FAQ

Les CWE sont intégrées dans de nombreux outils d’analyse de code source, d’audit de sécurité ou de gestion des vulnérabilités, pour identifier automatiquement les faiblesses potentielles dans les logiciels. En comprenant quelles CWE sont présentes dans un système, les équipes peuvent estimer la surface d’attaque, anticiper les menaces futures, et prioriser les corrections avant qu’une faille ne devienne une CVE exploitable.

Elles permettent également d’établir des profils de risque pour des projets ou produits, en fonction de la nature et du nombre de faiblesses identifiées. Cela facilite la prise de décision pour les RSSI, DSI ou responsables de conformité, notamment dans les démarches DevSecOps ou lors d’évaluations selon des cadres comme NIST ou ISO 27002.

La classification CWE permet de standardiser la compréhension des faiblesses de sécurité dans les systèmes informatiques. Elle aide les développeurs, les testeurs et les analystes à identifier les erreurs de conception ou de codage courantes, afin de les éviter ou de les corriger plus efficacement. Grâce à cette taxonomie, les outils de sécurité peuvent produire des rapports cohérents et exploitables.

Elle est également très utile pour la formation des équipes techniques, l’évaluation des outils de détection, la priorisation des risques, et la conformité à certaines normes comme ISO/IEC 27001. En intégrant les CWE dans les processus de développement, on peut améliorer significativement la sécurité dès la phase de conception.

Une CVE est simplement une déclaration publique qu’une faille existe dans un produit donné, tandis qu’une vulnérabilité exploitée signifie qu’un attaquant utilise activement cette faille pour compromettre des systèmes. En d’autres termes, toutes les CVE ne sont pas exploitées en conditions réelles : certaines peuvent rester théoriques ou techniques.

À l’inverse, une vulnérabilité peut être exploitée sans avoir encore reçu de CVE - c’est ce qu’on appelle une zero-day. Pour évaluer le danger réel d’une CVE, il faut consulter des informations complémentaires comme les données KEV de la CISA ou le score EPSS, qui indiquent si la faille est activement utilisée dans des cyberattaques. Ces informations sont disponible directement depuis notre site Internet CVEFind.

Le CWE Top 25 est une liste annuelle des 25 faiblesses les plus dangereuses en matière de sécurité logicielle. Elle est établie par MITRE à partir de données publiques issues de la NVD (National Vulnerability Database) et d’autres sources, en analysant la fréquence et l’impact des faiblesses associées à des CVE réelles.

Ce classement est précieux pour les développeurs et les équipes de sécurité, car il met en lumière les erreurs les plus courantes et les plus critiques, comme les injections, les buffer overflows, ou les problèmes d’authentification. En se concentrant sur ces faiblesses prioritaires, les organisations peuvent améliorer rapidement leur posture de sécurité, même avec des ressources limitées.

Une CWE (Common Weakness Enumeration) est une classification standardisée des faiblesses susceptibles de conduire à des vulnérabilités dans des logiciels, firmwares ou systèmes. Contrairement aux CVE, qui désignent des vulnérabilités spécifiques et documentées dans un produit donné, les CWE décrivent des types de défauts de conception ou de programmation pouvant affecter la sécurité d’un système.

Par exemple, une CWE peut décrire une mauvaise gestion de la mémoire, une injection de commande, ou encore une validation insuffisante des entrées. Ces faiblesses peuvent ensuite être détectées dans de multiples logiciels, et associées à des CVE individuelles si elles sont exploitées dans un contexte réel.

Les CVE jouent un rôle central dans la gestion des vulnérabilités. Elles fournissent un langage commun à tous les acteurs de la cybersécurité pour suivre et documenter les failles, ce qui permet de prioriser les correctifs, d’automatiser les analyses et de structurer la veille sécuritaire. Sans CVE, chaque éditeur ou chercheur pourrait décrire une faille différemment, rendant la coordination complexe.

Elles sont également utilisées par les outils de scan de vulnérabilités, les SIEM, les SOC et les RSSI pour établir des politiques de réponse aux incidents. Leur adoption mondiale garantit que les failles sont identifiables et que les défenses peuvent être activées plus rapidement et de manière coordonnée.

La liste des CWE est maintenue par la MITRE Corporation, la même organisation qui gère le programme CVE. MITRE est soutenue par le département américain de la sécurité intérieure (DHS) et d'autres acteurs publics et privés pour développer et actualiser cette base de connaissances.

La communauté joue également un rôle clé : chercheurs, éditeurs, gouvernements et industriels peuvent proposer de nouvelles faiblesses, suggérer des modifications, ou partager des retours d’expérience sur l’utilité des entrées existantes. La base est publique, accessible librement en ligne, et continuellement enrichie pour refléter les évolutions des technologies et des techniques d’attaque.

Non, les CVE ne concernent pas uniquement les logiciels. Elles peuvent aussi couvrir des vulnérabilités dans le matériel, les firmwares, les composants IoT, les systèmes d’exploitation, voire certaines configurations par défaut dangereuses. Par exemple, des failles dans les routeurs, processeurs ou équipements industriels peuvent également recevoir des identifiants CVE.

