Le CVE expliqué : le système mondial de suivi des failles de sécurité

Aperçu de la situation

Le CVE (Common Vulnerabilities and Exposures) est la norme mondiale pour l'identification et le référencement des failles de cybersécurité rendues publiques ; il compte plus de 308 000 entrées depuis son lancement en 1999 et a enregistré un nombre record de 48 185 nouveaux CVE en 2025.
Le programme CVE a survécu à une crise de financement en 2025, alors que le contrat de MITRE arrivait à expiration, mais l'émergence d'alternatives telles que l'EUVD et le GCVE marque un tournant vers un suivi décentralisé des vulnérabilités.
Seul environ 1 % des vulnérabilités CVE publiées sont confirmées comme étant exploitées dans la nature (2025), ce qui rend indispensable une hiérarchisation des priorités en fonction des risques à l'aide d'outils tels que le catalogue KEV de la CISA pour une application efficace des correctifs.
Le retard accumulé dans l'enrichissement des données du NVD touche environ 44 % des CVE récentes (2025), ce qui oblige les équipes à compléter les données du NVD à l'aide de CISA Vulnrichment, des avis des éditeurs et du nouvel EUVD européen.
La détection comportementale complète la correction basée sur les CVE en identifiant les schémas d'exploitation — tels que la propagation latérale et l'escalade de privilèges —, qu'un CVE spécifique ait été attribué ou non.

Chaque jour, les équipes de sécurité sont confrontées à un flot incessant de nouvelles failles logicielles — plus de 130 ont été divulguées toutes les 24 heures rien qu’en 2025. Sans un système commun permettant de nommer et de suivre ces failles, les responsables de la sécurité perdraient un temps précieux à déterminer si deux avis de sécurité décrivent le même bug. Ce système commun est le CVE, et comprendre son fonctionnement est essentiel pour tout programme moderne de gestion des vulnérabilités. Ce guide explique ce que signifie le CVE, comment les identifiants sont attribués, l'écosystème des normes associées, ainsi que la crise de financement de 2025 qui a failli mettre fin à l'ensemble du programme. Que vous triez des alertes dans un SOC ou que vous cartographiez des contrôles pour un audit, les informations contenues ici vous permettront d'affiner votre utilisation quotidienne des données CVE.

Qu'est-ce que la CVE ?

Le CVE (Common Vulnerabilities and Exposures) est un système d'identification normalisé qui attribue des identifiants uniques aux failles de cybersécurité rendues publiques, offrant ainsi aux équipes de sécurité, aux fournisseurs et aux chercheurs un langage commun pour suivre, analyser et corriger des failles spécifiques à travers les différents outils et organisations du monde entier.

La société MITRE a créé le système CVE en 1999 grâce à un financement du Département américain de la Sécurité intérieure (DHS) et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA). Avant l'existence du CVE, une même vulnérabilité pouvait porter différents noms selon les scanners, les avis de sécurité et les bulletins de correctifs. Ce manque de cohérence ralentissait la coordination entre les équipes et la rendait sujette à des erreurs. Le CVE a résolu ce problème en attribuant un identifiant canonique unique à chaque faille — un numéro de référence auquel chaque outil, chaque fournisseur et chaque analyste peut se référer sans ambiguïté.

L'ampleur du programme reflète l'ampleur du problème. Selon l'analyse des données CVE de 2025 réalisée par Jerry Gamblin, un nombre record de 48 185 CVE a été publié en 2025, soit une augmentation de 20,6 % par rapport aux 39 962 entrées de 2024. Le catalogue cumulé dépasse désormais les 308 000 entrées. Cette croissance souligne à la fois l'élargissement de la surface d'attaque et le rôle essentiel que joue le CVE dans l'organisation des données sur les vulnérabilités.

La présentation du programme CVE.org décrit succinctement sa mission : identifier, définir et répertorier les failles de cybersécurité rendues publiques. Le système est gratuit, librement accessible et intégré à pratiquement tous les principaux outils de sécurité disponibles sur le marché.

