Date de publication : 22 juillet 2024
Contributeurs : Tasmiha Khan, Michael Goodwin
Le terme Common Vulnerabilities and Exposures (CVE) fait généralement référence à la liste CVE, un catalogue public de failles de sécurité informatique établi et géré par la MITRE Corporation.
Le catalogue CVE ressemble davantage à un dictionnaire qu’à une base de données CVE. Il fournit un nom et une description pour chaque vulnérabilité ou exposition. Ce faisant, il permet la communication entre des outils et des bases de données disparates et contribue à améliorer l’interopérabilité et la couverture de sécurité. Le CVE est gratuit ou peut être téléchargé et utilisé publiquement. La liste CVE alimente la base de données des vulnérabilités (NVD) des États-Unis.
CVE, l’organisation, désigne « un effort communautaire international qui tient à jour un registre de données ouvertes piloté par la communauté sur les vulnérabilités de cybersécurité connues du public sous le nom de liste CVE ».1
L’un des principaux défis en matière de cybersécurité est d’identifier et d’atténuer les vulnérabilités que les pirates peuvent exploiter pour compromettre les applications, les systèmes et les données. Le CVE contribue à relever ce défi en fournissant un cadre normalisé pour le catalogage et le suivi des vulnérabilités en matière de cybersécurité, que les entreprises peuvent utiliser pour améliorer leurs processus de gestion des vulnérabilités.
Le système CVE utilise des identifiants uniques, appelés identifiants CVE (parfois appelés numéros CVE), pour étiqueter chaque vulnérabilité signalée. Cela facilite la communication, la collaboration et la gestion efficaces des failles de sécurité.
La MITRE Corporation a créé le CVE en 1999 en tant que catalogue de référence pour la catégorisation des vulnérabilités de sécurité dans les logiciels et les micrologiciels. Le système CVE aide les organisations à discuter et à partager des informations concernant les vulnérabilités de cybersécurité, à évaluer la gravité des vulnérabilités et à rendre les systèmes informatiques plus sûrs.
Le comité de rédaction du CVE supervise le programme CVE. Le conseil d’administration comprend des membres d’organisations liées à la cybersécurité, des membres d’universités, d’instituts de recherche, d’agences gouvernementales et d’autres experts éminents de la sécurité. Il approuve entre autres les sources de données, la couverture des produits, les objectifs de couverture pour les entrées de liste CVE et gère l’attribution continue de nouvelles entrées.2
L’US-CERT, au sein du bureau de la cybersécurité et des communications du département américain de la Sécurité intérieure (DHS), parraine le programme CVE.3
IBM Concert donne aux propriétaires d’applications et aux équipes SRE les moyens de hiérarchiser, d’atténuer et de suivre de manière proactive les vulnérabilités des applications afin de garantir la résilience des opérations.
IBM X-Force Threat Intelligence Index 2024
Le programme CVE définit la vulnérabilité comme « une faiblesse dans la logique computationnelle trouvée dans les composants logiciels et matériels qui, lorsqu’elle est exploitée, entraîne un impact négatif sur la confidentialité, l’intégrité ou la disponibilité ». La vulnérabilité fait donc référence à une faille, telle qu’une erreur de codage, qui peut être utilisée par des attaquants pour accéder sans autorisation à des réseaux et à des systèmes, installer des logiciels malveillants, exécuter du code et voler ou détruire des données sensibles. Une exposition permet cet accès.
Prenons l’exemple d’une maison : une vulnérabilité est une fenêtre dont la serrure est facile à déverrouiller. Une exposition est une fenêtre qu’une personne a oublié de verrouiller.
Pour être qualifiées de CVE et se voir attribuer un identifiant CVE (ID CVE), les failles de sécurité doivent répondre à certains critères :
Les autorités de numérotation CVE (CNA) attribuent des identifiants CVE et publient les dossiers CVE dans des domaines de couverture spécifiques. La MITRE Corporation fait office d’éditeur et de CNA principale. Les autres CNA incluent les principaux fournisseurs de systèmes d’exploitation (OS) et informatiques (dont IBM, Microsoft et Oracle), des chercheurs en sécurité et d’autres entités autorisées. Les CNA fonctionnent sur une base volontaire. Les CNA comptent actuellement 389 membres originaires de 40 pays différents.4
Les racines sont des organisations autorisées à recruter, former et gouverner des CNA ou d’autres racines dans un champ d’application spécifié.
Les racines de haut niveau sont les racines de plus haut niveau et sont responsables de « la gouvernance et l’administration d’une hiérarchie spécifiée, y compris les racines et les CNA au sein de cette hiérarchie ».5 Le programme CVE a actuellement deux racines de haut niveau : la MITRE Corporation et la Cybersecurity and Infrastructure Security Agency (CISA).
