Ce site utilise des cookies à des fins d’analyse et pour améliorer votre expérience. En cliquant sur Accepter, vous consentez à notre utilisation des cookies. En savoir plus dans notre politique de confidentialité.

Écran avec code JavaScript coloré en édition

Qu’est-ce que CVSS, CVE et CPE ? (et comment les utiliser pour prioriser efficacement vos vulnérabilités)

Cybersécurité / Par

Nous sommes constamment confrontés à des menaces informatiques qui peuvent compromettre la sécurité de nos systèmes et de nos données. Les vulnérabilités – failles dans les logiciels, matériels ou systèmes – représentent des points d’entrée pour les attaquants. Comprendre CVE, CPE et CVSS est essentiel pour adopter des mesures proactives, prioriser les correctifs et renforcer votre posture de sécurité.

En synthèse : CVE fournit un identifiant universel pour chaque vulnérabilité publique (programme CVE) ; CPE standardise le nommage des produits/plateformes affectés (dictionnaire CPE NVD) ; CVSS mesure la sévérité pour prioriser les remédiations (spécification CVSS v4.0support officiel NVD).

Résumé : ce qu’il faut retenir

  • CVE = identifiant standard pour chaque vulnérabilité divulguée publiquement, géré par le programme CVE (MITRE/CISA). En savoir plus
  • CPE = Common Platform Enumeration, schéma de nommage machine‑lisible pour désigner précisément un OS, un logiciel ou un matériel. Dictionnaire CPE
  • CVSS = Common Vulnerability Scoring System, score 0–10 permettant d’évaluer la sévérité intrinsèque, la menace et le contexte. CVSS v4.0 | Calculateur & métriques NVD

CVE : l’identifiant universel des vulnérabilités

Le Common Vulnerabilities and Exposures (CVE) est une liste gérée par le programme CVE qui identifie, définit et catalogue les vulnérabilités publiques au moyen d’un identifiant unique (ex. : CVE‑2025‑12345). Cet identifiant permet à tous les acteurs (éditeurs, CERT, RSSI, outils de scan) de parler de la même faille sans ambiguïté, et de corréler facilement correctifs, bulletins, signatures et indicateurs.

Important : la NVD (National Vulnerability Database – NIST) enrichit ensuite les enregistrements CVE (score CVSS, CPE d’applicabilité, CWE, etc.). L’objectif n’est pas d’être une « base propriétaire de vulnérabilités », mais de fournir un référentiel fédérateur. FAQ NVD sur les CVE

Ce que CVE change pour vous

  • Réduction des malentendus entre équipes et fournisseurs : tout le monde parle du même identifiant.
  • Meilleure automatisation : vos outils peuvent « suivre » une vulnérabilité de bout en bout via son CVE.
  • Traçabilité et priorisation : vous rattachez incidents, patchs et exemptions à un identifiant unique.

CPE : nommer précisément produits et plateformes

Common Platform Enumeration (CPE) est un système de nommage standardisé pour décrire les produits concernés par une vulnérabilité. La version CPE 2.3 définit des attributs (part, vendor, product, version, etc.) et des formats de chaînes (ex. : cpe:2.3:a:vendor:product:version:*:*:*:*:*:*:*). Le NIST maintient le dictionnaire officiel et un moteur de recherche CPE.

Pourquoi c’est clé

  • Aligner vos inventaires (CMDB / EDR / scanner) sur le standard pour éviter les faux‑positifs/négatifs.
  • Associer automatiquement les CVE à vos actifs via leurs chaînes CPE.
  • Accélérer la détection d’exposition et la priorisation.

CVSS : mesurer la sévérité (cap sur la v4.0)

Le Common Vulnerability Scoring System (CVSS v4.0) est un cadre ouvert permettant d’attribuer un score de 0 à 10 (et un vecteur) à une vulnérabilité. L’objectif : fournir une mesure cohérente de la sévérité et un langage commun pour prioriser la remédiation. La NVD supporte officiellement CVSS v4.0, avec badges, recherche avancée et calculateur en ligne. Annonce NVD | Métriques

Les groupes de métriques en v4.0

  • Base (B) : caractéristiques intrinsèques, constantes dans le temps et les environnements.
  • Threat (T) : éléments évolutifs (p. ex. maturité d’exploit).
  • Environmental (E) : contexte propre à votre organisation (exposition, criticité métier).
  • Supplemental : attributs additionnels (sécurité/sûreté, automatisation, effort de réponse…) qui n’altèrent pas le score final mais apportent du contexte.

Ce qui change entre CVSS v3.1 et v4.0

La v4.0 améliore la granularité et clarifie l’usage : nouvelle métrique Attack Requirements, valeurs d’User Interaction (passive/active), impacts explicités (systèmes vulnérables vs subséquents), renommage du groupe « Temporal » en « Threat », et nomenclature des combinaisons B / BT / BE / BTE. User Guide

AspectCVSS v3.1CVSS v4.0
GroupesBase, Temporal, EnvironmentalBase, Threat (ex-Temporal), Environmental, Supplemental
GranularitéMoins fine+ Attack Requirements, UI Passive/Active, impacts détaillés
NomenclatureScore unique souvent confondu avec « Base »CVSS‑B / CVSS‑BT / CVSS‑BE / CVSS‑BTE
Support NVDv2/v3.xv4.0 officiel : badges, recherche, calculateur