Pourquoi le CVE est-il important pour les équipes de sécurité ?

Sans le système CVE, les organisations ne disposeraient pas d'un vocabulaire commun pour discuter de vulnérabilités spécifiques. Lorsqu'un scanner signale une faille et qu'un bulletin de correctif traite de cette même faille, c'est l'identifiant CVE qui permet de confirmer qu'il s'agit bien du même problème. Cette référence commune permet la mise en place de plusieurs processus essentiels :

Corrélation entre différents outils. Les plateformes SIEM, les scanners de vulnérabilité et les systèmes de gestion des correctifs utilisent tous l'identifiant CVE comme index, ce qui permet aux analystes de corréler les résultats sans avoir à effectuer de mise en correspondance manuelle.
Une communication plus rapide. Au lieu de décrire une faille par écrit, une équipe peut partager un identifiant CVE, et tout le monde — de l'analyste du SOC au RSSI — en saisit immédiatement la portée.
Rapports de conformité. Des référentiels tels que PCI DSS, NIST CSF et NIS2 considèrent le suivi basé sur les CVE comme un contrôle essentiel de la gestion des vulnérabilités.
Renseignements sur les menaces. Les flux provenant de la CISA, les avis des fournisseurs et les renseignements open source utilisent tous les identifiants CVE comme clé primaire pour les données relatives aux vulnérabilités.

Comment sont structurés les identifiants CVE

Un identifiant CVE suit le format CVE-ANNÉE-NUMÉRO et comprend une description, la liste des produits concernés, un niveau de gravité et des liens de référence. Comprendre la structure d'un identifiant CVE aide les analystes à analyser rapidement les avis de sécurité et à hiérarchiser les mesures à prendre.

Chaque identifiant comporte trois éléments :

Préfixe CVE. La chaîne littérale « CVE » qui indique que l'entrée fait partie du programme.
Année. L'année à quatre chiffres au cours de laquelle l'identifiant CVE a été attribué (il ne s'agit pas nécessairement de l'année où la faille a été découverte ou divulguée).
Numéro séquentiel. Une séquence numérique unique. Depuis 2014, le programme prend en charge des numéros comportant au moins cinq chiffres afin de s'adapter à l'augmentation du volume — une évolution motivée par la hausse constante du nombre de déclarations annuelles.

Outre l'identifiant lui-même, chaque enregistrement CVE contient plusieurs champs de données :

Description. Une explication succincte de la vulnérabilité, précisant les logiciels ou composants concernés.
Produits concernés. Versions et configurations concernées.
Références. Liens vers les avis des éditeurs, les correctifs et les documents techniques.
Source CNA. L'autorité de numérotation CVE qui a attribué cet identifiant.

Comment lire une entrée CVE

Prenons l'exemple de CVE-2021-44228, communément appelé Log4Shell. Son identifiant indique d'emblée qu'il a été attribué en 2021 et qu'il porte le numéro de séquence 44228. L'enregistrement CVE décrit une faille d'exécution de code à distance dans la bibliothèque de journalisation Apache Log4j 2. Son score CVSS — attribué séparément via le Common Vulnerability Scoring System — est de 10,0, soit le niveau de gravité maximal. La section des références renvoie vers l'avis d'Apache, la page d'enrichissement du NVD et plusieurs analyses de tiers.

Il est important de distinguer l'identifiant CVE lui-même du score CVSS qui l'accompagne. Le CVE identifie la nature de la faille. Le CVSS — géré par le Forum of Incident Response and Security Teams (FIRST) — quantifie la gravité de cette faille sur une échelle de 0 à 10. Ces deux systèmes sont complémentaires, mais ne sont pas interchangeables.