Cette couverture large permet de prendre en compte les différents vecteurs d’attaque dans un système d’information moderne. L’essentiel est que la vulnérabilité soit documentée, confirmée et publiquement signalée pour entrer dans le programme CVE. Ainsi, les équipes de sécurité peuvent évaluer les risques à l’échelle de toute l’infrastructure.

Les CWE sont des modèles abstraits de faiblesses, alors que les CVE sont des incidents concrets. Une CVE représente une vulnérabilité identifiée dans un logiciel ou un système précis, tandis qu’une CWE décrit une faiblesse générique présente dans le code ou l’architecture, sans forcément être exploitée.

Prenons un exemple : une CVE pourrait concerner une injection SQL dans une application web, tandis que la CWE correspondante serait CWE-89: Improper Neutralization of Special Elements used in an SQL Command. En résumé, les CWE servent à catégoriser et analyser les failles, alors que les CVE permettent de les suivre et les corriger individuellement.

Le processus de publication d’une CVE commence généralement par la soumission d’un rapport de vulnérabilité à un CNA ou directement à MITRE. Si la faille est reconnue comme légitime, un identifiant CVE est réservé. À ce stade, la CVE peut rester "réservée" pendant un certain temps, en attendant la validation technique, l’accord des parties concernées ou la disponibilité d’un correctif.

Une fois toutes les informations vérifiées, la CVE est rendue publique via le site officiel de MITRE (cve.org) et d'autres plateformes comme NVD (National Vulnerability Database) ou CVE Find. Elle comprend une courte description technique de la vulnérabilité, la date de publication, les produits affectés et parfois des références vers des correctifs ou des avis de sécurité.

Une CVE (Common Vulnerabilities and Exposures) est un identifiant unique attribué à une vulnérabilité connue dans un système informatique, un logiciel ou un matériel. Elle permet de nommer et de suivre précisément une faille, même lorsqu’elle est traitée par différents fournisseurs, outils ou bases de données. Chaque CVE suit le format CVE-année-numéro, comme par exemple CVE-2023-12345.

Le but des CVE est d’uniformiser la communication autour des failles de sécurité : au lieu d’utiliser des descriptions variables, tous les acteurs peuvent se référer au même identifiant. Cela facilite la coordination entre les chercheurs, les éditeurs de logiciels, les équipes de sécurité, et les fournisseurs de solutions de sécurité.

CAPEC signifie Common Attack Pattern Enumeration and Classification. C’est une base de connaissances structurée développée par MITRE qui répertorie et décrit les modèles d’attaques connus utilisés contre les systèmes informatiques. Contrairement à des incidents ponctuels, les CAPEC décrivent des stratégies réutilisables par les attaquants pour exploiter des failles.

Chaque modèle CAPEC est une représentation abstraite d’un comportement malveillant : il explique comment une attaque est menée, quel type de faiblesse elle vise, et dans quel objectif. L’objectif de CAPEC est d’aider les professionnels de la sécurité à mieux comprendre, détecter et anticiper les tactiques utilisées par les attaquants.

Non, l’existence d’une CVE ne garantit pas qu’un correctif soit disponible. Une CVE peut être publiée avant qu’un éditeur n’ait développé un correctif, ou même dans des cas où aucun correctif n’est prévu (par exemple, pour des logiciels obsolètes ou plus maintenus). Dans ces situations, les utilisateurs doivent mettre en place des mesures de contournement ou désactiver certaines fonctionnalités vulnérables.

Il est donc essentiel de ne pas seulement consulter les CVE, mais aussi de vérifier les recommandations des éditeurs et les bases comme la NVD ou la base KEV, qui peuvent indiquer si un patch existe et dans quels délais il est attendu. Une bonne gestion des risques prend en compte à la fois la gravité de la faille et la disponibilité de solutions.

Les identifiants CVE sont attribués par une organisation américaine à but non lucratif appelée MITRE Corporation, qui gère le programme CVE au nom de l’Agence de cybersécurité et de sécurité des infrastructures (CISA). MITRE ne distribue pas seule tous les identifiants : elle s’appuie sur un réseau de partenaires appelés CNA (CVE Numbering Authorities).

Un CNA peut être un éditeur de logiciel, un fournisseur de sécurité, un CERT ou une organisation spécialisée en vulnérabilités. Chaque CNA est autorisé à attribuer des identifiants CVE pour les vulnérabilités découvertes dans ses propres produits ou dans son périmètre. Ce système permet d’accélérer la déclaration des failles tout en maintenant une structure centralisée via MITRE.

Les modèles d’attaque CAPEC servent à documenter les tactiques et techniques utilisées par les attaquants pour exploiter des systèmes. En les étudiant, les analystes de sécurité, développeurs et architectes peuvent comprendre les objectifs d’une attaque, ses étapes typiques, et les vulnérabilités exploitées. Cela permet d’anticiper les menaces et de concevoir des contre-mesures plus efficaces.

Ils sont également utiles pour la formation, l’analyse de risques, la simulation d’attaques (red teaming), ou encore la mise en place de contrôles de sécurité défensifs. En reliant les CAPEC aux CWE et aux CVE, on peut établir une chaîne complète allant de la faiblesse à l’exploitation concrète, ce qui enrichit les démarches de threat modeling ou de sécurité by design.