FAQ

Non, l’existence d’une CVE ne garantit pas qu’un correctif soit disponible. Une CVE peut être publiée avant qu’un éditeur n’ait développé un correctif, ou même dans des cas où aucun correctif n’est prévu (par exemple, pour des logiciels obsolètes ou plus maintenus). Dans ces situations, les utilisateurs doivent mettre en place des mesures de contournement ou désactiver certaines fonctionnalités vulnérables.

Il est donc essentiel de ne pas seulement consulter les CVE, mais aussi de vérifier les recommandations des éditeurs et les bases comme la NVD ou la base KEV, qui peuvent indiquer si un patch existe et dans quels délais il est attendu. Une bonne gestion des risques prend en compte à la fois la gravité de la faille et la disponibilité de solutions.

Une CVE est simplement une déclaration publique qu’une faille existe dans un produit donné, tandis qu’une vulnérabilité exploitée signifie qu’un attaquant utilise activement cette faille pour compromettre des systèmes. En d’autres termes, toutes les CVE ne sont pas exploitées en conditions réelles : certaines peuvent rester théoriques ou techniques.

À l’inverse, une vulnérabilité peut être exploitée sans avoir encore reçu de CVE - c’est ce qu’on appelle une zero-day. Pour évaluer le danger réel d’une CVE, il faut consulter des informations complémentaires comme les données KEV de la CISA ou le score EPSS, qui indiquent si la faille est activement utilisée dans des cyberattaques. Ces informations sont disponible directement depuis notre site Internet CVEFind.

La liste KEV (Known Exploited Vulnerabilities) publiée par la CISA recense les vulnérabilités activement exploitées dans la nature, c’est-à-dire déjà utilisées dans des cyberattaques réelles. Cette liste a pour objectif d’aider les organisations à prioriser leurs efforts de correction, en se concentrant sur les failles qui représentent une menace immédiate.

En publiant cette liste, la CISA fournit un outil de gestion des risques très concret : elle signale non seulement les failles connues, mais aussi les plus critiques et les plus urgentes. Pour les agences fédérales américaines, la correction de ces failles est obligatoire dans des délais stricts. Mais au-delà des États-Unis, la KEV est largement consultée par les professionnels de la cybersécurité dans le monde entier pour orienter leur stratégie de patch management.