Logo ORSYS le mag 2025

Le média de la formation et des compétences

Accueil > Glossaire Cybersécurité > CVE (Common Vulnerabilities and Exposures) 🟩 Référentiel

CVE (Common Vulnerabilities and Exposures) 🟩 Référentiel

Le CVE (Common Vulnerabilities and Exposures) est un référentiel public standardisé qui identifie et catalogue de manière unique les vulnérabilités de sécurité informatique.

Chaque entrée CVE est une référence normalisée comprenant :

  • Un identifiant unique (ex : CVE-2024-12345).
  • Une description technique de la vulnérabilité.
  • Des références (liens vers advisories, correctifs, analyses).

 

🎯 Objectif : servir de langage universel pour identifier sans ambiguïté les failles de sécurité, facilitant le partage d’informations entre chercheurs, éditeurs et organisations.

 

Différences CVE vs CVSS

Critère CVE CVSS
Nature Identifiant unique d’une vulnérabilité. Système de scoring évaluant la gravité.
Fonction Répond à la question « Quelle est la faille ? ». Répond à « Quelle est sa gravité ? ».
Format ID textuel (ex : CVE-2024-12345). Score numérique (ex : 9.8 Critical).
Gouvernance Géré par MITRE Corporation (avec partenaires). Géré par FIRST (Forum of Incident Response and Security Teams).
Utilisation Référence commune pour parler d’une faille. Aide à prioriser les correctifs.

 

en résumé :

  • CVE = « Quelle est la faille ? »Carte d’identité de la vulnérabilité.
  • CVSS = « À quel point est-elle dangereuse ? »Échelle de Richter du risque cyber.

 

Exemple

  • CVE-2014-0160 (Heartbleed) :
    • Description : Vulnérabilité dans OpenSSL permettant de lire la mémoire des serveurs.
    • CVSS v3.1 Score : 7.5 (High)
      • Vecteur d’attaque : Réseau (AV:N ).
      • Impact : Fuite d’informations (C:H /I:L /A:N ).

Complémentarité

  • CVE + CVSS = une alerte complète :
    • Le CVE identifie quelle vulnérabilité existe (ex : CVE-2023-4863).
    • Le CVSS indique pourquoi elle est dangereuse (score 8.8 = High Risk).
  • Cas pratique :
    • Une entreprise consulte la base CVE pour vérifier si ses systèmes sont concernés.
    • Elle utilise le score CVSS pour décider si la faille doit être corrigée en urgence.

Enjeux

  • CVE :
    • Exhaustivité : Retards dans l’enregistrement des vulnérabilités zero-day.
    • Qualité : Descriptions parfois trop techniques pour les non-experts.
  • CVSS :
    • Subjectivité : Les scores peuvent varier selon l’interprétation des métriques.
    • Limites : Ne reflète pas toujours le risque réel en contexte (d’où l’importance des métriques environnementales).

🔧 Outils associés

 

Retour au Glossaire

domaine de formation

Cybersécurité

formations associées

Sécurité systèmes et réseaux, niveau 1

Hacking et sécurité, niveau 1

Sécurité des systèmes d'information, synthèse

BEST

Vers la ORSYS Cyber Academy : un espace gratuit dédié à la cybersécurité