAPEC est une représentation abstraite d’un comportement malveillant : il explique comment une attaque est menée, quel type de faiblesse elle vise, et dans quel objectif. L’objectif de CAPEC est d’aider les professionnels de la sécurité à mieux comprendre, détecter et anticiper les tactiques utilisées par les attaquants.

EPSS signifie Exploit Prediction Scoring System, ce qui se traduit par système de notation de prédiction d’exploitation. Il s’agit d’un modèle probabiliste qui attribue à chaque vulnérabilité (généralement identifiée par un identifiant CVE) une probabilité d’être exploitée dans les 30 jours suivant son observation.

L’objectif de l’EPSS est de compléter les autres systèmes d’évaluation (comme le CVSS) en ajoutant une couche dynamique et contextuelle basée sur des données réelles d’exploitation observées dans la nature. Il permet ainsi aux organisations de mieux prioriser leurs efforts de correction en se basant sur le risque d’exploitation réel.

La CISA joue un rôle central dans la gestion des vulnérabilités à grande échelle. Elle identifie, évalue et communique activement sur les failles de sécurité qui pourraient affecter les infrastructures critiques, notamment les services gouvernementaux, les opérateurs de services essentiels, et les grandes entreprises. Elle travaille souvent en collaboration avec le MITRE, les éditeurs, les chercheurs en sécurité, et d’autres agences internationales.

Parmi ses responsabilités, elle publie des bulletins de sécurité, coordonne les réponses à certaines vulnérabilités majeures, et impose parfois, par le biais de directives fédérales (BODs), des délais de correction obligatoires pour certaines failles dans les entités publiques. Son objectif est de réduire le délai entre la découverte d’une vulnérabilité et son traitement effectif sur le terrain.

CAPEC et CWE sont deux bases complémentaires maintenues par MITRE, mais elles n’ont pas le même objectif. CWE décrit des faiblesses techniques dans le code ou la conception (ex. : absence de validation d’entrée), tandis que CAPEC décrit des méthodes d’attaque exploitant ces faiblesses (ex. : injection SQL).

En d'autres termes, CWE se concentre sur la cause, tandis que CAPEC se concentre sur l'action de l'attaquant. Les deux peuvent être reliés : un modèle CAPEC précise souvent quelles CWE il cible, ce qui permet de faire le lien entre la vulnérabilité théorique, l’exploitation pratique, et les CVE associées.

Le CVSS se décompose en trois sous-scores :

• Score de base : évalue la gravité intrinsèque de la vulnérabilité, indépendamment de tout contexte. Il est généralement public.
• Score temporel : ajuste la note en fonction de facteurs comme la disponibilité d’un exploit ou d’un correctif. Il reflète la maturité de la menace.
• Score environnemental : permet aux organisations d’adapter l’évaluation à leur propre contexte (importance de l’actif, exposition, impact métier). Il est personnalisé à chaque entreprise.

En combinant ces trois couches, le modèle CVSS devient un outil plus souple qui permet d’affiner les priorités de traitement selon la réalité du terrain.

Une CVE est simplement une déclaration publique qu’une faille existe dans un produit donné, tandis qu’une vulnérabilité exploitée signifie qu’un attaquant utilise activement cette faille pour compromettre des systèmes. En d’autres termes, toutes les CVE ne sont pas exploitées en conditions réelles : certaines peuvent rester théoriques ou techniques.

À l’inverse, une vulnérabilité peut être exploitée sans avoir encore reçu de CVE - c’est ce qu’on appelle une zero-day. Pour évaluer le danger réel d’une CVE, il faut consulter des informations complémentaires comme les données KEV de la CISA ou le score EPSS, qui indiquent si la faille est activement utilisée dans des cyberattaques. Ces informations sont disponible directement depuis notre site Internet CVE Find.

Une CVE (Common Vulnerabilities and Exposures) est une faille de sécurité déjà identifiée, documentée et publiée dans une base de données officielle. Elle est connue du public et, en général, des correctifs sont en cours ou déjà disponibles. En revanche, une zero-day est une faille non encore divulguée, donc non enregistrée dans une CVE au moment de sa découverte.

Autrement dit, toute zero-day peut devenir une CVE, mais toutes les CVE ne sont pas des zero-day. Le risque majeur d’une zero-day est justement qu’elle soit exploitable avant même son signalement, alors qu’une CVE est par définition une vulnérabilité en phase de traitement ou de correction.

Les scores EPSS sont mis à jour quotidiennement, ce qui reflète la nature dynamique des menaces et de l’exploitation des vulnérabilités. À tout moment, un changement dans le paysage des attaques (publication d’un exploit, discussion sur un forum, détection dans des honeypots) peut faire varier la probabilité qu’une CVE soit ciblée.

Cette actualisation fréquente fait de l’EPSS un outil plus réactif que le CVSS, dont les scores changent rarement une fois publiés. Pour tirer pleinement parti de l’EPSS, il est donc recommandé d’intégrer des flux ou API automatisés pour suivre les scores en continu.

La source officielle de la base CAPEC est le site web de MITRE. Ce portail permet d’explorer tous les modèles classés par type d’attaque, par complexité, par cible, ou encore par niveau de sophistication. Chaque fiche est accompagnée de définitions précises, d’exemples, et de liens vers d’autres ressources utiles (CWE, ATT&CK, etc.).

L’échelle CVSS va de 0.0 à 10.0, et chaque plage de valeur est associée à un niveau de gravité :

• 0.0 : Aucune gravité
• 0.1 à 3.9 : Faible (Low)
• 4.0 à 6.9 : Moyenne (Medium)
• 7.0 à 8.9 : Élevée (High)
• 9.0 à 10.0 : Critique (Critical)

Cette classification permet aux organisations de filtrer les vulnérabilités par gravité, mais elle ne tient pas compte du contexte spécifique à chaque entreprise. C’est pourquoi d’autres critères, comme l’exploitation active ou les actifs concernés, doivent compléter cette évaluation.

Les identifiants CVE sont attribués par une organisation américaine à but non lucratif appelée MITRE Corporation, qui gère le programme CVE au nom de l’Agence de cybersécurité et de sécurité des infrastructures (CISA). MITRE ne distribue pas seule tous les identifiants : elle s’appuie sur un réseau de partenaires appelés CNA (CVE Numbering Authorities).

Un CNA peut être un éditeur de logiciel, un fournisseur de sécurité, un CERT ou une organisation spécialisée en vulnérabilités. Chaque CNA est autorisé à attribuer des identifiants CVE pour les vulnérabilités découvertes dans ses propres produits ou dans son périmètre. Ce système permet d’accélérer la déclaration des failles tout en maintenant une structure centralisée via MITRE.

Le modèle EPSS est développé et maintenu par la communauté FIRST (Forum of Incident Response and Security Teams), en collaboration avec des chercheurs, des analystes de données et des professionnels de la cybersécurité. Il s'agit d'un projet ouvert et collaboratif, dont les méthodes sont documentées publiquement, et les résultats mis à jour régulièrement.

Ce modèle repose sur des données statistiques massives et des techniques de machine learning. Il est conçu pour être transparent, reproductible et accessible gratuitement, ce qui en fait un outil fiable et adapté aux besoins opérationnels des équipes de sécurité, même en dehors du périmètre américain ou gouvernemental.