← Tous les guides

Qu'est-ce qu'une CVE ?

Une CVE (Common Vulnerabilities and Exposures) est l'identifiant public, unique et permanent attribué à une faille de sécurité informatique rendue publique. Concrètement, c'est un numéro — par exemple CVE-2021-44228 — qui permet à toute l'industrie de désigner exactement la même vulnérabilité, sans ambiguïté. Une CVE identifie une faille ; elle n'en mesure ni la gravité, ni l'urgence.

La définition, en clair

Quand un chercheur ou un éditeur découvre une faille dans un logiciel, on lui attribue un identifiant du type CVE-2021-44228. Ce numéro devient la référence commune utilisée par les éditeurs, les chercheurs, les scanners de sécurité, les bulletins d'alerte et les bases de données pour parler de la même vulnérabilité — quelle que soit la langue ou l'outil.

Le programme CVE est un dictionnaire mondial des vulnérabilités, pas un classement de leur dangerosité. Lancé en 1999 et piloté par le MITRE, il recense aujourd'hui plus de 250 000 entrées. Sans lui, deux outils pourraient nommer différemment la même faille : la CVE supprime cette ambiguïté.

Retenez l'essentiel : une CVE répond à la question « de quelle vulnérabilité parle-t-on ? » — pas « est-elle grave ? » ni « suis-je attaqué ? ».

Anatomie d'un identifiant : CVE-AAAA-NNNN

Un identifiant CVE suit toujours la même structure :

CVEPréfixe fixe
-
2021Année de réservation
-
44228Numéro séquentiel

Deux subtilités souvent mal comprises :

  • L'année est celle de la réservation de l'identifiant, pas forcément de la publication : une CVE réservée fin 2025 mais divulguée en 2026 conserve son millésime 2025.
  • Le numéro séquentiel comporte au moins quatre chiffres, mais peut s'allonger : on est passé de CVE-2014-0160 à des numéros à six chiffres comme CVE-2024-123456 pour absorber le volume.

Qui crée les CVE ? Le rôle des CNA

Les identifiants ne sont pas attribués par une autorité centrale unique, mais par un réseau d'organisations habilitées : les CNA (CVE Numbering Authorities). On en compte plus de 400 dans le monde.

  • Les grands éditeurs (Microsoft, Apple, Google, Red Hat, Cisco…) sont leur propre CNA et publient les CVE de leurs produits.
  • Des coordinateurs (CERT/CC, CERT nationaux) couvrent les produits sans éditeur-CNA, notamment l'open source.
  • Le MITRE joue le rôle de CNA racine et de secrétariat du programme ; la CISA (agence américaine de cybersécurité) le finance.

C'est ce modèle décentralisé qui permet une couverture large et rapide : l'éditeur le mieux placé documente sa propre faille.

Que contient une fiche CVE ?

Au minimum, une CVE publiée fournit :

  • une description de la vulnérabilité ;
  • les produits et versions affectés, idéalement via un identifiant normalisé (CPE) ;
  • la faiblesse sous-jacente, classée selon le référentiel CWE ;
  • un score de gravité CVSS (pas toujours présent dès la publication) ;
  • des références : avis de sécurité, correctifs, preuves de concept.

La complétude de ces champs varie selon la CNA. Depuis 2024, l'enrichissement par le NVD (scores et CPE) a fortement ralenti, laissant de nombreuses CVE incomplètes : c'est pourquoi recouper plusieurs sources est devenu indispensable (voir nos sources de données et les bulletins de qualité des CNA).

Le cycle de vie d'une CVE

Une CVE n'est pas figée : son état évolue dans le temps.

ÉtatSignification
Réservée (Reserved)Identifiant attribué, détails encore confidentiels (souvent avant un correctif).
Publiée (Published)Description et données rendues publiques.
Modifiée (Modified)Enrichie après coup : CVSS, CPE, versions affectées, nouvelles références.
Rejetée (Rejected)Attribuée par erreur ou en doublon : l'identifiant est invalidé, jamais réutilisé.

Au-delà de ces états, deux transitions changent tout pour la priorisation : la CVE peut être marquée activement exploitée (inscription au catalogue CISA KEV) ou recevoir une preuve de concept (PoC) publique, signe qu'une attaque devient accessible.

CVE, CVSS, EPSS, KEV : ne pas confondre

C'est la confusion la plus fréquente. Une CVE identifie ; les autres référentiels qualifient la même faille sous des angles différents.

RéférentielCe qu'il indiqueNature
CVEQuelle vulnérabilité (identifiant unique)Identification
CVSSÀ quel point elle est grave (0 à 10)Gravité intrinsèque
EPSSProbabilité d'exploitation sous 30 joursPrédiction
KEVExploitation déjà observée dans la natureFait avéré

Une CVE critique (CVSS 9+) mais sans exploitation connue est souvent moins urgente qu'une CVE moyenne déjà au catalogue KEV. Bien prioriser, c'est croiser ces quatre signaux.

Une CVE existe : suis-je vulnérable ?

Pas automatiquement. Vous êtes réellement concerné seulement si :

  • vous utilisez le produit visé ;
  • dans une version affectée (une version corrigée vous met hors de portée) ;
  • parfois, dans une configuration précise (module activé, option exposée).

Une CVE critique sur un logiciel que vous n'exécutez pas ne change rien pour vous. Tout l'enjeu d'une veille efficace est donc de faire correspondre le flux mondial de CVE à votre inventaire réel.

