FAQ

Le CWE Top 25 est une liste annuelle des 25 faiblesses les plus dangereuses en matière de sécurité logicielle. Elle est établie par MITRE à partir de données publiques issues de la NVD (National Vulnerability Database) et d’autres sources, en analysant la fréquence et l’impact des faiblesses associées à des CVE réelles.

Ce classement est précieux pour les développeurs et les équipes de sécurité, car il met en lumière les erreurs les plus courantes et les plus critiques, comme les injections, les buffer overflows, ou les problèmes d’authentification. En se concentrant sur ces faiblesses prioritaires, les organisations peuvent améliorer rapidement leur posture de sécurité, même avec des ressources limitées.

Les CWE sont intégrées dans de nombreux outils d’analyse de code source, d’audit de sécurité ou de gestion des vulnérabilités, pour identifier automatiquement les faiblesses potentielles dans les logiciels. En comprenant quelles CWE sont présentes dans un système, les équipes peuvent estimer la surface d’attaque, anticiper les menaces futures, et prioriser les corrections avant qu’une faille ne devienne une CVE exploitable.

Elles permettent également d’établir des profils de risque pour des projets ou produits, en fonction de la nature et du nombre de faiblesses identifiées. Cela facilite la prise de décision pour les RSSI, DSI ou responsables de conformité, notamment dans les démarches DevSecOps ou lors d’évaluations selon des cadres comme NIST ou ISO 27002.

La liste des CWE est maintenue par la MITRE Corporation, la même organisation qui gère le programme CVE. MITRE est soutenue par le département américain de la sécurité intérieure (DHS) et d'autres acteurs publics et privés pour développer et actualiser cette base de connaissances.

La communauté joue également un rôle clé : chercheurs, éditeurs, gouvernements et industriels peuvent proposer de nouvelles faiblesses, suggérer des modifications, ou partager des retours d’expérience sur l’utilité des entrées existantes. La base est publique, accessible librement en ligne, et continuellement enrichie pour refléter les évolutions des technologies et des techniques d’attaque.

La classification CWE permet de standardiser la compréhension des faiblesses de sécurité dans les systèmes informatiques. Elle aide les développeurs, les testeurs et les analystes à identifier les erreurs de conception ou de codage courantes, afin de les éviter ou de les corriger plus efficacement. Grâce à cette taxonomie, les outils de sécurité peuvent produire des rapports cohérents et exploitables.

Elle est également très utile pour la formation des équipes techniques, l’évaluation des outils de détection, la priorisation des risques, et la conformité à certaines normes comme ISO/IEC 27001. En intégrant les CWE dans les processus de développement, on peut améliorer significativement la sécurité dès la phase de conception.

Les CWE sont des modèles abstraits de faiblesses, alors que les CVE sont des incidents concrets. Une CVE représente une vulnérabilité identifiée dans un logiciel ou un système précis, tandis qu’une CWE décrit une faiblesse générique présente dans le code ou l’architecture, sans forcément être exploitée.

Prenons un exemple : une CVE pourrait concerner une injection SQL dans une application web, tandis que la CWE correspondante serait CWE-89: Improper Neutralization of Special Elements used in an SQL Command. En résumé, les CWE servent à catégoriser et analyser les failles, alors que les CVE permettent de les suivre et les corriger individuellement.

Une CWE (Common Weakness Enumeration) est une classification standardisée des faiblesses susceptibles de conduire à des vulnérabilités dans des logiciels, firmwares ou systèmes. Contrairement aux CVE, qui désignent des vulnérabilités spécifiques et documentées dans un produit donné, les CWE décrivent des types de défauts de conception ou de programmation pouvant affecter la sécurité d’un système.

Par exemple, une CWE peut décrire une mauvaise gestion de la mémoire, une injection de commande, ou encore une validation insuffisante des entrées. Ces faiblesses peuvent ensuite être détectées dans de multiples logiciels, et associées à des CVE individuelles si elles sont exploitées dans un contexte réel.

Les modèles d’attaque CAPEC servent à documenter les tactiques et techniques utilisées par les attaquants pour exploiter des systèmes. En les étudiant, les analystes de sécurité, développeurs et architectes peuvent comprendre les objectifs d’une attaque, ses étapes typiques, et les vulnérabilités exploitées. Cela permet d’anticiper les menaces et de concevoir des contre-mesures plus efficaces.

Ils sont également utiles pour la formation, l’analyse de risques, la simulation d’attaques (red teaming), ou encore la mise en place de contrôles de sécurité défensifs. En reliant les CAPEC aux CWE et aux CVE, on peut établir une chaîne complète allant de la faiblesse à l’exploitation concrète, ce qui enrichit les démarches de threat modeling ou de sécurité by design.

CAPEC et CWE sont deux bases complémentaires maintenues par MITRE, mais elles n’ont pas le même objectif. CWE décrit des faiblesses techniques dans le code ou la conception (ex. : absence de validation d’entrée), tandis que CAPEC décrit des méthodes d’attaque exploitant ces faiblesses (ex. : injection SQL).

En d'autres termes, CWE se concentre sur la cause, tandis que CAPEC se concentre sur l'action de l'attaquant. Les deux peuvent être reliés : un modèle CAPEC précise souvent quelles CWE il cible, ce qui permet de faire le lien entre la vulnérabilité théorique, l’exploitation pratique, et les CVE associées.