Vous trouverez de plus amples informations sur la structure de l’organisation CVE ici (lien externe à ibm.com).
Tout le monde peut envoyer un rapport CVE. Les vulnérabilités sont souvent découvertes par des chercheurs en cybersécurité, des professionnels de la sécurité, des éditeurs de logiciels, des membres de la communauté open source et des utilisateurs de produits par différents moyens, tels que des recherches indépendantes, des évaluations de sécurité, des analyses de vulnérabilité, des activités de réponse aux incidents ou simplement en utilisant un produit. De nombreuses entreprises proposent une prime aux bogues, une récompense pour avoir découvert et signalé de manière responsable des vulnérabilités détectées dans les logiciels.
Une fois qu’une nouvelle vulnérabilité est identifiée et signalée, elle est envoyée à une CNA pour évaluation. Un nouveau CVE est ensuite réservé pour la vulnérabilité. Il s’agit de l’état initial d’un enregistrement CVE.
Après avoir examiné la vulnérabilité en question, la CNA envoie des informations détaillées, notamment les produits concernés, les versions mises à jour ou corrigées des produits, le type de vulnérabilité, sa cause profonde et son impact, ainsi qu’au moins une référence publique. Une fois ces éléments de données ajoutés à l’enregistrement CVE, la CNA publie l’enregistrement dans la liste CVE, ce qui le rend accessible au public.
L’entrée CVE est ensuite intégrée à la liste CVE officielle, où elle est accessible aux professionnels de la cybersécurité, aux chercheurs, aux fournisseurs et aux utilisateurs du monde entier. Les organisations peuvent utiliser les identifiants CVE pour suivre et hiérarchiser les vulnérabilités au sein de leurs environnements, évaluer leur exposition à des menaces spécifiques et mettre en œuvre des mesures d’atténuation des risques appropriées.
Les entrées CVE incluent un identifiant CVE, une brève description de la vulnérabilité de sécurité et des références, y compris des rapports de vulnérabilité et des recommandations. Les identifiants CVE contiennent trois parties :
L’identifiant complet ressemble à ceci : CVE-2024-12345. Cet identifiant normalisé contribue à assurer la cohérence et l’interopérabilité entre les différentes plateformes et référentiels, permettant ainsi aux parties prenantes de référencer et de partager des informations sur des vulnérabilités spécifiques en utilisant un « langage commun ».
Les enregistrements CVE sont associés à l’un des trois états suivants :
Les organisations peuvent notamment évaluer la gravité des vulnérabilités en utilisant le système commun d’évaluation des vulnérabilités (Common Vulnerability Scoring System - CVSS). Le CVSS, géré par le Forum of Incident Response and Security Teams (FIRST), est une méthode normalisée utilisée par la National Vulnerability Database (NVD), les Cybersecurity Emergency Response Teams (CERT) et d’autres organismes pour évaluer la gravité et l’impact des vulnérabilités signalées. Il est distinct du système CVE, mais est utilisé en parallèle : les formats d’enregistrement CVE permettent aux CNA d’ajouter un score CVSS aux enregistrements CVE lorsqu’elles publient des enregistrements dans la liste CVE.6
Le CVSS attribue un score numérique aux vulnérabilités, allant de 0,0 à 10, en fonction du niveau d’exploitation, de la portée de l’impact et d’autres indicateurs. Plus le score est élevé, plus le problème est grave. Ce score permet aux organisations d’évaluer l’urgence de corriger une vulnérabilité particulière et d’allouer des ressources en conséquence. Il n’est pas rare que les organisations utilisent également leur propre système de notation des vulnérabilités.
Les scores CVSS sont calculés sur la base de scores provenant de trois groupes d’indicateurs (de base, temporels et environnementaux) qui intègrent différentes caractéristiques d’une vulnérabilité.
Les entreprises s’appuient principalement sur les scores d’indicateurs de base, et les classements publics de gravité, tels que ceux fournis dans la base de données des vulnérabilités du National Institute of Standards and Technology (NIST), utilisent exclusivement le score d’indicateur de base. Ce score d’indicateurs de base ne tient pas compte des caractéristiques de vulnérabilité qui changent au fil du temps (indicateurs temporels), des facteurs réels tels que l’environnement des utilisateurs ou les mesures qu’une entreprise a prises pour empêcher l’exploitation d’un bug.
Les indicateurs de base sont ensuite répartis entre les indicateurs d’exploitabilité et les indicateurs d’impact :
Les indicateurs temporels mesurent une vulnérabilité dans son état actuel et sont utilisés pour refléter la gravité d’un impact au fur et à mesure qu’il évolue dans le temps. Ils intègrent également toutes les résolutions telles que les correctifs disponibles. La maturité du code d’exploitation, le niveau de résolution et la confiance dans le rapport sont autant de composantes du score de l’indicateur temporel.
