FAQ

Le processus de publication d’une CVE commence généralement par la soumission d’un rapport de vulnérabilité à un CNA ou directement à MITRE. Si la faille est reconnue comme légitime, un identifiant CVE est réservé. À ce stade, la CVE peut rester "réservée" pendant un certain temps, en attendant la validation technique, l’accord des parties concernées ou la disponibilité d’un correctif.

Une fois toutes les informations vérifiées, la CVE est rendue publique via le site officiel de MITRE (cve.org) et d'autres plateformes comme NVD (National Vulnerability Database) ou CVE Find. Elle comprend une courte description technique de la vulnérabilité, la date de publication, les produits affectés et parfois des références vers des correctifs ou des avis de sécurité.

Les identifiants CVE sont attribués par une organisation américaine à but non lucratif appelée MITRE Corporation, qui gère le programme CVE au nom de l’Agence de cybersécurité et de sécurité des infrastructures (CISA). MITRE ne distribue pas seule tous les identifiants : elle s’appuie sur un réseau de partenaires appelés CNA (CVE Numbering Authorities).

Un CNA peut être un éditeur de logiciel, un fournisseur de sécurité, un CERT ou une organisation spécialisée en vulnérabilités. Chaque CNA est autorisé à attribuer des identifiants CVE pour les vulnérabilités découvertes dans ses propres produits ou dans son périmètre. Ce système permet d’accélérer la déclaration des failles tout en maintenant une structure centralisée via MITRE.

Le CWE Top 25 est une liste annuelle des 25 faiblesses les plus dangereuses en matière de sécurité logicielle. Elle est établie par MITRE à partir de données publiques issues de la NVD (National Vulnerability Database) et d’autres sources, en analysant la fréquence et l’impact des faiblesses associées à des CVE réelles.

Ce classement est précieux pour les développeurs et les équipes de sécurité, car il met en lumière les erreurs les plus courantes et les plus critiques, comme les injections, les buffer overflows, ou les problèmes d’authentification. En se concentrant sur ces faiblesses prioritaires, les organisations peuvent améliorer rapidement leur posture de sécurité, même avec des ressources limitées.

La liste des CWE est maintenue par la MITRE Corporation, la même organisation qui gère le programme CVE. MITRE est soutenue par le département américain de la sécurité intérieure (DHS) et d'autres acteurs publics et privés pour développer et actualiser cette base de connaissances.

La communauté joue également un rôle clé : chercheurs, éditeurs, gouvernements et industriels peuvent proposer de nouvelles faiblesses, suggérer des modifications, ou partager des retours d’expérience sur l’utilité des entrées existantes. La base est publique, accessible librement en ligne, et continuellement enrichie pour refléter les évolutions des technologies et des techniques d’attaque.

CAPEC signifie Common Attack Pattern Enumeration and Classification. C’est une base de connaissances structurée développée par MITRE qui répertorie et décrit les modèles d’attaques connus utilisés contre les systèmes informatiques. Contrairement à des incidents ponctuels, les CAPEC décrivent des stratégies réutilisables par les attaquants pour exploiter des failles.

Chaque modèle CAPEC est une représentation abstraite d’un comportement malveillant : il explique comment une attaque est menée, quel type de faiblesse elle vise, et dans quel objectif. L’objectif de CAPEC est d’aider les professionnels de la sécurité à mieux comprendre, détecter et anticiper les tactiques utilisées par les attaquants.

CAPEC et CWE sont deux bases complémentaires maintenues par MITRE, mais elles n’ont pas le même objectif. CWE décrit des faiblesses techniques dans le code ou la conception (ex. : absence de validation d’entrée), tandis que CAPEC décrit des méthodes d’attaque exploitant ces faiblesses (ex. : injection SQL).

En d'autres termes, CWE se concentre sur la cause, tandis que CAPEC se concentre sur l'action de l'attaquant. Les deux peuvent être reliés : un modèle CAPEC précise souvent quelles CWE il cible, ce qui permet de faire le lien entre la vulnérabilité théorique, l’exploitation pratique, et les CVE associées.

La source officielle de la base CAPEC est le site web de MITRE. Ce portail permet d’explorer tous les modèles classés par type d’attaque, par complexité, par cible, ou encore par niveau de sophistication. Chaque fiche est accompagnée de définitions précises, d’exemples, et de liens vers d’autres ressources utiles (CWE, ATT&CK, etc.).