Fonctionnement du système CVE

Les autorités de numérotation CVE valident et attribuent des identifiants selon un cycle de vie structuré, allant de la découverte à la publication, en passant par l'enrichissement de la base de données NVD. Ce processus se déroule en six étapes :

Un chercheur découvre une faille de sécurité dans un logiciel, un matériel ou un micrologiciel.
Rapport soumis à un CNA ou directement à MITRE via le formulaire de demande disponible sur CVE.org.
Le CNA valide le rapport et confirme que la vulnérabilité répond aux critères d'enregistrement du CVE.
La CNA attribue un identifiant CVE dans le cadre de ses compétences.
Fiche CVE publiée sur CVE.org, accompagnée d'une description et de références.
NVD enrichit l'enregistrement en y ajoutant le score CVSS, des données CPE (Common plateforme ) et des métadonnées supplémentaires.

La hiérarchie des CNA est organisée en trois niveaux. MITRE occupe le niveau supérieur, supervisant l'ensemble du programme. Sous MITRE se trouvent les « Roots » — des organisations telles que la CISA, Google et Microsoft qui gèrent des groupes de CNA. À la base se trouvent les autorités de numérotation CVE elles-mêmes : 365 CNA actives en service dans l'écosystème en 2025.

Qu'est-ce qu'une autorité de numérotation CVE ?

Une autorité de numérotation CVE (CNA) est une organisation habilitée par le programme CVE à attribuer des identifiants CVE dans un domaine défini — généralement ses propres produits ou un domaine technologique spécifique. Les principales CNA en termes de volume en 2025 illustrent l'ampleur du programme :

Patchstack : 7 007 CVE (écosystème WordPress)
VulDB : 5 902 CVE
Linux : 5 686 CVE
MITRE : 5 208 CVE
Wordfence : 3 451 CVE

Ces chiffres, tirés de l'analyse de Jerry Gamblin datant de 2025, montrent que les écosystèmes open source et d'applications web représentent désormais la plus grande part des nouvelles attributions de CVE. Toute organisation peut postuler pour devenir un CNA dans le cadre du programme CVE.org.

Comment signaler une vulnérabilité au CVE

Les chercheurs qui découvrent une faille peuvent la signaler de deux manières. Si le fournisseur concerné agit en tant qu'autorité de notification de vulnérabilité (CNA), le chercheur lui soumet directement le rapport. Dans le cas contraire, le chercheur peut utiliser le formulaire de demande de CVE.org, qui achemine le rapport vers la CNA compétente ou, en dernier recours, vers MITRE.

Toutes les soumissions ne donnent pas lieu à la publication d'un CVE. En 2025, 1 787 CVE ont été rejetés — soit un taux de rejet de 3,58 % —, généralement parce que le problème signalé ne répondait pas aux critères d'inclusion du programme ou faisait double emploi avec une entrée existante.

L'écosystème CVE : CVE vs CVSS, CWE et NVD

Le CVE identifie des vulnérabilités spécifiques, tandis que le CVSS évalue leur gravité, que le CWE classe les types de failles et que le NVD fournit des métadonnées enrichies. Ces quatre systèmes sont souvent confondus ; une comparaison claire aide donc les professionnels à comprendre comment ils s'articulent entre eux.

Comment les normes CVE, CWE, CVSS et NVD s'articulent dans le processus de gestion des vulnérabilités :

Système	Objectif	Géré par	Exemple
CVE	Identifiant unique d'une vulnérabilité spécifique	MITRE Corporation	CVE-2021-44228 (Log4Shell)
CWE	Classifie le type de faiblesse sous-jacente	MITRE Corporation	CWE-79 (Cross-Site Scripting)
CVSS	Note de gravité sur une échelle de 0 à 10	PREMIÈREMENT	10,0 (Critique)
NVD	Base de données enrichie avec les scores CVSS, les données CPE et les informations sur les correctifs	NIST	Entrée NVD pour CVE-2021-44228

Le processus fonctionne ainsi : un CWE décrit la catégorie générale de vulnérabilité (par exemple, CWE-79 pour Cross-Site Scripting). Un CVE identifie un cas spécifique de cette vulnérabilité dans un produit donné. Le CVSS attribue ensuite un score à ce cas spécifique pour en évaluer la gravité. Enfin, la National Vulnerability Database enrichit la fiche CVE avec des données structurées : scores CVSS, listes des produits concernés et références aux correctifs.

