1. Qu’est-ce que les CVE ?
Les CVE (Common Vulnerabilities and Exposures, ou Vulnérabilités et Expositions Communes) forment un système international de catalogage des failles de sécurité informatique. Créé en 1999 par la MITRE Corporation, une organisation à but non lucratif soutenue par le Département de la Sécurité intérieure des États-Unis, ce dictionnaire public attribue un identifiant unique à chaque vulnérabilité découverte, sous la forme CVE-AAAA-NNNN (où AAAA est l’année et NNNN un numéro unique). Par exemple, la célèbre faille Log4Shell est identifiée par CVE-2021-44228.
Chaque entrée CVE fournit une description concise de la vulnérabilité, les logiciels ou systèmes affectés, et des liens vers des ressources pour mieux comprendre ou corriger le problème. Ce système est alimenté par des chercheurs en cybersécurité, des éditeurs de logiciels et des autorités comme les CVE Numbering Authorities (CNA), qui valident et publient les failles. Les bases de données comme la National Vulnerability Database (NVD) s’appuient sur les CVE pour offrir des analyses détaillées, notamment des scores de gravité via le CVSS (Common Vulnerability Scoring System), qui évalue la criticité des failles de 0 à 10.
2. L’utilité des CVE en entreprise
Pour les entreprises, les CVE sont un outil stratégique dans la gestion des risques numériques. Voici pourquoi :
- Identification rapide des menaces : Les CVE permettent aux équipes informatiques de repérer les failles affectant leurs logiciels ou matériels. Par exemple, si une entreprise utilise un logiciel comme Apache Log4j, elle peut vérifier si une vulnérabilité comme CVE-2021-44228 la concerne et agir en conséquence.
- Priorisation des correctifs : Grâce aux scores CVSS, les entreprises peuvent classer les vulnérabilités par ordre de gravité. Une faille avec un score de 9.8, comme Log4Shell, sera traitée en urgence, tandis qu’une faille moins critique pourra attendre.
- Automatisation de la veille sécurité : Les outils de gestion des vulnérabilités (comme Tenable, Qualys ou Rapid7) intègrent les CVE pour scanner automatiquement les systèmes, détecter les failles et suggérer des correctifs. Cela réduit le temps de réaction face aux menaces.
- Conformité et transparence : Les CVE aident les entreprises à respecter les réglementations en matière de cybersécurité (comme le RGPD en Europe) en documentant les failles et en prouvant qu’elles ont été corrigées. Publier une CVE montre aussi une transparence envers les clients, renforçant la confiance.
- Réduction des risques d’attaques : En 2023, plus de 26 400 vulnérabilités ont été recensées, et 25 % des CVE à haut risque étaient exploitées le jour même de leur publication. Sans les CVE, les entreprises seraient plus lentes à réagir, augmentant les risques de ransomwares (comme WannaCry, CVE-2017-0144) ou de violations de données.
3. Quelles conséquences ?
Mon avis : un système à revoir mais essentiel !
Honnêtement, imaginer un monde sans CVE c’est flippant. Ce système, c’est un peu le langage commun de la cybersécurité. Sans lui, ce serait le chaos : chacun avec sa base, ses infos, ses délais, la communication c’est ultra important !
Bon, le système a ses défauts. C’est lent parfois (surtout pour les zero-days), certaines failles pas très graves polluent un peu la base, et il y a même des boîtes qui refusent de déclarer des bugs pour éviter les emmerdes. Pas top côté éthique.
Mais si on perdait les CVE demain, ce serait la galère : plus d’attaques, des coûts qui explosent et les PME n’en parlons pas. Alors oui, il faut le faire évoluer : plus de moyens, plus de rapidité, plus d’IA. Mais surtout, il faut rester vigilants et ne pas dépendre que d’une seule source. Parce qu’on l’a vu Log4J par exemple, ignorer une faille peut coûter très cher !
Une alternative européenne : la base de l’ENISA
Face aux incertitudes entourant l’avenir des CVE, l’Union européenne a pris les devants avec le lancement, en avril 2025, de la European Vulnerability Database (EUVD) par l’ENISA, l’Agence de l’Union européenne pour la cybersécurité. Cette nouvelle base de données, mandatée par l’article 12 de la directive NIS 2, propose une alternative au système CVE en répertoriant les vulnérabilités avec une numérotation propre, comme EUVD-2022-49136 pour la correspondance avec CVE-2022-46319.
Accessible à l’adresse suivante : https://euvd.enisa.europa.eu/, l’EUVD intègre les failles signalées directement à l’ENISA ainsi que celles du réseau CSIRT européen, tout en indiquant les scores CVSS pour évaluer leur gravité. Ce projet, en gestation depuis plusieurs mois, vise à renforcer la souveraineté numérique européenne et à réduire la dépendance aux infrastructures américaines.
Cette initiative est un pas vers une cybersécurité plus autonome, mais elle est encore à ses débuts. L’ENISA encourage les chercheurs et entreprises à contribuer via un formulaire de contact pour améliorer la base, comme l’a souligné Yasmine Douadi ㏑, CEO de RISKINTEL MEDIA, dans un récent post LinkedIn.
À terme, l’EUVD pourrait développer son propre système de scoring, indépendant du CVSS américain, et devenir un outil clé pour les organisations européennes. Toutefois, pour rivaliser avec l’adoption mondiale des CVE, elle devra étoffer son réseau de contributeurs et garantir une mise à jour rapide des vulnérabilités critiques, notamment les zero-day. En attendant, l’EUVD est une lueur d’espoir pour une gestion des risques plus résiliente en Europe.