Rappel : CVSS mesure la sévérité, pas le risque complet. La NVD recommande d’utiliser CVSS avec d’autres informations (exposition, actifs critiques, exploitabilité constatée) pour prioriser. Position NVD

Comment utiliser CVE + CPE + CVSS dans votre organisation (méthode en 5 étapes)

1) Inventaire fiable (CPE)

Mettez votre inventaire d’actifs au niveau : associez chaque produit à sa chaîne CPE 2.3 (via votre CMDB, EDR, scanner). Cette normalisation permet de croiser automatiquement vos actifs avec les CVE correspondantes publiées/enrichies par la NVD. Recherche CPE

2) Veille & enrichissement

Alimentez vos flux avec la NVD (CVE + CVSS v4.0 + CPE, CWE). Depuis 2024, la NVD expose la v4 ainsi que des améliorations de recherche et un calculateur v4.0. Annonce | Calculateur

3) Scoring pertinent

Utilisez le score CVSS‑B comme point de départ (gravité technique), puis combinez :

  • Threat : maturité d’exploit, code public, exploitation active.
  • Environmental : exposition internet, criticité métier, contrôles compensatoires.

Vous obtenez un CVSS‑BTE adapté à votre contexte. Guide d’utilisation

4) Décision & remédiation

Fixez des SLO de patch par seuils (Low/Medium/High) et par périmètre (actifs critiques). Prévoyez des chemins de mitigation si le patch n’est pas disponible (configuration, contournement, isolation).

5) Validation & reporting

Vérifiez la correction, mettez à jour vos CPE, conservez le vecteur CVSS, justifiez les exemptions et présentez un reporting par risque métier.

Exemples concrets

  • Gestion de parc bureautique : vos agents inventorient les logiciels (CPE). Une CVE critique sort pour une version précise d’un navigateur. L’outil matche via CPE, calcule CVSS‑BTE (exposition internet + actifs sensibles), déclenche un patch prioritaire sur les postes concernés.
  • App métier on‑prem : une vulnérabilité authentifiée (CVSS‑B moyen) mais face à des serveurs exposés avec données sensibles : la métrique Environmental fait mécaniquement remonter la priorité (B → BE).
  • OT/ICS : la v4.0 introduit des précisions utiles pour la sûreté et les systèmes industriels (métriques supplémentaires) facilitant l’arbitrage entre arrêt de production et mitigation temporaire. CVSS v4.0

Erreurs fréquentes & bonnes pratiques

  • Se fier uniquement au score de Base : ajoutez Threat + Environmental pour coller au risque réel. NVD
  • Inventaire CPE lacunaire : validez vos chaînes via le moteur NVD et alignez vos référentiels. CPE Search
  • Confondre CVE et NVD : CVE = identifiant ; NVD = enrichissement (scores, CPE…). FAQ

Pour approfondir la gouvernance (gestion des changements, modification des droits), vous pouvez consulter notre article sur la /cartographie-des-processus-de-gestion-des-changements/cartographie des processus.

FAQ

CVE, c’est une base de vulnérabilités ?

Non. CVE fournit un identifiant standard pour une vulnérabilité publique. La NVD (NIST) enrichit ensuite ces enregistrements (CVSS, CPE, CWE). CVE | NVD FAQ

Qu’est-ce que CPE 2.3 et à quoi ça sert ?

CPE est un schéma de nommage pour décrire précisément systèmes, logiciels et matériels. Il permet d’établir une correspondance fiable entre vos actifs et les CVE. Dictionnaire CPE

CVSS 4.0 change quoi par rapport à 3.1 ?

Granularité accrue (ex. Attack Requirements), UI passive/active, clarification Base/Threat/Environmental, groupe Supplemental. Support NVD officiel (badges, calculateur, recherche). Spec v4.0 | NVD

Où calculer un score CVSS v4.0 ?

Sur le calculateur de la NVD (vectorisation, sauvegarde, partage). Calculateur CVSS

CVSS mesure-t-il le « risque » ?

Non. CVSS mesure la sévérité technique. Le risque dépend aussi de l’exposition, de la probabilité d’attaque, de la criticité des actifs et des contrôles en place. Position NVD

Comment relier mes actifs aux CVE ?

En alignant votre inventaire sur le CPE 2.3, puis en croisant automatiquement avec la NVD/CVE. Recherche CPE

La v4.0 est-elle déjà utilisée par les grandes bases ?

Oui, la NVD annonce un support officiel (badges, recherche, calculateur). Annonce NVD

Et si aucun correctif n’est disponible ?

Évaluez des mitigations (configuration, segmentation, WAF, durcissement), documentez votre CVSS‑BE/BTE, et fixez un SLO de patch dès qu’un correctif sort. User Guide v4

Quelle différenCVE identifie la vulnérabilité ; CWE décrit la faiblesse sous‑jacente ; CPE identifie le produit affecté. CVE | CWE FAQ | CPEce entre CVE, CWE et CPE ?

Ressources officielles et outils

Consultants depuis 2010, +300 organisations accomapgnées

Audit vulnérabilités

En 30 minutes, nous vérifions vos CPE, recalculons vos CVSS (B/BT/BE/BTE) et livrons un plan d’action priorisé (correctif, mitigation, SLO)

    Related Posts