Blog

CVE, CVSS, MITRE, NVD, CISA KEV : le guide complet.

Article

Publié le, 20 May 2026 par Core Security
CVE, CVSS, MITRE, NVD, CISA KEV : le guide complet

Description

CVE, CVSS, MITRE ATT&CK, NVD, CISA KEV, CWE, CAPEC, OWASP, VulDB : maîtrisez l'écosystème des vulnérabilités pour prioriser et défendre votre SI.

⏱ Temps de lecture estimé : ~21 minutes

📑 Sommaire

Introduction : pourquoi maîtriser cet écosystème est indispensable

Chaque jour, de nouvelles vulnérabilités sont découvertes, cataloguées, scorées et — parfois — activement exploitées par des attaquants. Selon les derniers rapports de Threat Intelligence, les soumissions de CVE ont enregistré une hausse massive de plus de 30 % sur les dernières années, tandis que les vulnérabilités spécifiques aux écosystèmes d'Intelligence Artificielle et aux LLM (Large Language Models) connaissent une croissance exponentielle. Face à ce flux continu, les équipes sécurité ne peuvent plus tout corriger en même temps. Elles doivent prioriser. Et pour prioriser intelligemment, elles doivent maîtriser les outils qui structurent cet écosystème.

CVE, CVSS, MITRE, NVD, CISA KEV, CWE, CAPEC, VulDB… Ces acronymes ne sont pas de simples étiquettes techniques. Ils forment une chaîne de renseignement sur les menaces — une infrastructure mondiale de partage de la connaissance sur les failles — que tout RSSI, analyste SOC, pentesteur ou responsable sécurité doit savoir lire et exploiter. Ce guide vous en donne les clés, de façon structurée, complète et opérationnelle.

Si vous souhaitez comprendre comment intégrer ces référentiels dans votre programme de gestion des vulnérabilités, vous êtes au bon endroit.

Qu'est-ce qu'une CVE ? Définition et fonctionnement

Qu'est-ce qu'une CVE ?
Une CVE (Common Vulnerabilities and Exposures) est un identifiant unique, standardisé et public, attribué à une faille de sécurité dévoilée dans un logiciel, un matériel ou un système d'exploitation. Elle permet à tous les acteurs de la cybersécurité de parler de la même vulnérabilité avec le même référentiel.

Le programme CVE a été lancé en 1999 par la MITRE Corporation, une organisation américaine à but non lucratif qui gère des centres de recherche financés par l'État fédéral. Chaque identifiant suit la syntaxe CVE-[ANNÉE]-[NUMÉRO], comme CVE-2024-21762 ou CVE-2021-44228 (la célèbre vulnérabilité Log4Shell).

Qui attribue les CVE ?

Les CVE sont attribuées par des entités appelées CNA (CVE Numbering Authorities). On en dénombre plusieurs centaines à travers le monde : éditeurs de logiciels (Microsoft, Google, Oracle…), agences gouvernementales, équipes de recherche. La coordination globale reste supervisée par MITRE.

Ce qu'une CVE contient

  • Un identifiant unique (CVE-ANNÉE-NUMÉRO),
  • Une description textuelle de la faille,
  • Les produits et versions affectés (via les CPE — Common Platform Enumeration),
  • Des références vers les correctifs, avis de sécurité et bulletins des éditeurs.

Historiquement, les enregistrements CVE ne contenaient pas directement de score de criticité, celui-ci étant principalement calculé à posteriori par le NVD ou les éditeurs. Toutefois, avec les évolutions récentes du format JSON 5.x du programme CVE, les CNA intègrent de plus en plus souvent leurs propres scores CVSS directement dès la publication initiale.

CVSS : mesurer la sévérité d'une vulnérabilité

Qu'est-ce que le CVSS ?
Le CVSS (Common Vulnerability Scoring System) est un standard international qui évalue la gravité d'une CVE sur une échelle de 0 à 10. Il permet de comparer objectivement des milliers de vulnérabilités entre elles et d'orienter les efforts de remédiation.

