FAQ

Les identifiants CVE sont attribués par une organisation américaine à but non lucratif appelée MITRE Corporation, qui gère le programme CVE au nom de l’Agence de cybersécurité et de sécurité des infrastructures (CISA). MITRE ne distribue pas seule tous les identifiants : elle s’appuie sur un réseau de partenaires appelés CNA (CVE Numbering Authorities).

Un CNA peut être un éditeur de logiciel, un fournisseur de sécurité, un CERT ou une organisation spécialisée en vulnérabilités. Chaque CNA est autorisé à attribuer des identifiants CVE pour les vulnérabilités découvertes dans ses propres produits ou dans son périmètre. Ce système permet d’accélérer la déclaration des failles tout en maintenant une structure centralisée via MITRE.