Trois CVE qui ont marqué l'histoire

Heartbleed — CVE-2014-0160

Une faille d'OpenSSL permettant de lire la mémoire des serveurs (clés privées, mots de passe). Emblématique parce qu'elle touchait une brique de chiffrement omniprésente sur le web.

Log4Shell — CVE-2021-44228

Une exécution de code à distance dans la bibliothèque de journalisation Java Log4j, notée CVSS 10/10. Présente dans d'innombrables applications, elle a déclenché une vague mondiale d'exploitation en quelques heures.

Backdoor XZ Utils — CVE-2024-3094

Une porte dérobée glissée dans un outil de compression Linux via une attaque de la chaîne d'approvisionnement — détectée de justesse avant un déploiement massif. Un rappel que la menace vient aussi des dépendances.

Pourquoi le volume de CVE explose

On publie aujourd'hui plusieurs dizaines de milliers de CVE par an (record battu en 2024), et la courbe monte sans discontinuer : plus de logiciels, plus de chercheurs, plus de CNA habilitées. Conséquence directe : suivre le flux global à la main n'a plus aucun sens. La seule approche tenable est de filtrer sur son périmètre et de prioriser par le risque réel.

Comment suivre les CVE qui vous concernent vraiment

Plutôt que de subir le flux mondial, une veille efficace consiste à : déclarer votre stack (éditeurs, produits, versions), faire correspondre les CVE par CPE, puis prioriser avec le KEV, l'EPSS et le CVSS — et n'être alerté que sur ce qui vous touche. C'est exactement le rôle de TechWatchAlert : transformer un flux ingérable en quelques alertes pertinentes, enrichies et hiérarchisées.

Questions fréquentes

Que signifie CVE ? Que veut dire l'acronyme ?
CVE est l'acronyme de Common Vulnerabilities and Exposures (« vulnérabilités et expositions communes »). C'est le système d'identifiants publics et uniques des failles de sécurité, lancé en 1999 et piloté par le MITRE : chaque faille divulguée reçoit une référence du type CVE-2021-44228.
Qu'est-ce que le « score » d'une CVE ?
À proprement parler, une CVE n'a pas de score : c'est un identifiant. Le « score CVE » désigne presque toujours son score CVSS (de 0 à 10), qui en mesure la gravité — voir qu'est-ce que le CVSS. La probabilité d'exploitation, elle, se mesure avec l'EPSS.
Quelle est la différence entre une CVE et une vulnérabilité ?
Une vulnérabilité est la faille technique elle-même ; la CVE est l'identifiant public qu'on lui attribue pour que tout le monde en parle de la même façon. Une vulnérabilité peut exister sans CVE (non divulguée), et une CVE renvoie toujours à une vulnérabilité précise.
Une CVE signifie-t-elle que je suis vulnérable ?
Pas nécessairement. Vous n'êtes concerné que si vous utilisez le produit et une version affectée, parfois dans une configuration précise. Une CVE visant un logiciel que vous n'exécutez pas ne vous concerne pas — d'où l'intérêt de filtrer les CVE sur votre parc réel.
Qui peut demander une CVE ?
Toute personne, en passant par une CNA compétente — généralement l'éditeur concerné, ou un coordinateur comme un CERT lorsqu'aucun éditeur ne couvre le produit.
Qui gère le programme CVE ?
Le programme CVE est piloté par le MITRE (secrétariat et CNA racine) et financé par la CISA (agence de cybersécurité américaine). Le site officiel est cve.org ; l'enrichissement technique est historiquement assuré par le NVD du NIST.
Quelle différence entre CVE et CVSS ?
La CVE identifie la vulnérabilité (un numéro) ; le CVSS en note la gravité de 0 à 10. Une CVE n'a pas toujours de score CVSS au moment de sa publication.
Une CVE peut-elle être rejetée ou contestée ?
Oui. Une CVE peut passer à l'état Rejected (attribuée par erreur, doublon) ou être Disputed lorsque l'éditeur conteste l'existence de la faille. Son identifiant n'est jamais réutilisé pour autre chose.
Combien de CVE sont publiées chaque année ?
Plusieurs dizaines de milliers, avec un record battu en 2024 (plus de 40 000). Le volume croît d'année en année — il est devenu impossible de tout suivre manuellement.
Sources & références officielles Programme CVE — cve.org (MITRE) · National Vulnerability Database — nvd.nist.gov (NIST) · Catalogue des vulnérabilités activement exploitées — CISA KEV · EPSS — FIRST.org.
Veille CVE ciblée sur votre stack

Recevez seulement les CVE qui touchent vraiment votre parc.

Déclarez votre stack une fois. On vous prévient dès qu'une faille concerne un de vos produits, déjà priorisée par le KEV et l'EPSS, sur le canal que vous voulez. Quelques minutes pour démarrer.

Créer mon compte gratuit Voir les tarifs
  • Gratuit, sans carte bancaire
  • Conçu & hébergé en France 🇫🇷
  • Sans engagement

Sur le même sujet

Qu'est-ce que le CVSS ?La gravité d'une vulnérabilité, notée de 0 à 10.Le catalogue CISA KEVLes vulnérabilités activement exploitées.Qu'est-ce que l'EPSS ?La probabilité d'exploitation à 30 jours.Annuaire CWELes faiblesses logicielles derrière les CVE.