FAQ

Le CWE Top 25 est une liste annuelle des 25 faiblesses les plus dangereuses en matière de sécurité logicielle. Elle est établie par MITRE à partir de données publiques issues de la NVD (National Vulnerability Database) et d’autres sources, en analysant la fréquence et l’impact des faiblesses associées à des CVE réelles.

Ce classement est précieux pour les développeurs et les équipes de sécurité, car il met en lumière les erreurs les plus courantes et les plus critiques, comme les injections, les buffer overflows, ou les problèmes d’authentification. En se concentrant sur ces faiblesses prioritaires, les organisations peuvent améliorer rapidement leur posture de sécurité, même avec des ressources limitées.

Les CWE sont intégrées dans de nombreux outils d’analyse de code source, d’audit de sécurité ou de gestion des vulnérabilités, pour identifier automatiquement les faiblesses potentielles dans les logiciels. En comprenant quelles CWE sont présentes dans un système, les équipes peuvent estimer la surface d’attaque, anticiper les menaces futures, et prioriser les corrections avant qu’une faille ne devienne une CVE exploitable.

Elles permettent également d’établir des profils de risque pour des projets ou produits, en fonction de la nature et du nombre de faiblesses identifiées. Cela facilite la prise de décision pour les RSSI, DSI ou responsables de conformité, notamment dans les démarches DevSecOps ou lors d’évaluations selon des cadres comme NIST ou ISO 27002.

La liste des CWE est maintenue par la MITRE Corporation, la même organisation qui gère le programme CVE. MITRE est soutenue par le département américain de la sécurité intérieure (DHS) et d'autres acteurs publics et privés pour développer et actualiser cette base de connaissances.

La communauté joue également un rôle clé : chercheurs, éditeurs, gouvernements et industriels peuvent proposer de nouvelles faiblesses, suggérer des modifications, ou partager des retours d’expérience sur l’utilité des entrées existantes. La base est publique, accessible librement en ligne, et continuellement enrichie pour refléter les évolutions des technologies et des techniques d’attaque.

La classification CWE permet de standardiser la compréhension des faiblesses de sécurité dans les systèmes informatiques. Elle aide les développeurs, les testeurs et les analystes à identifier les erreurs de conception ou de codage courantes, afin de les éviter ou de les corriger plus efficacement. Grâce à cette taxonomie, les outils de sécurité peuvent produire des rapports cohérents et exploitables.

Elle est également très utile pour la formation des équipes techniques, l’évaluation des outils de détection, la priorisation des risques, et la conformité à certaines normes comme ISO/IEC 27001. En intégrant les CWE dans les processus de développement, on peut améliorer significativement la sécurité dès la phase de conception.

Les CWE sont des modèles abstraits de faiblesses, alors que les CVE sont des incidents concrets. Une CVE représente une vulnérabilité identifiée dans un logiciel ou un système précis, tandis qu’une CWE décrit une faiblesse générique présente dans le code ou l’architecture, sans forcément être exploitée.

Prenons un exemple : une CVE pourrait concerner une injection SQL dans une application web, tandis que la CWE correspondante serait CWE-89: Improper Neutralization of Special Elements used in an SQL Command. En résumé, les CWE servent à catégoriser et analyser les failles, alors que les CVE permettent de les suivre et les corriger individuellement.

Une CWE (Common Weakness Enumeration) est une classification standardisée des faiblesses susceptibles de conduire à des vulnérabilités dans des logiciels, firmwares ou systèmes. Contrairement aux CVE, qui désignent des vulnérabilités spécifiques et documentées dans un produit donné, les CWE décrivent des types de défauts de conception ou de programmation pouvant affecter la sécurité d’un système.

Par exemple, une CWE peut décrire une mauvaise gestion de la mémoire, une injection de commande, ou encore une validation insuffisante des entrées. Ces faiblesses peuvent ensuite être détectées dans de multiples logiciels, et associées à des CVE individuelles si elles sont exploitées dans un contexte réel.