Qu’est-ce que le CVE (Common Vulnerabilities and Exposures) ?

Date de publication : 22 juillet 2024
Contributeurs : Tasmiha Khan, Michael Goodwin

Que sont les Common Vulnerabilities and Exposures (CVE) ?

Le terme Common Vulnerabilities and Exposures (CVE) fait généralement référence à la liste CVE, un catalogue public de failles de sécurité informatique établi et géré par la MITRE Corporation.

Le catalogue CVE ressemble davantage à un dictionnaire qu’à une base de données CVE. Il fournit un nom et une description pour chaque vulnérabilité ou exposition. Ce faisant, il permet la communication entre des outils et des bases de données disparates et contribue à améliorer l’interopérabilité et la couverture de sécurité. Le CVE est gratuit ou peut être téléchargé et utilisé publiquement. La liste CVE alimente la base de données des vulnérabilités (NVD) des États-Unis.

CVE, l’organisation, désigne « un effort communautaire international qui tient à jour un registre de données ouvertes piloté par la communauté sur les vulnérabilités de cybersécurité connues du public sous le nom de liste CVE ».¹

L’un des principaux défis en matière de cybersécurité est d’identifier et d’atténuer les vulnérabilités que les pirates peuvent exploiter pour compromettre les applications, les systèmes et les données. Le CVE contribue à relever ce défi en fournissant un cadre normalisé pour le catalogage et le suivi des vulnérabilités en matière de cybersécurité, que les entreprises peuvent utiliser pour améliorer leurs processus de gestion des vulnérabilités.

Le système CVE utilise des identifiants uniques, appelés identifiants CVE (parfois appelés numéros CVE), pour étiqueter chaque vulnérabilité signalée. Cela facilite la communication, la collaboration et la gestion efficaces des failles de sécurité.

La MITRE Corporation a créé le CVE en 1999 en tant que catalogue de référence pour la catégorisation des vulnérabilités de sécurité dans les logiciels et les micrologiciels. Le système CVE aide les organisations à discuter et à partager des informations concernant les vulnérabilités de cybersécurité, à évaluer la gravité des vulnérabilités et à rendre les systèmes informatiques plus sûrs.

Le comité de rédaction du CVE supervise le programme CVE. Le conseil d’administration comprend des membres d’organisations liées à la cybersécurité, des membres d’universités, d’instituts de recherche, d’agences gouvernementales et d’autres experts éminents de la sécurité. Il approuve entre autres les sources de données, la couverture des produits, les objectifs de couverture pour les entrées de liste CVE et gère l’attribution continue de nouvelles entrées.²

L’US-CERT, au sein du bureau de la cybersécurité et des communications du département américain de la Sécurité intérieure (DHS), parraine le programme CVE.³

Démonstration IBM Concert

IBM Concert donne aux propriétaires d’applications et aux équipes SRE les moyens de hiérarchiser, d’atténuer et de suivre de manière proactive les vulnérabilités des applications afin de garantir la résilience des opérations.

Contenu connexe

IBM X-Force Threat Intelligence Index 2024

Vulnérabilités et expositions

Le programme CVE définit la vulnérabilité comme « une faiblesse dans la logique computationnelle trouvée dans les composants logiciels et matériels qui, lorsqu’elle est exploitée, entraîne un impact négatif sur la confidentialité, l’intégrité ou la disponibilité ». La vulnérabilité fait donc référence à une faille, telle qu’une erreur de codage, qui peut être utilisée par des attaquants pour accéder sans autorisation à des réseaux et à des systèmes, installer des logiciels malveillants, exécuter du code et voler ou détruire des données sensibles. Une exposition permet cet accès.

Prenons l’exemple d’une maison : une vulnérabilité est une fenêtre dont la serrure est facile à déverrouiller. Une exposition est une fenêtre qu’une personne a oublié de verrouiller.

Qu’est-ce qu’un CVE ?

Pour être qualifiées de CVE et se voir attribuer un identifiant CVE (ID CVE), les failles de sécurité doivent répondre à certains critères :

Corrigible indépendamment des autres failles : la faille doit pouvoir être corrigée séparément des autres vulnérabilités.
Reconnu par le fournisseur ou documenté dans un rapport de vulnérabilité : le fournisseur doit reconnaître l’existence du bug et avoir un impact négatif sur la sécurité. Il doit également s’agir d’un rapport de vulnérabilité démontrant l’impact négatif du bug sur la sécurité et sa violation de la politique de sécurité du système affecté.
Affectant une base de code : le bug ne doit affecter qu’une seule base de code (un seul produit). Les défauts qui concernent plus d’un produit se voient attribuer des CVE distincts pour chaque produit.