Le CVSS est maintenu par le FIRST (Forum of Incident Response and Security Teams). La version actuelle est CVSS v4.0, bien que CVSS v3.1 reste encore très largement implantée dans les scanners de vulnérabilités du marché.

Les niveaux de sévérité CVSS

Score CVSS Niveau de sévérité Priorité de traitement type
9,0 – 10,0 Critique Immédiate (48h max)
7,0 – 8,9 Élevé Urgente (7 jours)
4,0 – 6,9 Moyen Planifiée (30 jours)
0,1 – 3,9 Faible Cycle standard de patching

Les métriques du CVSS

Le score CVSS est calculé à partir de plusieurs vecteurs organisés en trois grands groupes de métriques :

  • Métriques de base (Base Score) : évaluent la gravité intrinsèque (vecteur d'attaque, complexité, privilèges requis, interaction utilisateur, confidentialité, intégrité, disponibilité),
  • Métriques temporelles (Temporal Score) : mesurent l'état de la vulnérabilité au fil du temps (maturité des exploits disponibles, niveau de confiance des informations),
  • Métriques environnementales (Environmental Score) : permettent d'adapter le score au contexte spécifique de l'organisation (criticité réelle de l'actif concerné dans votre infrastructure).

La limite du CVSS seul

En pratique, plus de la moitié des CVE publiées affichent un score CVSS qualifié d'« Élevé » ou « Critique » (supérieur à 7). Cela génère un volume d'alertes colossal pour les équipes opérationnelles. Un score CVSS élevé indique une sévérité théorique, mais ne signifie pas qu'une faille est activement ciblée par des attaquants dans le monde réel. C'est pourquoi le CVSS doit être combiné avec d'autres indicateurs axés sur la menace — notamment l'EPSS et le CISA KEV — pour une priorisation réellement efficace.

MITRE : l'organisation derrière l'écosystème

Qu'est-ce que MITRE ?
MITRE est une organisation américaine à but non lucratif fondée en 1958, qui administre des centres de recherche et développement financés par le gouvernement fédéral américain. Elle orchestre plusieurs référentiels majeurs et indispensables de la cybersécurité mondiale : le programme CVE, ainsi que les frameworks CWE, CAPEC et ATT&CK.

MITRE n'est pas un éditeur de logiciels de sécurité commerciaux. C'est un organisme de référence — un producteur de standards ouverts et de connaissances partagées — sur lequel s'appuie l'ensemble de l'industrie cyber. Pour en savoir plus sur les grands organismes du secteur, consultez notre article sur les organismes de référence en cybersécurité.

MITRE CWE : comprendre les faiblesses à la source

Le CWE (Common Weakness Enumeration) est une taxonomie universelle des faiblesses logicielles et matérielles. Là où une CVE identifie une vulnérabilité spécifique et datée dans un produit précis, le CWE classe la nature de l'erreur humaine ou logique sous-jacente au niveau du code.

Quelques exemples de CWE fréquentes :

  • CWE-79 : Cross-Site Scripting (XSS),
  • CWE-89 : Injection SQL,
  • CWE-269 : Gestion incorrecte des privilèges,
  • CWE-862 : Autorisation manquante.

Face à l'émergence des nouvelles technologies, MITRE et les groupes de travail de l'écosystème cyber font évoluer en continu ces taxonomies afin de mieux classifier les faiblesses spécifiques aux systèmes d'IA, aux algorithmes d'apprentissage automatique et aux LLM. Le CWE permet ainsi aux développeurs d'éradiquer les causes profondes des vulnérabilités lors de la phase de build. Il est directement exploité lors des audits de sécurité applicative.

OWASP : le pont entre les CWE et la sécurité applicative

Qu'est-ce qu'OWASP ?
L'OWASP (Open Worldwide Application Security Project) est une fondation internationale à but non lucratif dédiée à l'amélioration de la sécurité des logiciels. Elle produit des référentiels, guides et grilles de contrôle librement accessibles, devenus des standards de fait pour les développeurs et les auditeurs du monde entier.

