FAQ

Les identifiants CVE sont attribués par une organisation américaine à but non lucratif appelée MITRE Corporation, qui gère le programme CVE au nom de l’Agence de cybersécurité et de sécurité des infrastructures (CISA). MITRE ne distribue pas seule tous les identifiants : elle s’appuie sur un réseau de partenaires appelés CNA (CVE Numbering Authorities).

Un CNA peut être un éditeur de logiciel, un fournisseur de sécurité, un CERT ou une organisation spécialisée en vulnérabilités. Chaque CNA est autorisé à attribuer des identifiants CVE pour les vulnérabilités découvertes dans ses propres produits ou dans son périmètre. Ce système permet d’accélérer la déclaration des failles tout en maintenant une structure centralisée via MITRE.

Le score CVSS est généralement défini par l’organisation qui publie la vulnérabilité, souvent un CNA (CVE Numbering Authority) ou l’éditeur du logiciel concerné. En complément, des entités comme la NVD (National Vulnerability Database) recalculent ou ajustent parfois les scores pour assurer une cohérence entre les CVE publiées.

Des outils automatisés permettent aussi à des chercheurs indépendants, analystes SOC ou fournisseurs de sécurité de recalculer un score sur la base du vecteur CVSS publié. Cela signifie qu’une même CVE peut avoir plusieurs scores légèrement différents selon le contexte et l’évaluateur, ce qui pousse à croiser les sources pour les décisions critiques.