En 2025, la vulnérabilité CWE-79 (Cross-Site Scripting) arrivait en tête de toutes les catégories de vulnérabilités avec 8 207 cas, et le score CVSS moyen de l'ensemble des CVE publiées s'élevait à 6,60, ce qui la situait clairement dans la fourchette de gravité « Moyenne ».

Il est important de bien comprendre ces distinctions, car elles répondent à des questions différentes. « Quelle est la faille ? » — c'est le CVE. « De quel type de faille s'agit-il ? » — c'est le CWE. « Quelle est la gravité de cette faille ? » — c'est le CVSS. « Où puis-je trouver la fiche complète et enrichie ? » — c'est le NVD.

État actuel du programme CVE (2025-2026)

Le programme CVE a survécu à la crise de financement de 2025, mais les retards accumulés par le NVD et les systèmes concurrents tels que l'EUVD et le GCVE sont en train de redéfinir le suivi des vulnérabilités. Cette section aborde les trois évolutions que les concurrents du SERP négligent systématiquement.

La crise de financement de 2025 et sa résolution

En avril 2025, le programme CVE était à quelques jours de sa fermeture. Le contrat entre MITRE et le DHS pour la gestion du programme arrivait à échéance, et aucun renouvellement n'avait été conclu. SecurityWeek a rapporté que la direction de MITRE avait fait état d'une « détérioration potentielle » du programme à l'approche de la date butoir.

Le 16 avril 2025, deux événements se sont produits simultanément. La CISA a obtenu une prolongation provisoire de 11 mois afin d’assurer la poursuite du programme. Parallèlement, la Fondation CVE, une organisation à but non lucratif récemment créée par les membres du conseil d’administration de CVE, a vu le jour dans le but de promouvoir une gouvernance diversifiée et à long terme.

En janvier 2026, la situation s'était stabilisée. CSO Online a rapporté que le conseil d'administration du CVE avait été informé qu'il n'y aurait « pas de coupure brutale du financement en mars », le CVE ayant été élevé au rang de programme phare de la CISA. Toutefois, les détails du financement restent flous — qualifiés par les observateurs de « contrat mystérieux avec un montant mystérieux ».

EUVD et GCVE : des alternatives émergentes

La crise du financement a accéléré la mise en place de deux approches alternatives pour le suivi de la vulnérabilité :

EUVD (base de données des vulnérabilités de l'Union européenne). Lancée par l'ENISA en mai 2025 dans le cadre de la directive NIS2, l'EUVD constitue un catalogue des vulnérabilités géré par l'Union européenne. Elle vient compléter le CVE plutôt que de le remplacer, mais offre aux organisations européennes une source d'information fiable à l'échelle régionale. La loi européenne sur la cyber-résilience (CRA) imposera aux fournisseurs de signaler les vulnérabilités activement exploitées dans un délai de 24 heures d'ici septembre 2026.
GCVE (Global CVE). Lancé par le CIRCL en janvier 2026, le GCVE repose sur une approche décentralisée permettant à plusieurs organisations d'attribuer de manière indépendante des identifiants de vulnérabilité à l'aide du cadre GCVE.eu. Si ses partisans y voient des avantages en termes de résilience, Dark Reading a fait état des inquiétudes exprimées par les professionnels quant à la fragmentation, ces derniers s'inquiétant de la difficulté à maintenir une source unique de référence.

Le retard accumulé dans le traitement des données d'enrichissement du NVD

La base de données nationale sur les vulnérabilités (National Vulnerability Database) — ce système géré par le NIST qui enrichit les fiches CVE de scores CVSS et de données CPE — a eu du mal à suivre le rythme. Selon une analyse réalisée par inventivehq, environ 44 % des CVE ajoutées au cours de l'année écoulée ne comportent ni score CVSS ni données sur les produits concernés (2025).

Le NIST a aggravé le problème en classant tous les CVE antérieurs à 2018 comme « différés » — près de 100 000 entrées qui ne bénéficieront plus de mises à jour d'enrichissement (2026). Le Bureau de l'inspecteur général du département du Commerce a lancé un audit fédéral sur les pratiques de gestion du NVD.

