FAQ

Oui, il existe un calculateur officiel du score CVSS proposé par le Forum des standards FIRST, qui maintient le standard CVSS. Il est accessible en ligne à l’adresse : https://www.first.org/cvss/calculator.

Ce calculateur permet de composer un vecteur en sélectionnant les métriques pertinentes, puis de calculer automatiquement les scores (base, temporel, environnemental).

Le CVSS se décompose en trois sous-scores :

• Score de base : évalue la gravité intrinsèque de la vulnérabilité, indépendamment de tout contexte. Il est généralement public.
• Score temporel : ajuste la note en fonction de facteurs comme la disponibilité d’un exploit ou d’un correctif. Il reflète la maturité de la menace.
• Score environnemental : permet aux organisations d’adapter l’évaluation à leur propre contexte (importance de l’actif, exposition, impact métier). Il est personnalisé à chaque entreprise.

En combinant ces trois couches, le modèle CVSS devient un outil plus souple qui permet d’affiner les priorités de traitement selon la réalité du terrain.

Une CVE est simplement une déclaration publique qu’une faille existe dans un produit donné, tandis qu’une vulnérabilité exploitée signifie qu’un attaquant utilise activement cette faille pour compromettre des systèmes. En d’autres termes, toutes les CVE ne sont pas exploitées en conditions réelles : certaines peuvent rester théoriques ou techniques.

À l’inverse, une vulnérabilité peut être exploitée sans avoir encore reçu de CVE - c’est ce qu’on appelle une zero-day. Pour évaluer le danger réel d’une CVE, il faut consulter des informations complémentaires comme les données KEV de la CISA ou le score EPSS, qui indiquent si la faille est activement utilisée dans des cyberattaques. Ces informations sont disponible directement depuis notre site Internet CVEFind.

Les modèles d’attaque CAPEC servent à documenter les tactiques et techniques utilisées par les attaquants pour exploiter des systèmes. En les étudiant, les analystes de sécurité, développeurs et architectes peuvent comprendre les objectifs d’une attaque, ses étapes typiques, et les vulnérabilités exploitées. Cela permet d’anticiper les menaces et de concevoir des contre-mesures plus efficaces.

Ils sont également utiles pour la formation, l’analyse de risques, la simulation d’attaques (red teaming), ou encore la mise en place de contrôles de sécurité défensifs. En reliant les CAPEC aux CWE et aux CVE, on peut établir une chaîne complète allant de la faiblesse à l’exploitation concrète, ce qui enrichit les démarches de threat modeling ou de sécurité by design.

L’échelle CVSS va de 0.0 à 10.0, et chaque plage de valeur est associée à un niveau de gravité :

• 0.0 : Aucune gravité
• 0.1 à 3.9 : Faible (Low)
• 4.0 à 6.9 : Moyenne (Medium)
• 7.0 à 8.9 : Élevée (High)
• 9.0 à 10.0 : Critique (Critical)

Cette classification permet aux organisations de filtrer les vulnérabilités par gravité, mais elle ne tient pas compte du contexte spécifique à chaque entreprise. C’est pourquoi d’autres critères, comme l’exploitation active ou les actifs concernés, doivent compléter cette évaluation.

Les CVE jouent un rôle central dans la gestion des vulnérabilités. Elles fournissent un langage commun à tous les acteurs de la cybersécurité pour suivre et documenter les failles, ce qui permet de prioriser les correctifs, d’automatiser les analyses et de structurer la veille sécuritaire. Sans CVE, chaque éditeur ou chercheur pourrait décrire une faille différemment, rendant la coordination complexe.

Elles sont également utilisées par les outils de scan de vulnérabilités, les SIEM, les SOC et les RSSI pour établir des politiques de réponse aux incidents. Leur adoption mondiale garantit que les failles sont identifiables et que les défenses peuvent être activées plus rapidement et de manière coordonnée.

Oui, un score CVSS peut évoluer au fil du temps, surtout si de nouvelles informations apparaissent. Par exemple, un exploit public, un contournement de correctif ou une preuve d’exploitation active peuvent amener les analystes à réviser le score temporel ou même le vecteur de base si une erreur d’évaluation initiale est détectée.

De plus, des outils automatisés comme ceux de la NVD mettent à jour régulièrement les scores CVSS selon les données de terrain et les publications. Il est donc recommandé aux entreprises de revalider périodiquement leurs analyses, notamment pour les vulnérabilités critiques.

Non, les CVE ne concernent pas uniquement les logiciels. Elles peuvent aussi couvrir des vulnérabilités dans le matériel, les firmwares, les composants IoT, les systèmes d’exploitation, voire certaines configurations par défaut dangereuses. Par exemple, des failles dans les routeurs, processeurs ou équipements industriels peuvent également recevoir des identifiants CVE.

Cette couverture large permet de prendre en compte les différents vecteurs d’attaque dans un système d’information moderne. L’essentiel est que la vulnérabilité soit documentée, confirmée et publiquement signalée pour entrer dans le programme CVE. Ainsi, les équipes de sécurité peuvent évaluer les risques à l’échelle de toute l’infrastructure.