Les indicateurs environnementaux permettent à une organisation d’ajuster son score de base en fonction de ses propres exigences en matière d’environnement et de sécurité. Ce score permet de replacer une vulnérabilité dans son contexte en ce qui concerne l’organisation et inclut un score d’exigence de confidentialité, un score d’intégrité et un score d’exigence de disponibilité. Ces indicateurs sont calculés en même temps que des indicateurs de base modifiés qui mesurent l’environnement spécifique (tels que la modification du vecteur d’attaque et de la complexité de l’attaque) pour atteindre un score de paramètres environnementaux.
Le programme CVE représente une approche collaborative et systématique pour identifier, cataloguer et traiter les vulnérabilités et les expositions en matière de cybersécurité. En proposant un système normalisé d’identification et de référencement des vulnérabilités, le CVE aide les organisations à améliorer la gestion des vulnérabilités de plusieurs manières :
Le CVE permet aux organisations de discuter et de partager les informations relatives à une vulnérabilité à l’aide d’un identifiant commun. Par exemple, les avis de sécurité publient souvent des listes de CVE, ainsi que des scores CVSS, que les entreprises utilisent pour éclairer leurs stratégies de gestion des risques et leurs cycles de planification des correctifs.
Le CVE aide les organisations à gérer efficacement les risques de sécurité, à améliorer la visibilité des menaces et les renseignements sur les menaces et à renforcer leur position globale en matière de cybersécurité dans un environnement de menaces de plus en plus complexe et dynamique.
Les identifiants CVE facilitent la corrélation des données et permettent aux équipes informatiques de rechercher dans plusieurs sources des informations sur une vulnérabilité donnée.
La liste CVE permet de déterminer les outils de sécurité les mieux adaptés aux besoins de l’entreprise, et de créer des stratégies de gestion des risques qui tiennent compte des vulnérabilités connues et de l’impact potentiel de ces problèmes de sécurité sur les systèmes et les données de l’entreprise. Grâce à ces informations, les organisations peuvent mieux déterminer comment certains produits correspondent à leur posture de sécurité et prendre des mesures pour minimiser leur exposition aux cyberattaques et aux violations de données.
Le CVE est un catalogue de vulnérabilités connues en matière de cybersécurité, où un identifiant CVE est spécifique à une faille logicielle. L’énumération des faiblesses courantes (CWE) est un projet communautaire informatique qui répertorie différents types, ou catégories, de faiblesses matérielles et logicielles, telles que les erreurs de mémoire tampon, les erreurs d’authentification ou les problèmes de processeur. Ces faiblesses peuvent conduire à une vulnérabilité.
IBM Concert donne aux propriétaires d’applications et aux équipes SRE les moyens de hiérarchiser, d’atténuer et de suivre de manière proactive les vulnérabilités des applications afin de garantir la résilience des opérations.
IBM Security collabore avec vous pour protéger votre entreprise grâce à un portefeuille avancé et intégré de solutions et de services de cybersécurité d’entreprise intégrés à l’IA. Notre approche moderne de la stratégie de sécurité repose sur les principes Zero Trust pour vous aider à prospérer face à l’incertitude et aux cybermenaces.
Développez, déployez et itérez vos applications en toute sécurité : transformez le DevOps en DevSecOps (personnel, processus et outils).
L’IBM X-Force Threat Intelligence Index 2024 fournit des informations de recherche essentielles et des recommandations pour vous aider à vous préparer à répondre aux attaques avec plus de rapidité et d’efficacité.
Une API, ou interface de programmation d’application, est un ensemble de règles ou de protocoles qui permettent aux applications logicielles de communiquer entre elles pour échanger des données, des caractéristiques et des fonctionnalités.
L'automatisation est l'application de la technologie, des programmes, de la robotique ou des processus pour obtenir des résultats avec un minimum d'intervention humaine.
Le développement logiciel fait référence à un ensemble d’activités informatiques dédiées au processus de création, de conception, de déploiement et de support de logiciels.
Les tests dynamiques de sécurité des applications (DAST) sont une méthode de test de cybersécurité utilisée pour identifier les vulnérabilités et les erreurs de configuration dans les applications Web, les API et, plus récemment, les applications mobiles.
Le cycle de vie de la gestion des vulnérabilités est un processus continu permettant de découvrir, de hiérarchiser et de corriger les vulnérabilités des actifs informatiques d’une entreprise.
1, 2, 3 « Common Vulnerabilities and Exposures—The Standard for Information Security Vulnerability Names », cve.mitre.org. Février 2016
4,6 cve.mitre.org, 2024
5 Glossaire CVE, cve.org, 2024
7 Common Vulnerability Scoring System Version 3.1 Calculateur, FIRST.org, 2024