Données sécurité · CWE

Annuaire CWE — Common Weakness Enumeration

Le CWE (Common Weakness Enumeration) est la nomenclature de référence des types de faiblesses logicielles. Là où une CVE désigne une faille précise, la CWE désigne la classe de défaut qui l'a rendue possible.

900+faiblesses CWE
Top 25annuel MITRE
CWE → CVEdes milliers liées

En bref

Une CVE est une vulnérabilité concrète ; une CWE est sa cause racine (injection SQL, XSS, débordement…). Raisonner par CWE permet de remonter aux défauts récurrents, de prioriser le durcissement et de mesurer où se concentrent les faiblesses d'une base de code.

CWE, CVE : quelle différence ?

Une CVE est une vulnérabilité concrète et publiée dans un produit précis. Une CWE est la catégorie de faiblesse qui la cause. Une seule CWE (ex. l'injection SQL) englobe des milliers de CVE. Raisonner par CWE, c'est passer du symptôme à la cause.

Les faiblesses les plus fréquentes

Quelques CWE concentrent une part énorme des CVE publiées :

CWEFaiblesseRisque typique
CWE-79Cross-site scripting (XSS)Vol de session, défaçage
CWE-89Injection SQLFuite/altération de base
CWE-787Écriture hors limitesExécution de code
CWE-22Traversée de répertoireLecture de fichiers sensibles
CWE-352CSRFActions à l'insu de l'utilisateur
CWE-862Autorisation manquanteAccès non contrôlé
CWE-416Use after freeCorruption mémoire
CWE-78Injection de commande OSPrise de contrôle système

Le CWE Top 25

Le MITRE publie chaque année le CWE Top 25 des faiblesses les plus dangereuses, calculé à partir de la fréquence et de la gravité des CVE associées. C'est une boussole de priorisation pour le développement sécurisé et la formation des équipes.

CWE, CVE et CAPEC : la chaîne

Les trois nomenclatures se complètent : un pattern d'attaque (CAPEC) exploite une faiblesse (CWE) qui se matérialise par une vulnérabilité (CVE) dans un produit. Lire cette chaîne aide à anticiper les défenses à prioriser.

Exploiter le CWE dans votre veille

TechWatchAlert relie chaque CVE de votre stack à sa CWE et à ses signaux d'exploitabilité (KEV, PoC, EPSS). Vous voyez non seulement quelles vulnérabilités vous touchent, mais quel type de défaut revient le plus dans votre parc — pour agir à la racine.

À retenir

  • Une CWE est la cause racine ; une CVE en est la manifestation.
  • Quelques CWE (XSS, SQLi, OOB write) concentrent l'essentiel des CVE.
  • Le CWE Top 25 hiérarchise les faiblesses les plus dangereuses.
  • CAPEC exploite une CWE qui produit une CVE.

Questions fréquentes

Combien existe-t-il de CWE ?

Plus de 900, organisées en hiérarchie (piliers, classes, bases, variantes). Une partie seulement est régulièrement associée à des CVE publiées.

CWE ou CVE pour piloter la sécurité applicative ?

Le CWE pour la prévention (corriger les classes de défauts) ; la CVE pour la réaction (corriger les failles concrètes de votre parc).

Veille CVE ciblée sur votre stack

Recevez seulement les CVE qui touchent vraiment votre parc.

Déclarez votre stack une fois. On vous prévient dès qu'une faille concerne un de vos produits, déjà priorisée par le KEV et l'EPSS, sur le canal que vous voulez. Quelques minutes pour démarrer.

Créer mon compte gratuit Voir les tarifs
  • Gratuit, sans carte bancaire
  • Conçu & hébergé en France 🇫🇷
  • Sans engagement

Continuer la lecture

Annuaire CAPECLes schémas d'attaque qui exploitent les CWE.Qu'est-ce qu'une CVE ?L'identifiant d'une vulnérabilité.Calculateur CVSSNoter la gravité d'une vulnérabilité.Annuaire CNALes autorités qui attribuent les CVE.