Comment les identifiants CVE sont-ils attribués : CNA et racines

Les autorités de numérotation CVE (CNA) attribuent des identifiants CVE et publient les dossiers CVE dans des domaines de couverture spécifiques. La MITRE Corporation fait office d’éditeur et de CNA principale. Les autres CNA incluent les principaux fournisseurs de systèmes d’exploitation (OS) et informatiques (dont IBM, Microsoft et Oracle), des chercheurs en sécurité et d’autres entités autorisées. Les CNA fonctionnent sur une base volontaire. Les CNA comptent actuellement 389 membres originaires de 40 pays différents.⁴

Racines et racines de haut niveau

Les racines sont des organisations autorisées à recruter, former et gouverner des CNA ou d’autres racines dans un champ d’application spécifié.

Les racines de haut niveau sont les racines de plus haut niveau et sont responsables de « la gouvernance et l’administration d’une hiérarchie spécifiée, y compris les racines et les CNA au sein de cette hiérarchie ».⁵Le programme CVE a actuellement deux racines de haut niveau : la MITRE Corporation et la Cybersecurity and Infrastructure Security Agency (CISA).

Vous trouverez de plus amples informations sur la structure de l’organisation CVE ici (lien externe à ibm.com).

Cycle de vie des enregistrements CVE

Tout le monde peut envoyer un rapport CVE. Les vulnérabilités sont souvent découvertes par des chercheurs en cybersécurité, des professionnels de la sécurité, des éditeurs de logiciels, des membres de la communauté open source et des utilisateurs de produits par différents moyens, tels que des recherches indépendantes, des évaluations de sécurité, des analyses de vulnérabilité, des activités de réponse aux incidents ou simplement en utilisant un produit. De nombreuses entreprises proposent une prime aux bogues, une récompense pour avoir découvert et signalé de manière responsable des vulnérabilités détectées dans les logiciels.

Une fois qu’une nouvelle vulnérabilité est identifiée et signalée, elle est envoyée à une CNA pour évaluation. Un nouveau CVE est ensuite réservé pour la vulnérabilité. Il s’agit de l’état initial d’un enregistrement CVE.

Après avoir examiné la vulnérabilité en question, la CNA envoie des informations détaillées, notamment les produits concernés, les versions mises à jour ou corrigées des produits, le type de vulnérabilité, sa cause profonde et son impact, ainsi qu’au moins une référence publique. Une fois ces éléments de données ajoutés à l’enregistrement CVE, la CNA publie l’enregistrement dans la liste CVE, ce qui le rend accessible au public.

L’entrée CVE est ensuite intégrée à la liste CVE officielle, où elle est accessible aux professionnels de la cybersécurité, aux chercheurs, aux fournisseurs et aux utilisateurs du monde entier. Les organisations peuvent utiliser les identifiants CVE pour suivre et hiérarchiser les vulnérabilités au sein de leurs environnements, évaluer leur exposition à des menaces spécifiques et mettre en œuvre des mesures d’atténuation des risques appropriées.

Identifiants CVE (ID CVE) et enregistrements CVE

Les entrées CVE incluent un identifiant CVE, une brève description de la vulnérabilité de sécurité et des références, y compris des rapports de vulnérabilité et des recommandations. Les identifiants CVE contiennent trois parties :

L’identifiant CVE commence par le préfixe « CVE »
La deuxième section correspond à l’année de l’attribution
La dernière section de l’identifiant CVE est un identifiant séquentiel

L’identifiant complet ressemble à ceci : CVE-2024-12345. Cet identifiant normalisé contribue à assurer la cohérence et l’interopérabilité entre les différentes plateformes et référentiels, permettant ainsi aux parties prenantes de référencer et de partager des informations sur des vulnérabilités spécifiques en utilisant un « langage commun ».

