FAQ

La liste KEV (Known Exploited Vulnerabilities) publiée par la CISA recense les vulnérabilités activement exploitées dans la nature, c’est-à-dire déjà utilisées dans des cyberattaques réelles. Cette liste a pour objectif d’aider les organisations à prioriser leurs efforts de correction, en se concentrant sur les failles qui représentent une menace immédiate.

En publiant cette liste, la CISA fournit un outil de gestion des risques très concret : elle signale non seulement les failles connues, mais aussi les plus critiques et les plus urgentes. Pour les agences fédérales américaines, la correction de ces failles est obligatoire dans des délais stricts. Mais au-delà des États-Unis, la KEV est largement consultée par les professionnels de la cybersécurité dans le monde entier pour orienter leur stratégie de patch management.

La liste des CWE est maintenue par la MITRE Corporation, la même organisation qui gère le programme CVE. MITRE est soutenue par le département américain de la sécurité intérieure (DHS) et d'autres acteurs publics et privés pour développer et actualiser cette base de connaissances.

La communauté joue également un rôle clé : chercheurs, éditeurs, gouvernements et industriels peuvent proposer de nouvelles faiblesses, suggérer des modifications, ou partager des retours d’expérience sur l’utilité des entrées existantes. La base est publique, accessible librement en ligne, et continuellement enrichie pour refléter les évolutions des technologies et des techniques d’attaque.

La CISA (Cybersecurity and Infrastructure Security Agency) est une agence gouvernementale américaine. Elle est chargée de protéger les infrastructures critiques des États-Unis contre les menaces cyber et physiques, en apportant du soutien, des outils, et des recommandations aux administrations, aux entreprises, et au public.

Dans le domaine de la cybersécurité, la CISA agit comme un centre de coordination pour prévenir les cyberattaques, réagir aux incidents, partager des informations sur les menaces, et promouvoir les meilleures pratiques de sécurité. Bien qu'américaine, son rôle et ses ressources influencent les pratiques de cybersécurité à l’échelle mondiale, en raison de sa transparence et de son leadership.

Non, les CVE ne concernent pas uniquement les logiciels. Elles peuvent aussi couvrir des vulnérabilités dans le matériel, les firmwares, les composants IoT, les systèmes d’exploitation, voire certaines configurations par défaut dangereuses. Par exemple, des failles dans les routeurs, processeurs ou équipements industriels peuvent également recevoir des identifiants CVE.

Cette couverture large permet de prendre en compte les différents vecteurs d’attaque dans un système d’information moderne. L’essentiel est que la vulnérabilité soit documentée, confirmée et publiquement signalée pour entrer dans le programme CVE. Ainsi, les équipes de sécurité peuvent évaluer les risques à l’échelle de toute l’infrastructure.

Oui, un score CVSS peut évoluer au fil du temps, surtout si de nouvelles informations apparaissent. Par exemple, un exploit public, un contournement de correctif ou une preuve d’exploitation active peuvent amener les analystes à réviser le score temporel ou même le vecteur de base si une erreur d’évaluation initiale est détectée.

De plus, des outils automatisés comme ceux de la NVD mettent à jour régulièrement les scores CVSS selon les données de terrain et les publications. Il est donc recommandé aux entreprises de revalider périodiquement leurs analyses, notamment pour les vulnérabilités critiques.

Les CWE sont des modèles abstraits de faiblesses, alors que les CVE sont des incidents concrets. Une CVE représente une vulnérabilité identifiée dans un logiciel ou un système précis, tandis qu’une CWE décrit une faiblesse générique présente dans le code ou l’architecture, sans forcément être exploitée.

Prenons un exemple : une CVE pourrait concerner une injection SQL dans une application web, tandis que la CWE correspondante serait CWE-89: Improper Neutralization of Special Elements used in an SQL Command. En résumé, les CWE servent à catégoriser et analyser les failles, alors que les CVE permettent de les suivre et les corriger individuellement.

Le score CVSS mesure la gravité intrinsèque d’une vulnérabilité, mais pas son exploitation réelle, ni sa pertinence dans un environnement donné. Par exemple, une faille peut avoir un score élevé, mais être peu exploitable dans votre infrastructure, ou au contraire, une faille moyenne peut cibler un système critique non segmenté.

Pour une évaluation plus précise du risque, il est important d’intégrer des indicateurs complémentaires, comme :

• Le score EPSS (probabilité d’exploitation réelle)
• L’appartenance à la liste KEV (exploitation confirmée)
• Le contexte métier ou technique de l’environnement touché

Ainsi, le CVSS doit être vu comme un indicateur de gravité, et non une mesure complète du risque.

Le processus de publication d’une CVE commence généralement par la soumission d’un rapport de vulnérabilité à un CNA ou directement à MITRE. Si la faille est reconnue comme légitime, un identifiant CVE est réservé. À ce stade, la CVE peut rester "réservée" pendant un certain temps, en attendant la validation technique, l’accord des parties concernées ou la disponibilité d’un correctif.

Une fois toutes les informations vérifiées, la CVE est rendue publique via le site officiel de MITRE (cve.org) et d'autres plateformes comme NVD (National Vulnerability Database) ou CVE Find. Elle comprend une courte description technique de la vulnérabilité, la date de publication, les produits affectés et parfois des références vers des correctifs ou des avis de sécurité.