Le lien entre l'OWASP et les référentiels MITRE est direct et structurel : chaque catégorie de l'OWASP Top 10 — le classement des dix risques applicatifs les plus critiques — est formellement mappée à des CWE précises. C'est la traduction opérationnelle de la classification des faiblesses dans le monde du développement web.

Quelques correspondances emblématiques :

OWASP Top 10 CWE associées principales Exemple de vulnérabilité type
A01 – Broken Access Control CWE-862 (Autorisation manquante), CWE-269 Élévation de privilèges, IDOR
A02 – Cryptographic Failures CWE-327 (Algorithme cryptographique faible), CWE-311 Données sensibles stockées en clair, TLS obsolète
A03 – Injection CWE-89 (SQL Injection), CWE-79 (XSS) Injections de requêtes via des formulaires non assainis
A06 – Vulnerable and Outdated Components CWE-1035, CWE-937 Utilisation de bibliothèques obsolètes (ex: Log4Shell)
A07 – Identification and Authentication Failures CWE-287 (Authentification incorrecte), CWE-384 Contournement de MFA, fixation de session

Ce mapping CWE ↔ OWASP s'avère indispensable dans deux grands contextes :

  • En développement sécurisé (DevSecOps) : les développeurs s'appuient sur la terminologie OWASP pour concevoir leurs architectures. Relier ces concepts aux CWE permet aux outils de scan de code (SAST/DAST) d'associer automatiquement une erreur de code à des familles de vulnérabilités connues,
  • En audit et pentest : les auditeurs utilisent l'OWASP Top 10 et le framework WSTG (Web Security Testing Guide) comme plan de test. Les failles découvertes reçoivent une étiquette CWE, facilitant l'évaluation de leur impact potentiel face aux CVE connues.

L'OWASP étend également sa couverture au-delà du web traditionnel via des projets hautement stratégiques :

  • OWASP API Security Top 10 : cible les vulnérabilités propres aux architectures d'API (REST, GraphQL), aujourd'hui cibles prioritaires des attaquants,
  • OWASP Mobile Top 10 : dédié aux risques pesant sur les applications iOS et Android,
  • OWASP Top 10 for LLM Applications : ce référentiel traite spécifiquement des vecteurs de menaces propres aux intégrations d'IA générative (Prompt Injections, fuites de données d'entraînement, manipulation de modèles),
  • OWASP ASVS (Application Security Verification Standard) : fournit une base de critères techniques précis pour auditer le niveau de sécurité d'une application de bout en bout.

MITRE CAPEC : les schémas d'attaque

Le CAPEC (Common Attack Pattern Enumeration and Classification) est une bibliothèque publique documentant les schémas d'attaque connus employés par les cybercriminels. Là où le CWE décrit la faiblesse dans le code, le CAPEC adopte la perspective de l'attaquant et décrit la méthode pour l'exploiter.

Chaque entrée CAPEC contient :

  • Un identifiant et un intitulé normalisé (ex. CAPEC-233 : Privilege Escalation),
  • Une description pas-à-pas de la méthode d'attaque,
  • Les compétences et prérequis techniques nécessaires pour l'exécuter,
  • Le mapping vers les CWE exploitées et les techniques MITRE ATT&CK correspondantes.

MITRE ATT&CK : la base de connaissances des modes opératoires

Qu'est-ce que MITRE ATT&CK ?
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une matrice mondiale modélisant les tactiques, techniques et procédures (TTP) observées lors de cyberattaques réelles sur le terrain. Elle sert de dictionnaire opérationnel pour cartographier le comportement des groupes d'attaquants (APT, cybergangs de ransomwares).

ATT&CK est structuré autour de plusieurs matrices technologiques (Enterprise, Cloud, Mobile, Industrial Control Systems) et détaille chronologiquement les grandes phases d'une intrusion : de la Reconnaissance à l'Accès Initial, en passant par l'Exécution, la Persistance, l'Évasion des défenses, le Mouvement Latéral, jusqu'à l'Exfiltration ou l'Impact final.

