Qu'est-ce qu'une CVE ?
CVE signifie Common Vulnerabilities and Exposures. C'est un système de référencement public qui attribue un identifiant unique à chaque vulnérabilité de sécurité rendue publique, sous la forme CVE-année-numéro. Le programme est coordonné par MITRE, avec le soutien de la CISA, et s'appuie sur un réseau d'organisations autorisées à émettre des identifiants.
L'objectif est simple mais fondamental : donner un nom commun aux failles. Sans lui, un même défaut serait décrit différemment par chaque éditeur, chaque scanner et chaque bulletin, rendant la coordination impossible.
Pourquoi c'est important pour votre organisation
La CVE est la brique de base de toute la gestion des vulnérabilités. Vos scanners, votre inventaire, vos flux de threat intelligence et les bulletins de vos fournisseurs parlent tous le langage CVE. C'est ce qui permet de relier une alerte à un actif précis de votre parc.
Le volume est le vrai défi : le nombre de CVE publiées augmente chaque année. Sans méthode de priorisation, les équipes se noient dans une file d'attente ingérable et corrigent au hasard plutôt qu'en fonction du risque réel.
Comment exploiter les CVE efficacement
- Inventaire à jour : savoir quels composants et versions vous utilisez (le SBOM aide beaucoup).
- Corrélation : relier automatiquement les CVE publiées à vos actifs exposés.
- Priorisation par le risque : combiner CVSS, EPSS et la présence au catalogue CISA KEV.
- Fenêtre de réaction : traiter en priorité les failles activement exploitées, où le temps compte le plus.
Où les organisations pèchent le plus souvent
L'erreur la plus fréquente est de piloter la remédiation par le seul score CVSS, en corrigeant d'abord toutes les failles « critiques » sans regarder si elles sont réellement exploitées. Résultat : des efforts dispersés sur des vulnérabilités théoriques pendant que des failles moins bien notées, mais activement exploitées, restent ouvertes.