Le score CVSS (Common Vulnerability Scoring System) mesure la gravité d’une vulnérabilité en lui attribuant une note de 0 à 10, où 10 représente une faille extrêmement critique. Il est conçu pour fournir une évaluation standardisée et objective des vulnérabilités, afin que les organisations puissent les comparer entre elles et prioriser leurs traitements.

Ce score prend en compte plusieurs aspects : la facilité d’exploitation, les effets potentiels sur la confidentialité, l’intégrité et la disponibilité, ainsi que les conditions nécessaires à l’attaque. En résumé, le CVSS aide à quantifier le niveau de danger inhérent d’une faille de sécurité.

CAPEC signifie Common Attack Pattern Enumeration and Classification. C’est une base de connaissances structurée développée par MITRE qui répertorie et décrit les modèles d’attaques connus utilisés contre les systèmes informatiques. Contrairement à des incidents ponctuels, les CAPEC décrivent des stratégies réutilisables par les attaquants pour exploiter des failles.

Chaque modèle CAPEC est une représentation abstraite d’un comportement malveillant : il explique comment une attaque est menée, quel type de faiblesse elle vise, et dans quel objectif. L’objectif de CAPEC est d’aider les professionnels de la sécurité à mieux comprendre, détecter et anticiper les tactiques utilisées par les attaquants.

Une CVE (Common Vulnerabilities and Exposures) est un identifiant unique attribué à une vulnérabilité connue dans un système informatique, un logiciel ou un matériel. Elle permet de nommer et de suivre précisément une faille, même lorsqu’elle est traitée par différents fournisseurs, outils ou bases de données. Chaque CVE suit le format CVE-année-numéro, comme par exemple CVE-2023-12345.

Le but des CVE est d’uniformiser la communication autour des failles de sécurité : au lieu d’utiliser des descriptions variables, tous les acteurs peuvent se référer au même identifiant. Cela facilite la coordination entre les chercheurs, les éditeurs de logiciels, les équipes de sécurité, et les fournisseurs de solutions de sécurité.

Non, l’existence d’une CVE ne garantit pas qu’un correctif soit disponible. Une CVE peut être publiée avant qu’un éditeur n’ait développé un correctif, ou même dans des cas où aucun correctif n’est prévu (par exemple, pour des logiciels obsolètes ou plus maintenus). Dans ces situations, les utilisateurs doivent mettre en place des mesures de contournement ou désactiver certaines fonctionnalités vulnérables.

Il est donc essentiel de ne pas seulement consulter les CVE, mais aussi de vérifier les recommandations des éditeurs et les bases comme la NVD ou la base KEV, qui peuvent indiquer si un patch existe et dans quels délais il est attendu. Une bonne gestion des risques prend en compte à la fois la gravité de la faille et la disponibilité de solutions.

Les identifiants CVE sont attribués par une organisation américaine à but non lucratif appelée MITRE Corporation, qui gère le programme CVE au nom de l’Agence de cybersécurité et de sécurité des infrastructures (CISA). MITRE ne distribue pas seule tous les identifiants : elle s’appuie sur un réseau de partenaires appelés CNA (CVE Numbering Authorities).

Un CNA peut être un éditeur de logiciel, un fournisseur de sécurité, un CERT ou une organisation spécialisée en vulnérabilités. Chaque CNA est autorisé à attribuer des identifiants CVE pour les vulnérabilités découvertes dans ses propres produits ou dans son périmètre. Ce système permet d’accélérer la déclaration des failles tout en maintenant une structure centralisée via MITRE.

Les modèles d’attaque CAPEC servent à documenter les tactiques et techniques utilisées par les attaquants pour exploiter des systèmes. En les étudiant, les analystes de sécurité, développeurs et architectes peuvent comprendre les objectifs d’une attaque, ses étapes typiques, et les vulnérabilités exploitées. Cela permet d’anticiper les menaces et de concevoir des contre-mesures plus efficaces.

Ils sont également utiles pour la formation, l’analyse de risques, la simulation d’attaques (red teaming), ou encore la mise en place de contrôles de sécurité défensifs. En reliant les CAPEC aux CWE et aux CVE, on peut établir une chaîne complète allant de la faiblesse à l’exploitation concrète, ce qui enrichit les démarches de threat modeling ou de sécurité by design.

L’EPSS complète le CVSS en apportant une dimension temporelle et comportementale à l’évaluation des vulnérabilités. Le CVSS mesure la gravité d’une faille sur la base de ses propriétés intrinsèques (impact, complexité, accessibilité), mais ne dit rien sur la probabilité réelle qu’elle soit exploitée. L’EPSS comble cette lacune en analysant des données issues du terrain, comme les tendances d’exploitation observées dans les honeypots, les moteurs de recherche de vulnérabilités, ou les flux de menace.

Cette complémentarité est précieuse pour la gestion des risques : une faille peut être critique selon le CVSS, mais non exploitée (score EPSS faible), ou au contraire apparaître bénigne en théorie, mais très utilisée dans des attaques automatisées. Utiliser les deux scores ensemble permet d’établir des priorités plus pertinentes et conformes à la réalité du terrain.