Aller au contenu
FortaRisks
Retour au glossaireThreat intelligence

CVE

Une CVE (Common Vulnerabilities and Exposures) est l'identifiant public et unique attribué à une vulnérabilité de sécurité connue. Le système CVE, maintenu par MITRE et soutenu par la CISA, donne à chaque faille un nom commun (par exemple CVE-2024-3094) pour que tous les acteurs parlent de la même chose.

Mis à jour le 2 juillet 2026

Qu'est-ce qu'une CVE ?

CVE signifie Common Vulnerabilities and Exposures. C'est un système de référencement public qui attribue un identifiant unique à chaque vulnérabilité de sécurité rendue publique, sous la forme CVE-année-numéro. Le programme est coordonné par MITRE, avec le soutien de la CISA, et s'appuie sur un réseau d'organisations autorisées à émettre des identifiants.

L'objectif est simple mais fondamental : donner un nom commun aux failles. Sans lui, un même défaut serait décrit différemment par chaque éditeur, chaque scanner et chaque bulletin, rendant la coordination impossible.

Pourquoi c'est important pour votre organisation

La CVE est la brique de base de toute la gestion des vulnérabilités. Vos scanners, votre inventaire, vos flux de threat intelligence et les bulletins de vos fournisseurs parlent tous le langage CVE. C'est ce qui permet de relier une alerte à un actif précis de votre parc.

Le volume est le vrai défi : le nombre de CVE publiées augmente chaque année. Sans méthode de priorisation, les équipes se noient dans une file d'attente ingérable et corrigent au hasard plutôt qu'en fonction du risque réel.

Comment exploiter les CVE efficacement

  • Inventaire à jour : savoir quels composants et versions vous utilisez (le SBOM aide beaucoup).
  • Corrélation : relier automatiquement les CVE publiées à vos actifs exposés.
  • Priorisation par le risque : combiner CVSS, EPSS et la présence au catalogue CISA KEV.
  • Fenêtre de réaction : traiter en priorité les failles activement exploitées, où le temps compte le plus.

Où les organisations pèchent le plus souvent

L'erreur la plus fréquente est de piloter la remédiation par le seul score CVSS, en corrigeant d'abord toutes les failles « critiques » sans regarder si elles sont réellement exploitées. Résultat : des efforts dispersés sur des vulnérabilités théoriques pendant que des failles moins bien notées, mais activement exploitées, restent ouvertes.

Questions fréquentes

Quelle différence entre une CVE et un score CVSS ?

La CVE est l'identité de la vulnérabilité : un numéro unique et une description. Le CVSS est une note de gravité, de 0 à 10, attribuée à cette vulnérabilité. Une CVE peut aussi être enrichie d'un score EPSS, qui estime la probabilité d'exploitation. La CVE dit quoi, le CVSS et l'EPSS aident à décider par quoi commencer.

Toutes les CVE doivent-elles être corrigées immédiatement ?

Non, et vouloir tout corriger en même temps est le meilleur moyen de ne rien prioriser. Des dizaines de milliers de CVE sont publiées chaque année, mais seule une minorité est réellement exploitée. On priorise en croisant la gravité (CVSS), la probabilité d'exploitation (EPSS) et l'exploitation avérée (catalogue CISA KEV).

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.