En bref
Une CVE bien renseignée se corrèle automatiquement à votre parc ; une CVE incomplète passe sous les radars ou génère du bruit. Noter la qualité de la source aide à pondérer la confiance dans chaque alerte.
La méthode de notation
Chaque CNA reçoit une note synthétique (A à F) calculée sur la part de ses CVE qui renseignent correctement :
| Critère | Question |
|---|---|
| Éditeur | Le fournisseur affecté est-il identifié ? |
| Produit | Le produit / le CPE sont-ils présents ? |
| Score CVSS | Un vecteur CVSS est-il fourni ? |
| Faiblesse (CWE) | La catégorie de faiblesse est-elle classée ? |
L'échelle de notes
| Note | Complétude |
|---|---|
| A | Excellente — quasi tous les champs renseignés |
| B | Bonne |
| C | Moyenne |
| D | Faible |
| F | Très incomplète |
Volume n'est pas qualité
Le constat récurrent : des CNA à très gros volume affichent parfois une complétude faible, tandis que des CNA spécialisées publient des enregistrements quasi parfaits. La note neutralise l'effet de taille et mesure la fiabilité réelle.
Pourquoi c'est utile pour vous
TechWatchAlert consolide et enrichit les enregistrements des CNA avec le NVD, le KEV, l'EPSS et les CPE — pour que vos alertes restent fiables même quand la source d'origine est incomplète. Le bulletin explique pourquoi certaines alertes demandent une vérification manuelle.
À retenir
- Quatre critères : éditeur, produit, CVSS, CWE.
- Note de A (excellente) à F (très incomplète).
- La note neutralise l'effet de volume.
- Une source incomplète = des alertes à vérifier.
Questions fréquentes
Comment la note est-elle calculée ?
Sur la part des CVE d'une CNA qui renseignent correctement les quatre critères, indépendamment du volume publié.
Une note F signifie-t-elle une CNA peu sérieuse ?
Pas nécessairement : certaines CNA publient en masse et vite, au détriment de la complétude des métadonnées.