C'est l'outil de chevet des analystes SOC, des équipes de Threat Hunting et des Red Teams — comme celles qui animent notre service de Managed Detection and Response (MDR). Relier une CVE aux matrices ATT&CK (via le cheminement CWE → CAPEC → ATT&CK) permet aux ingénieurs sécurité de basculer d'une vision purement technique de la faille à une détection comportementale efficace au sein du SIEM.

NVD : la base de données nationale des vulnérabilités

Qu'est-ce que le NVD ?
Le NVD (National Vulnerability Database) est un dépôt d'informations géré par le NIST (National Institute of Standards and Technology), l'agence fédérale américaine des standards technologiques. Le NVD collecte les flux de CVE émis par MITRE pour les enrichir avec des métadonnées standardisées : calcul des scores CVSS, association des taxonomies CWE et catégorisation des produits via les dictionnaires CPE.

Le NVD sert de pivot mondial : c'est sur son API que se synchronisent la quasi-totalité des scanners de vulnérabilités, des plateformes de gestion des correctifs (Patch Management) et des solutions d'analyse de risques.

Le défi du retard d'enrichissement du NVD

L'écosystème mondial fait face à un défi de taille : en raison d'une explosion du volume de CVE publiées combinée à des contraintes opérationnelles, le NVD a accumulé un retard structurel significatif dans l'analyse et l'enrichissement des vulnérabilités. Des milliers de CVE se retrouvent régulièrement publiées mais laissées sans métadonnées ni scores CVSS pendant de longues semaines.

Pour pallier ce manque de visibilité critique, des initiatives alternatives ont vu le jour, à l'instar du programme CISA Vulnrichment, où l'agence américaine enrichit elle-même les CVE en attente. Cette situation démontre qu'il est désormais indispensable pour une entreprise d'adopter une stratégie de Threat Intelligence multi-sources.

CISA KEV : le catalogue des vulnérabilités activement exploitées

Qu'est-ce que le CISA KEV ?
Le catalogue CISA KEV (Known Exploited Vulnerabilities) est un référentiel rigoureux maintenu par la CISA (Cybersecurity and Infrastructure Security Agency), l'agence américaine de cybersécurité. Contrairement aux bases globales qui recensent toutes les failles théoriques, le KEV liste exclusivement les CVE pour lesquelles il existe une preuve d'exploitation active et confirmée lors d'attaques réelles dans la nature.

Pourquoi le CISA KEV est-il le pivot de la priorisation ?

Le catalogue KEV résout le problème du bruit généré par le CVSS en répondant à la question critique : parmi les milliers de failles découvertes, lesquelles sont réellement transformées en armes numériques par les attaquants en ce moment même ?

Pour les agences fédérales américaines (soumises à la directive contraignante BOD 22-01), l'inscription d'une CVE au catalogue KEV déclenche une obligation légale de remédiation sous un délai très court (généralement quelques semaines). Pour les entreprises du secteur privé à travers le monde, le KEV s'est imposé comme la boussole de priorisation absolue : une faille présente dans cette liste doit être corrigée en urgence, quel que soit son score CVSS théorique.

Les annales de la cybersécurité regorgent de cas où des vulnérabilités classées "Moyennes" par le CVSS (par exemple certaines failles de contournement de sécurité ou de privilèges locaux sur des pare-feu ou des systèmes d'exploitation) ont été immédiatement intégrées au KEV car elles servaient de maillon indispensable à des groupes de ransomwares pour finaliser leurs intrusions. Un score CVSS modéré peut masquer un impact réel dévastateur.

KEV vs. détection avancée des exploits

Bien que le catalogue CISA KEV soit considéré comme une source de très haute confiance, sa gouvernance étatique implique parfois un temps de validation réglementaire avant l'inscription officielle d'une menace. Les rapports des éditeurs spécialisés en Threat Intelligence (comme VulnCheck ou Mandiant) mettent régulièrement en lumière des exploits activement utilisés sur le terrain avant que ceux-ci ne soient formellement intégrés au catalogue de la CISA. C'est ici que l'apport de sources privées réactives devient capital.