Les enregistrements CVE sont associés à l’un des trois états suivants :

Réservé : il s’agit de l’état initial, attribué à un CVE avant qu’il ne soit divulgué publiquement (lorsqu’une CNA examine la vulnérabilité).
Publié : c’est à ce moment-là qu’une CNA a collecté et saisi les données associées à l’identifiant CVE et publié l’enregistrement.
Rejeté : à ce stade, l’identifiant et le dossier CVE ne doivent pas être utilisés. Cependant, l’enregistrement refusé reste sur la liste CVE pour informer les utilisateurs que son identifiant et son enregistrement ne sont pas valides.

Qu’est-ce que le Common Vulnerability Scoring System (CVSS) ?

Les organisations peuvent notamment évaluer la gravité des vulnérabilités en utilisant le système commun d’évaluation des vulnérabilités (Common Vulnerability Scoring System - CVSS). Le CVSS, géré par le Forum of Incident Response and Security Teams (FIRST), est une méthode normalisée utilisée par la National Vulnerability Database (NVD), les Cybersecurity Emergency Response Teams (CERT) et d’autres organismes pour évaluer la gravité et l’impact des vulnérabilités signalées. Il est distinct du système CVE, mais est utilisé en parallèle : les formats d’enregistrement CVE permettent aux CNA d’ajouter un score CVSS aux enregistrements CVE lorsqu’elles publient des enregistrements dans la liste CVE.⁶

Le CVSS attribue un score numérique aux vulnérabilités, allant de 0,0 à 10, en fonction du niveau d’exploitation, de la portée de l’impact et d’autres indicateurs. Plus le score est élevé, plus le problème est grave. Ce score permet aux organisations d’évaluer l’urgence de corriger une vulnérabilité particulière et d’allouer des ressources en conséquence. Il n’est pas rare que les organisations utilisent également leur propre système de notation des vulnérabilités.

Les scores CVSS sont calculés sur la base de scores provenant de trois groupes d’indicateurs (de base, temporels et environnementaux) qui intègrent différentes caractéristiques d’une vulnérabilité.

Indicateurs de base

Les entreprises s’appuient principalement sur les scores d’indicateurs de base, et les classements publics de gravité, tels que ceux fournis dans la base de données des vulnérabilités du National Institute of Standards and Technology (NIST), utilisent exclusivement le score d’indicateur de base. Ce score d’indicateurs de base ne tient pas compte des caractéristiques de vulnérabilité qui changent au fil du temps (indicateurs temporels), des facteurs réels tels que l’environnement des utilisateurs ou les mesures qu’une entreprise a prises pour empêcher l’exploitation d’un bug.

Les indicateurs de base sont ensuite répartis entre les indicateurs d’exploitabilité et les indicateurs d’impact :

Les indicateurs d’exploitabilité comprennent des facteurs tels que le vecteur d’attaque, la complexité de l’attaque et les privilèges requis.
Les indicateurs d’impact comprennent l’impact sur la confidentialité, l’intégrité et la disponibilité.⁷

Indicateurs temporels

Les indicateurs temporels mesurent une vulnérabilité dans son état actuel et sont utilisés pour refléter la gravité d’un impact au fur et à mesure qu’il évolue dans le temps. Ils intègrent également toutes les résolutions telles que les correctifs disponibles. La maturité du code d’exploitation, le niveau de résolution et la confiance dans le rapport sont autant de composantes du score de l’indicateur temporel.

Indicateurs environnementaux

Les indicateurs environnementaux permettent à une organisation d’ajuster son score de base en fonction de ses propres exigences en matière d’environnement et de sécurité. Ce score permet de replacer une vulnérabilité dans son contexte en ce qui concerne l’organisation et inclut un score d’exigence de confidentialité, un score d’intégrité et un score d’exigence de disponibilité. Ces indicateurs sont calculés en même temps que des indicateurs de base modifiés qui mesurent l’environnement spécifique (tels que la modification du vecteur d’attaque et de la complexité de l’attaque) pour atteindre un score de paramètres environnementaux.

Impact du CVE sur la gestion des vulnérabilités

Le programme CVE représente une approche collaborative et systématique pour identifier, cataloguer et traiter les vulnérabilités et les expositions en matière de cybersécurité. En proposant un système normalisé d’identification et de référencement des vulnérabilités, le CVE aide les organisations à améliorer la gestion des vulnérabilités de plusieurs manières :

Partage d’informations

Le CVE permet aux organisations de discuter et de partager les informations relatives à une vulnérabilité à l’aide d’un identifiant commun. Par exemple, les avis de sécurité publient souvent des listes de CVE, ainsi que des scores CVSS, que les entreprises utilisent pour éclairer leurs stratégies de gestion des risques et leurs cycles de planification des correctifs.

