CVE
Identifiant unique attribué à une vulnérabilité de sécurité informatique publiquement connue, référencée dans une base de données mondiale gérée par le MITRE.
CVE (Common Vulnerabilities and Exposures) est un identifiant unique attribué à chaque vulnérabilité de sécurité informatique publiquement connue. Géré par le MITRE Corporation et financé par le gouvernement américain, le programme CVE constitue le référentiel mondial de catalogage des failles logicielles. Chaque CVE prend la forme CVE-[année]-[numéro séquentiel] et est enrichie d'un score de criticité CVSS de 0 à 10. En 2023, 28 961 CVE ont été publiées, un record historique.
Définition technique
Cycle de vie d'une CVE
La découverte d'une vulnérabilité peut être le fait d'un chercheur en sécurité, d'un programme de bug bounty, d'un audit interne ou d'une exploitation active (zero-day). Le découvreur signale la faille à un CNA (CVE Numbering Authority) — une organisation accréditée par le MITRE (éditeurs logiciels majeurs, CERTs nationaux, chercheurs). Le CNA attribue un identifiant CVE et coordonne la divulgation responsable : l'éditeur dispose généralement de 90 jours pour publier un correctif avant publication de la CVE.
La NVD (National Vulnerability Database) du NIST enrichit ensuite la CVE avec le score CVSS, les produits affectés (CPE), et les références de patches. Les scanners de vulnérabilités (Nessus, Qualys, Snyk) interrogent ces bases pour détecter les CVE présentes dans un système.
Scoring CVSS
Le CVSS (Common Vulnerability Scoring System) évalue la criticité sur une échelle de 0 à 10 selon trois groupes de métriques. Le score de base inclut le vecteur d'attaque (réseau, adjacent, local, physique), la complexité, les privilèges requis, l'interaction utilisateur nécessaire, et l'impact sur la confidentialité, l'intégrité et la disponibilité. Un score de 8.8 (comme la CVE-2026-25253 d'OpenClaw) indique une faille exploitable à distance avec interaction utilisateur minimale et impact élevé.
Enjeux actuels
Explosion du volume et priorisation
Le nombre de CVE publiées croît de 15-20% par an, dépassant la capacité de correction de la plupart des organisations. Seulement 15% des CVE sont réellement exploitées, mais les équipes sécurité doivent trier parmi des milliers de signalements. Les approches modernes utilisent l'EPSS (Exploit Prediction Scoring System) qui prédit la probabilité d'exploitation dans les 30 jours, permettant de concentrer les efforts sur les 2-5% de CVE à risque réel.
Impact sur le code généré par IA
Le vibe coding amplifie le risque CVE : le code généré par LLM peut reproduire des patterns vulnérables issus des données d'entraînement. Les projets à forte croissance comme OpenClaw cumulent les CVE parce que la vitesse de développement dépasse la capacité de revue sécurité. En due diligence, le ratio CVE/mois de vie du projet devient un indicateur pertinent de la maturité sécurité de l'équipe.
Standards et spécifications
CVSS (Common Vulnerability Scoring System)
Système de notation de la criticité des vulnérabilités de 0.0 à 10.0
NVD (National Vulnerability Database)
Base de données américaine enrichissant les CVE avec scores CVSS et métadonnées
CWE (Common Weakness Enumeration)
Classification des types de faiblesses logicielles à l'origine des CVE
Questions fréquentes
Comment fonctionne le système CVE ?
Le programme CVE est géré par le MITRE Corporation, financé par le Department of Homeland Security américain. Quand une vulnérabilité est découverte, un CNA (CVE Numbering Authority) — organisation autorisée comme Google, Microsoft, Red Hat ou un chercheur accrédité — lui attribue un identifiant unique au format CVE-[année]-[numéro] (ex : CVE-2026-25253).
La fiche CVE contient : une description de la vulnérabilité, les produits affectés, les références (advisories, patches). Le score de criticité CVSS (0 à 10) est ajouté par la NVD : Low (0.1-3.9), Medium (4.0-6.9), High (7.0-8.9), Critical (9.0-10.0). Une CVE notée 8.8 comme celle d'OpenClaw est classée High, proche de Critical.
Pourquoi les CVE sont-elles importantes en due diligence ?
Les CVE sont un indicateur objectif de la posture sécurité d'un logiciel. En due diligence technique, le nombre de CVE ouvertes, leur criticité et le délai de correction révèlent la maturité sécurité de l'équipe. Un projet avec 10 CVE dont 5 corrigées dans la même semaine (cas OpenClaw) indique une gestion réactive, pas proactive.
Les CVE avec exploits publics sont particulièrement critiques : elles permettent à n'importe qui de reproduire l'attaque. En contexte M&A, des CVE critiques non corrigées peuvent constituer un passif (coût de remédiation, risque de breach, impact réputationnel) à intégrer dans la valorisation.
Quelle est la différence entre CVE, CWE et CVSS ?
CVE identifie une vulnérabilité spécifique dans un produit donné (ex : CVE-2026-25253 = exécution de code à distance dans OpenClaw). CWE classifie le type de faiblesse logicielle sous-jacente (ex : CWE-79 = Cross-Site Scripting). CVSS note la criticité de 0 à 10 selon des critères standardisés (vecteur d'attaque, complexité, impact).
Une même CWE peut donner lieu à des milliers de CVE dans différents produits. Le CVSS aide à prioriser la correction : les CVE Critical (9.0+) doivent être patchées sous 24-48h, les High (7.0-8.9) sous 7 jours, selon les recommandations CISA.