FAQ

La liste des CWE est maintenue par la MITRE Corporation, la même organisation qui gère le programme CVE. MITRE est soutenue par le département américain de la sécurité intérieure (DHS) et d'autres acteurs publics et privés pour développer et actualiser cette base de connaissances.

La communauté joue également un rôle clé : chercheurs, éditeurs, gouvernements et industriels peuvent proposer de nouvelles faiblesses, suggérer des modifications, ou partager des retours d’expérience sur l’utilité des entrées existantes. La base est publique, accessible librement en ligne, et continuellement enrichie pour refléter les évolutions des technologies et des techniques d’attaque.

Les professionnels de la cybersécurité sont les principaux utilisateurs des CAPEC : analystes SOC, experts en tests d’intrusion, architectes sécurité, développeurs, formateurs ou équipes de threat intelligence. Ils s’en servent pour comprendre les tactiques adverses, préparer des scénarios de tests, et renforcer les défenses.

Par exemple, un pentester peut utiliser un CAPEC pour structurer une attaque simulée selon un scénario réaliste. Un développeur peut y trouver des indications sur les erreurs de conception à éviter. Un RSSI peut les intégrer dans des analyses de risques pour mieux illustrer les conséquences potentielles d’une faiblesse technique.

Le CWE Top 25 est une liste annuelle des 25 faiblesses les plus dangereuses en matière de sécurité logicielle. Elle est établie par MITRE à partir de données publiques issues de la NVD (National Vulnerability Database) et d’autres sources, en analysant la fréquence et l’impact des faiblesses associées à des CVE réelles.

Ce classement est précieux pour les développeurs et les équipes de sécurité, car il met en lumière les erreurs les plus courantes et les plus critiques, comme les injections, les buffer overflows, ou les problèmes d’authentification. En se concentrant sur ces faiblesses prioritaires, les organisations peuvent améliorer rapidement leur posture de sécurité, même avec des ressources limitées.

Une CVE (Common Vulnerabilities and Exposures) est un identifiant unique attribué à une vulnérabilité connue dans un système informatique, un logiciel ou un matériel. Elle permet de nommer et de suivre précisément une faille, même lorsqu’elle est traitée par différents fournisseurs, outils ou bases de données. Chaque CVE suit le format CVE-année-numéro, comme par exemple CVE-2023-12345.

Le but des CVE est d’uniformiser la communication autour des failles de sécurité : au lieu d’utiliser des descriptions variables, tous les acteurs peuvent se référer au même identifiant. Cela facilite la coordination entre les chercheurs, les éditeurs de logiciels, les équipes de sécurité, et les fournisseurs de solutions de sécurité.

Une vulnérabilité zero-day est une faille de sécurité inconnue du fabricant ou de l’éditeur d’un logiciel, d’un matériel ou d’un système. Elle est dite « zero-day » car l’éditeur a eu zéro jour pour corriger la vulnérabilité au moment où elle est découverte ou exploitée. Elle n’a donc pas encore fait l’objet d’un correctif officiel ni d’un signalement public.

Ces failles peuvent exister pendant des mois, voire des années, sans être détectées. Lorsqu’elles sont trouvées par des cybercriminels ou des groupes étatiques, elles peuvent être exploitées en toute discrétion, rendant leur impact potentiellement très grave.

Oui, un score CVSS peut évoluer au fil du temps, surtout si de nouvelles informations apparaissent. Par exemple, un exploit public, un contournement de correctif ou une preuve d’exploitation active peuvent amener les analystes à réviser le score temporel ou même le vecteur de base si une erreur d’évaluation initiale est détectée.

De plus, des outils automatisés comme ceux de la NVD mettent à jour régulièrement les scores CVSS selon les données de terrain et les publications. Il est donc recommandé aux entreprises de revalider périodiquement leurs analyses, notamment pour les vulnérabilités critiques.

La classification CWE permet de standardiser la compréhension des faiblesses de sécurité dans les systèmes informatiques. Elle aide les développeurs, les testeurs et les analystes à identifier les erreurs de conception ou de codage courantes, afin de les éviter ou de les corriger plus efficacement. Grâce à cette taxonomie, les outils de sécurité peuvent produire des rapports cohérents et exploitables.

Elle est également très utile pour la formation des équipes techniques, l’évaluation des outils de détection, la priorisation des risques, et la conformité à certaines normes comme ISO/IEC 27001. En intégrant les CWE dans les processus de développement, on peut améliorer significativement la sécurité dès la phase de conception.

Les modèles d’attaque CAPEC servent à documenter les tactiques et techniques utilisées par les attaquants pour exploiter des systèmes. En les étudiant, les analystes de sécurité, développeurs et architectes peuvent comprendre les objectifs d’une attaque, ses étapes typiques, et les vulnérabilités exploitées. Cela permet d’anticiper les menaces et de concevoir des contre-mesures plus efficaces.

Ils sont également utiles pour la formation, l’analyse de risques, la simulation d’attaques (red teaming), ou encore la mise en place de contrôles de sécurité défensifs. En reliant les CAPEC aux CWE et aux CVE, on peut établir une chaîne complète allant de la faiblesse à l’exploitation concrète, ce qui enrichit les démarches de threat modeling ou de sécurité by design.