VulDB : la base de données privée de référence pour le renseignement sur les menaces

Qu'est-ce que VulDB ?
VulDB (Vulnerability Database) est une plateforme privée spécialisée dans le renseignement sur les vulnérabilités (Cyber Threat Intelligence). Elle agrège les flux publics et communautaires mondiaux pour enrichir les fiches de vulnérabilités avec des données hautement opérationnelles issues du Clear Web et du Dark Web.

VulDB apporte une valeur ajoutée forte par rapport aux bases purement institutionnelles :

  • Une réactivité de publication et d'analyse souvent supérieure au NVD lors de l'apparition de failles critiques,
  • La mise à disposition d'indicateurs de dynamicité (suivi de l'apparition de PoC — Proof of Concept — ou de codes d'exploitation publics),
  • Une estimation de la valeur marchande des exploits sur les places de marché underground, reflétant l'intérêt des attaquants pour une faille,
  • L'attribution des vulnérabilités à des acteurs de menaces ou des campagnes de cyberespionnage spécifiques.

Pour un RSSI ou un responsable de SOC, croiser les données du NVD et du CISA KEV avec un flux comme VulDB offre une vision à 360 degrés indispensable pour anticiper les attaques.

La chaîne de traçabilité complète en action : de la faille à la défense

L'interopérabilité des standards de l'écosystème permet de construire un fil conducteur logique, de la découverte d'une faille jusqu'aux contre-mesures défensives :

  1. CVE (L'Anomalie) : identifie la vulnérabilité technique précise dans un composant (ex : une faille d'injection de commandes dans un firmware de pare-feu),
  2. CWE (La Cause) : qualifie l'erreur de conception commise par le développeur (ex : neutralisation incorrecte des éléments spéciaux dans les commandes),
  3. CAPEC (L'Attaque) : décrit la technique générique d'exploitation (ex : injection de variables d'environnement),
  4. MITRE ATT&CK (Le Comportement) : positionne l'action dans le mode opératoire global de l'attaquant (ex : technique T1068 - Exploitation pour élévation de privilèges).

Cette approche, appelée Threat-Based Vulnerability Management, évite de patcher à l'aveugle. Elle permet aux ingénieurs sécurité de corréler une alerte de vulnérabilité technique avec des règles de détection précises dans le SIEM et des scénarios de remédiation adaptés aux réalités de la menace. Elle nourrit également la pertinence des analyses de risques selon la norme ISO/IEC 27005, qui exigent d'aligner les vulnérabilités face à des menaces concrètes.

Comment prioriser les CVE en pratique : la méthode 3D

Pour ne pas couler sous le poids des correctifs, les équipes de sécurité modernes délaissent le traitement séquentiel pour adopter la priorisation 3D, qui croise trois dimensions complémentaires :

Dimension 1 : La sévérité intrinsèque (CVSS)

Le score CVSS pose les bases en évaluant l'impact technique maximal d'une compromission réussie. C'est le filtre de départ permettant d'isoler les failles théoriquement destructrices.

Dimension 2 : La probabilité d'exploitation (EPSS)

L'EPSS (Exploit Prediction Scoring System), piloté par le FIRST, applique des modèles prédictifs pour estimer la probabilité qu'une CVE donnée fasse l'objet d'une exploitation dans les 30 prochains jours. Une faille notée 9.8 au CVSS mais disposant d'un EPSS infime présente un risque immédiat plus faible qu'une faille notée 7.5 possédant un score EPSS très élevé.

