Le catalogue CVE ressemble davantage à un dictionnaire qu’à une base de données CVE. Il fournit un nom et une description pour chaque vulnérabilité ou exposition. Ce faisant, il permet la communication entre des outils et des bases de données disparates et contribue à améliorer l’interopérabilité et la couverture de sécurité. Le CVE est gratuit ou peut être téléchargé et utilisé publiquement. La liste CVE alimente la base de données des vulnérabilités (NVD) des États-Unis.
CVE, l’organisation, désigne « un effort communautaire international qui tient à jour un registre de données ouvertes piloté par la communauté sur les vulnérabilités de cybersécurité connues du public sous le nom de liste CVE ».1
L’un des principaux défis en matière de cybersécurité est d’identifier et d’atténuer les vulnérabilités que les pirates peuvent exploiter pour compromettre les applications, les systèmes et les données. Le CVE contribue à relever ce défi en fournissant un cadre normalisé pour le catalogage et le suivi des vulnérabilités en matière de cybersécurité, que les entreprises peuvent utiliser pour améliorer leurs processus de gestion des vulnérabilités.
Le système CVE utilise des identifiants uniques, appelés identifiants CVE (parfois appelés numéros CVE), pour étiqueter chaque vulnérabilité signalée. Cela facilite la communication, la collaboration et la gestion efficaces des failles de sécurité.
La MITRE Corporation a créé le CVE en 1999 en tant que catalogue de référence pour la catégorisation des vulnérabilités de sécurité dans les logiciels et les micrologiciels. Le système CVE aide les organisations à discuter et à partager des informations concernant les vulnérabilités de cybersécurité, à évaluer la gravité des vulnérabilités et à rendre les systèmes informatiques plus sûrs.
Le comité de rédaction du CVE supervise le programme CVE. Le conseil d’administration comprend des membres d’organisations liées à la cybersécurité, des membres d’universités, d’instituts de recherche, d’agences gouvernementales et d’autres experts éminents de la sécurité. Il approuve entre autres les sources de données, la couverture des produits, les objectifs de couverture pour les entrées de liste CVE et gère l’attribution continue de nouvelles entrées.2
L’US-CERT, au sein du bureau de la cybersécurité et des communications du département américain de la Sécurité intérieure (DHS), parraine le programme CVE.3