Le score CVSS mesure la gravité intrinsèque d’une vulnérabilité, mais pas son exploitation réelle, ni sa pertinence dans un environnement donné. Par exemple, une faille peut avoir un score élevé, mais être peu exploitable dans votre infrastructure, ou au contraire, une faille moyenne peut cibler un système critique non segmenté.

Pour une évaluation plus précise du risque, il est important d’intégrer des indicateurs complémentaires, comme :

• Le score EPSS (probabilité d’exploitation réelle)
• L’appartenance à la liste KEV (exploitation confirmée)
• Le contexte métier ou technique de l’environnement touché

Ainsi, le CVSS doit être vu comme un indicateur de gravité, et non une mesure complète du risque.

Le processus de publication d’une CVE commence généralement par la soumission d’un rapport de vulnérabilité à un CNA ou directement à MITRE. Si la faille est reconnue comme légitime, un identifiant CVE est réservé. À ce stade, la CVE peut rester "réservée" pendant un certain temps, en attendant la validation technique, l’accord des parties concernées ou la disponibilité d’un correctif.

Une fois toutes les informations vérifiées, la CVE est rendue publique via le site officiel de MITRE (cve.org) et d'autres plateformes comme NVD (National Vulnerability Database) ou CVE Find. Elle comprend une courte description technique de la vulnérabilité, la date de publication, les produits affectés et parfois des références vers des correctifs ou des avis de sécurité.

Une CVE (Common Vulnerabilities and Exposures) est un identifiant unique attribué à une vulnérabilité connue dans un système informatique, un logiciel ou un matériel. Elle permet de nommer et de suivre précisément une faille, même lorsqu’elle est traitée par différents fournisseurs, outils ou bases de données. Chaque CVE suit le format CVE-année-numéro, comme par exemple CVE-2023-12345.

Le but des CVE est d’uniformiser la communication autour des failles de sécurité : au lieu d’utiliser des descriptions variables, tous les acteurs peuvent se référer au même identifiant. Cela facilite la coordination entre les chercheurs, les éditeurs de logiciels, les équipes de sécurité, et les fournisseurs de solutions de sécurité.

Le score CVSS (Common Vulnerability Scoring System) mesure la gravité d’une vulnérabilité en lui attribuant une note de 0 à 10, où 10 représente une faille extrêmement critique. Il est conçu pour fournir une évaluation standardisée et objective des vulnérabilités, afin que les organisations puissent les comparer entre elles et prioriser leurs traitements.

Ce score prend en compte plusieurs aspects : la facilité d’exploitation, les effets potentiels sur la confidentialité, l’intégrité et la disponibilité, ainsi que les conditions nécessaires à l’attaque. En résumé, le CVSS aide à quantifier le niveau de danger inhérent d’une faille de sécurité.

Non, l’existence d’une CVE ne garantit pas qu’un correctif soit disponible. Une CVE peut être publiée avant qu’un éditeur n’ait développé un correctif, ou même dans des cas où aucun correctif n’est prévu (par exemple, pour des logiciels obsolètes ou plus maintenus). Dans ces situations, les utilisateurs doivent mettre en place des mesures de contournement ou désactiver certaines fonctionnalités vulnérables.

Il est donc essentiel de ne pas seulement consulter les CVE, mais aussi de vérifier les recommandations des éditeurs et les bases comme la NVD ou la base KEV, qui peuvent indiquer si un patch existe et dans quels délais il est attendu. Une bonne gestion des risques prend en compte à la fois la gravité de la faille et la disponibilité de solutions.

Les identifiants CVE sont attribués par une organisation américaine à but non lucratif appelée MITRE Corporation, qui gère le programme CVE au nom de l’Agence de cybersécurité et de sécurité des infrastructures (CISA). MITRE ne distribue pas seule tous les identifiants : elle s’appuie sur un réseau de partenaires appelés CNA (CVE Numbering Authorities).

Un CNA peut être un éditeur de logiciel, un fournisseur de sécurité, un CERT ou une organisation spécialisée en vulnérabilités. Chaque CNA est autorisé à attribuer des identifiants CVE pour les vulnérabilités découvertes dans ses propres produits ou dans son périmètre. Ce système permet d’accélérer la déclaration des failles tout en maintenant une structure centralisée via MITRE.

Une CVE (Common Vulnerabilities and Exposures) est une faille de sécurité déjà identifiée, documentée et publiée dans une base de données officielle. Elle est connue du public et, en général, des correctifs sont en cours ou déjà disponibles. En revanche, une zero-day est une faille non encore divulguée, donc non enregistrée dans une CVE au moment de sa découverte.

Autrement dit, toute zero-day peut devenir une CVE, mais toutes les CVE ne sont pas des zero-day. Le risque majeur d’une zero-day est justement qu’elle soit exploitable avant même son signalement, alors qu’une CVE est par définition une vulnérabilité en phase de traitement ou de correction.