Dimension 3 : La réalité du terrain (CISA KEV)

C'est l'indicateur binaire absolu. Si la faille est enregistrée dans le CISA KEV, la probabilité théorique s'efface devant la certitude de l'exploitation. La remédiation doit être immédiate. Des cadres méthodologiques avancés, comme le modèle SSVC (Stakeholder-Specific Vulnerability Categorization) développé par le SEI de l'Université Carnegie Mellon et co-adopté par la CISA, s'appuient précisément sur ces arbres de décision contextuels pour automatiser les choix de remédiation (Agir, Surveiller, Planifier) en fonction de la sécurité des personnes, de la mission métier et de l'état réel de l'exploit.

Indicateur Ce qu'il mesure Rôle opérationnel dans la priorisation
CVSS Sévérité technique intrinsèque de la faille Filtre de base (Gravité potentielle de l'impact)
EPSS Probabilité d'exploitation sous 30 jours (modèle statistique) Indicateur de tendance et d'anticipation du risque
CISA KEV Exploitation active avérée dans des cyberattaques réelles Déclencheur d'urgence absolue (Traitement prioritaire)
VulDB / Flux CTI Contextualisation de la menace, acteurs cyber et PoC disponibles Ajustement fin et enrichissement des règles du SOC

Tendances de la menace : ce que révèlent les données CVE

L'observation consolidée des bases de vulnérabilités met en lumière des mutations profondes dans les tactiques offensives :

L'effondrement des délais d'exploitation

Les rapports annuels d'analyse d'incidents confirment une accélération fulgurante : le délai moyen constaté entre la publication officielle d'une vulnérabilité et l'apparition des premières tentatives d'exploitation à grande échelle est passé de plusieurs semaines à seulement quelques jours, voire quelques heures. Une part substantielle des compromissions d'envergure exploite désormais des failles dites "Zero-Day" (utilisées avant même la mise à disposition d'un correctif public), à l'image des attaques récentes documentées autour de Claude Mythos d'Anthropic. Pour comprendre les mécanismes de défense associés, lisez notre article dédié aux vulnérabilités 0-day. Cette cinétique rend les politiques traditionnelles de patch mensuel obsolètes.

Le ciblage chirurgical des équipements de bordure (Edge)

Les infrastructures de sécurité périmétriques (passerelles VPN, pare-feu, boîtiers d'optimisation réseau) sont devenues les cibles reines des attaquants étatiques et des courtiers d'accès (Initial Access Brokers). N'hébergeant souvent pas d'agents de détection EDR classiques et étant directement exposés sur Internet, ces équipements concentrent une part très élevée des exploitations critiques répertoriées par la CISA. Ce constat valide pleinement les orientations de l'ANSSI relatives au durcissement des accès distants et au cloisonnement strict du réseau.

La prolifération des failles de logique d'accès

On observe une augmentation marquée des vulnérabilités liées à des défauts de contrôle des autorisations (CWE-862). À l'ère des architectures Cloud et des microservices, les erreurs d'implémentation des droits d'accès l'emportent de plus en plus sur les pures failles de corruption de mémoire, mettant sous pression la gouvernance des identités et le déploiement opérationnel du principe du moindre privilège.

Intégrer cet écosystème dans votre programme de sécurité

Pour transformer ces connaissances théoriques en bouclier défensif, votre feuille de route doit s'articuler autour de cinq étapes clés :

Étape 1 : Bâtir un socle de Threat Intelligence multi-sources

Ne dépendez pas d'un unique flux d'information. Automatisez l'ingestion croisée des alertes issues du programme CVE, des enrichissements de la CISA (KEV / Vulnrichment), des indicateurs EPSS et de flux cyber privés ou sectoriels afin de compenser les retards d'analyse des bases publiques.

Étape 2 : Cartographier en continu vos actifs (Asset Inventory)

Une vulnérabilité critique n'a d'existence pour votre entreprise que si elle affecte un équipement ou une application effectivement déployé dans votre périmètre. Maintenir un inventaire à jour des technologiques et des versions (mismatch CPE) est le fondement incontournable de tout diagnostic cybersécurité d'entreprise.