Renforcer la posture de cybersécurité

Le CVE aide les organisations à gérer efficacement les risques de sécurité, à améliorer la visibilité des menaces et les renseignements sur les menaces et à renforcer leur position globale en matière de cybersécurité dans un environnement de menaces de plus en plus complexe et dynamique.

Meilleure corrélation des données

Les identifiants CVE facilitent la corrélation des données et permettent aux équipes informatiques de rechercher dans plusieurs sources des informations sur une vulnérabilité donnée.

Sélectionner des outils et des stratégies

La liste CVE permet de déterminer les outils de sécurité les mieux adaptés aux besoins de l’entreprise, et de créer des stratégies de gestion des risques qui tiennent compte des vulnérabilités connues et de l’impact potentiel de ces problèmes de sécurité sur les systèmes et les données de l’entreprise. Grâce à ces informations, les organisations peuvent mieux déterminer comment certains produits correspondent à leur posture de sécurité et prendre des mesures pour minimiser leur exposition aux cyberattaques et aux violations de données.

CVE et CWE

Le CVE est un catalogue de vulnérabilités connues en matière de cybersécurité, où un identifiant CVE est spécifique à une faille logicielle. L’énumération des faiblesses courantes (CWE) est un projet communautaire informatique qui répertorie différents types, ou catégories, de faiblesses matérielles et logicielles, telles que les erreurs de mémoire tampon, les erreurs d’authentification ou les problèmes de processeur. Ces faiblesses peuvent conduire à une vulnérabilité.

Solutions connexes

Gestion des risques liés à l’application IBM Concert

Découvrir la gestion des risques liés à l’application IBM Concert

Réserver une démo en direct

Le logiciel IBM Security

IBM Security collabore avec vous pour protéger votre entreprise grâce à un portefeuille avancé et intégré de solutions et de services de cybersécurité d’entreprise intégrés à l’IA. Notre approche moderne de la stratégie de sécurité repose sur les principes Zero Trust pour vous aider à prospérer face à l’incertitude et aux cybermenaces.

Découvrir IBM Security

Découvrir IBM X-Force Threat Intelligence Index 2024

Services de sécurité des applications IBM

Développez, déployez et itérez vos applications en toute sécurité : transformez le DevOps en DevSecOps (personnel, processus et outils).

Découvrir les services de sécurité des applications IBM

Ressources

IBM X-Force Threat Intelligence Index 2024

L’IBM X-Force Threat Intelligence Index 2024 fournit des informations de recherche essentielles et des recommandations pour vous aider à vous préparer à répondre aux attaques avec plus de rapidité et d’efficacité.

Qu’est-ce qu’une API ?

Une API, ou interface de programmation d’application, est un ensemble de règles ou de protocoles qui permettent aux applications logicielles de communiquer entre elles pour échanger des données, des caractéristiques et des fonctionnalités.

Qu’est-ce que l’automatisation ?

L’automatisation est l’application de la technologie, des programmes, de la robotique ou des processus pour obtenir des résultats avec un minimum d’intervention humaine.

Qu’est-ce que le développement de logiciels ?

Le développement logiciel fait référence à un ensemble d’activités informatiques dédiées au processus de création, de conception, de déploiement et de support de logiciels.

Qu'est-ce que les tests dynamiques de sécurité des applications (DAST) ?

Les tests dynamiques de sécurité des applications (DAST) sont une méthode de test de cybersécurité utilisée pour identifier les vulnérabilités et les erreurs de configuration dans les applications Web, les API et, plus récemment, les applications mobiles.

Qu’est-ce que le cycle de vie de la gestion des vulnérabilités ?

Le cycle de vie de la gestion des vulnérabilités est un processus continu permettant de découvrir, de hiérarchiser et de corriger les vulnérabilités des actifs informatiques d’une entreprise.

Passer à l’étape suivante

Simplifiez et optimisez la gestion de vos applications et vos opérations technologiques avec IBM Concert, profitez d’informations pilotées par l’IA pour vous consacrer à l’amélioration des expériences client, de la productivité des développeurs et des équipes d’ingénierie de fiabilité des sites.

Découvrir IBM Concert

Abonnez-vous à la Think Newsletter

Que sont les CVE (Common Vulnerabilities and Exposures) ?