Étape 3 : Industrialiser la notation contextuelle (Méthode 3D / SSVC)

Définissez une matrice de décision claire : corrélez le CVSS avec l'exposition réseau de la machine, sa criticité pour le business et son statut d'exploitation active (CISA KEV). Automatisez ce tri pour éliminer le bruit de fond et concentrer l'effort humain sur les risques vitaux.

Étape 4 : Aligner la détection du SOC (Mapping ATT&CK)

Lorsqu'une vulnérabilité critique ne peut être patchée immédiatement (contraintes de production, absence de correctif éditeur), utilisez la traçabilité CWE/CAPEC pour identifier les tactiques comportementales de l'attaquant dans la matrice ATT&CK. Déployez immédiatement des règles de détection compensatoires ou des indicateurs de compromission (IoC) spécifiques dans votre SIEM ou vos EDR.

Étape 5 : Contractualiser et mesurer des SLA de remédiation stricts

Formalisez des objectifs temporels de traitement impératifs : par exemple, un délai maximal de 48 heures pour l'application d'un correctif (ou d'une mesure de contournement) visant une vulnérabilité présente dans le CISA KEV et exposée sur Internet. Suivez le taux de respect de ces indicateurs comme un indicateur clé de votre gouvernance cyber.

Cette approche s'inscrit au cœur d'une stratégie de gestion continue des vulnérabilités, recommandée par les institutions de référence telles que Cybermalveillance.gouv.fr pour garantir la résilience globale des infrastructures.

Ressources officielles de référence

Voici la liste des plateformes institutionnelles indispensables à intégrer dans vos veilles de sécurité :

Référentiel / Flux Entité gestionnaire Accès officiel
Registre Officiel des CVE MITRE Corporation cve.mitre.org
National Vulnerability Database (NVD) NIST (Gouvernement US) nvd.nist.gov
Known Exploited Vulnerabilities (KEV) Catalog CISA (Agences de Cybersécurité US) cisa.gov/known-exploited-vulnerabilities-catalog
Référentiel MITRE ATT&CK MITRE Corporation attack.mitre.org
Dictionnaire des faiblesses CWE MITRE Corporation cwe.mitre.org
Exploit Prediction Scoring System (EPSS) FIRST.org first.org/epss
Bulletins d'actualité et Avis de sécurité du CERT-FR ANSSI (France) cert.ssi.gouv.fr

Pour les entreprises opérant sur le territoire français, le suivi des publications du CERT-FR de l'ANSSI constitue une obligation de premier ordre, garantissant des alertes contextualisées face aux menaces ciblant spécifiquement le tissu économique national.

Points clés à retenir

  • Une CVE est un code d'identification unique, public et standardisé désignant une vulnérabilité technique, géré sous l'égide de MITRE,
  • Le CVSS évalue la sévérité technique brute sur une échelle de 0 à 10, mais ne reflète en aucun cas la réalité de l'exploitation malveillante du moment,
  • Le NVD (NIST) enrichit historiquement les fiches CVE, mais fait face à un retard d'analyse qui impose d'exploiter des sources alternatives (CISA Vulnrichment, flux privés),
  • Le catalogue CISA KEV recense de manière incontestable les vulnérabilités activement exploitées sur le terrain : c'est le repère numéro un de la gestion des urgences,
  • Le framework CWE s'attaque aux causes logiques des failles (la vision du développeur) tandis que le catalogue CAPEC modélise les méthodes d'attaque (la vision du hacker),
  • La matrice MITRE ATT&CK offre une cartographie comportementale des modes opératoires des attaquants, indispensable pour orienter la détection des SOC,
  • L'application d'une méthode de priorisation dynamique (3D) combinant la gravité (CVSS), la probabilité (EPSS) et la réalité de la menace (CISA KEV) s'impose comme la seule approche viable pour maîtriser le volume de vulnérabilités contemporain.

Conclusion : de la connaissance à l'action

La parfaite compréhension de l'écosystème CVE-CVSS-MITRE-NVD-CISA KEV n'est pas un exercice de pure forme technique. C'est le prérequis indispensable pour transformer des flux d'informations bruts et anxiogènes en décisions de remédiation rationnelles, agiles et alignées sur les risques réels de votre entreprise. Face à des attaquants hyper-réactifs, la capacité d'une équipe cyber à prioriser intelligemment est devenue un facteur clé de résilience opérationnelle.

Pour vous accompagner dans la structuration de votre gouvernance cyber, l'industrialisation de votre Threat Intelligence, ou la mise en œuvre de programmes matures de remédiation, les experts de Core Security se tiennent à votre disposition. De l'audit initial à l'accompagnement stratégique de vos équipes SOC et RSSI, n'hésitez pas à nous contacter pour étudier ensemble vos défis de sécurité.

FAQ - CVE, CVSS, MITRE, NVD et CISA KEV

Une CVE désigne une faille de sécurité bien spécifique affectant une version précise d'un produit logiciel ou matériel donné (ex: CVE-2021-44228 dans Log4j). Une CWE qualifie la faille logique globale ou l'erreur de programmation commise à la racine (ex: CWE-20 - Validation incorrecte des entrées). La CWE est un concept de faiblesse générale ; la CVE est une occurrence technique identifiée.

Non. Un score de 10 signale une sévérité théorique maximale (facilité d'exécution et impact critique). Cependant, si l'équipement concerné est totalement isolé du réseau, éteint, ou protégé par des contrôles d'accès stricts empêchant son atteinte, le risque réel pour votre entreprise est minime. Une faille notée 7.5 au CVSS mais figurant dans le catalogue CISA KEV et touchant votre serveur web principal exigera une priorité de traitement bien supérieure.

Absolument. Les attaquants et les codes d'exploitation ne s'arrêtent pas aux frontières géographiques ou administratives. Une faille activement exploitée sur le territoire américain est, par nature, immédiatement ciblée par des scripts automatisés sur l'ensemble des infrastructures connectées à Internet à l'échelle mondiale. Le KEV est une référence universelle pour la gestion des menaces.

Ce processus s'appuie sur la chaîne d'équivalence normalisée : CVE → CWE → CAPEC → Techniques ATT&CK. De nombreuses plateformes de gestion des vulnérabilités, de Threat Intelligence ou d'orchestration SOC (SOAR) intègrent nativement ces tables de correspondance pour pousser automatiquement aux analystes les schémas comportementaux à surveiller dans les journaux d'événements.

Le NVD est un registre public gouvernemental centré sur la qualification et la normalisation technique standard d'une faille (attribution des scores et des référentiels). VulDB est une base de Threat Intelligence privée axée sur la dynamique de la menace : elle renseigne sur l'existence de codes d'exploitation (PoC), leur négociation financière sur les marchés spécialisés et leur utilisation par des groupes cybercriminels identifiés, offrant un éclairage hautement tactique.

Ce retard résulte d'une saturation face à la croissance exponentielle du nombre de logiciels mis sur le marché et des vulnérabilités associées. Pour maintenir une vision claire, les entreprises doivent diversifier leurs canaux de veille en exploitant les bulletins des éditeurs, les avis d'agences nationales comme le CERT-FR (ANSSI), le flux CISA Vulnrichment ou des flux de Threat Intelligence privés.

Pour le secteur privé, la recommandation standard est de traiter les failles du catalogue KEV sous un délai de 48 à 72 heures maximum lorsque l'équipement est exposé à Internet. Pour les infrastructures vitales ou hautement sensibles, ce délai est idéalement abaissé à moins de 24 heures pour devancer la cinétique d'intrusion des attaquants. Ces objectifs temporels doivent être formalisés au sein de la politique de sécurité de l'entreprise.

Description

CVE, CVSS, MITRE ATT&CK, NVD, CISA KEV, CWE, CAPEC, OWASP, VulDB : maîtrisez l'écosystème des vulnérabilités pour prioriser et défendre votre SI.

⏱ Temps de lecture estimé : ~21 minutes

Catégories

  1. Actualités
  2. Cybersécurité
  3. Informatique