Pour les professionnels, la conclusion est claire : les équipes qui s'appuient uniquement sur la NVD se retrouvent face à des données incomplètes. Le projet Vulnrichment de la CISA constitue une source complémentaire d'enrichissement, tandis que l'EUVD offre un flux de données supplémentaire pour les organisations soumises à la réglementation européenne.

Les CVE dans la pratique : schémas d'exploitation concrets

Avec plus de 130 nouvelles vulnérabilités (CVE) publiées chaque jour et 28 % des exploits lancés dans les 24 heures suivant leur divulgation (2025), les entreprises ont besoin d'un système de triage automatisé qui aille au-delà du suivi manuel.

Les chiffres de 2025 dressent un tableau sombre. Sur les 48 185 CVE publiées, un nombre record, la répartition par niveau de gravité était la suivante :

Gravité	Compter	Pourcentage
Critique	3,984	8.3%
Haut	15,003	31.1%
Moyenne	25,551	53.0%
Faible	1,557	3.2%

Répartition des niveaux de gravité des CVE en 2025, sur la base des scores CVSS. Source : Analyse des données CVE 2025 de Jerry Gamblin.

Malgré leur nombre, cybercriminels restent très sélectifs. Seul environ 1 % des plus de 48 000 CVE publiées en 2025 ont été confirmées comme ayant été exploitées dans la nature. Cependant, lorsqu’une exploitation se produit, elle est rapide : 54 % des CVE critiques ont été exploitées au cours de la première semaine suivant leur divulgation (2025). Les chercheurs en sécurité ont identifié 884 vulnérabilités connues ayant fait l'objet d'une première exploitation en 2025, et le catalogue KEV de la CISA s'est enrichi de 244 entrées (soit une augmentation de 28 %), portant son total à 1 483.

FIRST prévoit une médiane de 59 427 nouvelles vulnérabilités (CVE) pour 2026 — une évolution qui rend le suivi manuel de plus en plus difficile à gérer.

Études de cas marquantes en matière de lutte contre la criminalité organisée

Trois exemples concrets illustrent différents modes d'exploitation :

Log4Shell (CVE-2021-44228). Une faille critique permettant l'exécution de code à distance dans la bibliothèque Apache Log4j 2, notée 10,0 selon le CVSS. Les pirates ont commencé à l'exploiter quelques heures seulement après sa divulgation en décembre 2021. Log4j étant intégré à des millions d'applications, l'ampleur des répercussions a été considérable — et, des années plus tard, les entreprises continuent de découvrir des instances non corrigées.
MOVEit Transfer (CVE-2023-34362). Une zero-day de type injection SQL zero-day dans l'outil de transfert de fichiers de Progress Software. Le groupe de ransomware CL0P l'a exploitée avant la mise à disposition d'un correctif, compromettant environ 130 organisations dans les secteurs de l'administration, de la finance et de la santé.
GoAnywhere MFT (CVE-2025-10035). Un autre outil de transfert de fichiers visé dans le cadre d'une attaque de type « chaîne d'approvisionnement ». Des acteurs Medusa ont exploité cette faille avant sa divulgation publique, mettant en œuvre une chaîne d'attaque complète allant de l'accès initial au déplacement latéral, en passant par l'exfiltration de données et le déploiement d'un ransomware.

Utilisation des données CVE pour détecter et prévenir les attaques

Une défense efficace fondée sur les CVE nécessite une hiérarchisation des priorités en fonction des risques, combinant les scores CVSS, le statut KEV de la CISA, les informations sur les exploits et les capacités de détection comportementale. Le processus suivant aide les équipes de sécurité à exploiter les données CVE :

Surveiller les sources CVE. Suivre les nouvelles divulgations provenant de CVE.org, du NVD, du catalogue des vulnérabilités connues exploitées de la CISA, de l'EUVD et des avis spécifiques aux éditeurs.
Établissez un lien avec votre inventaire des actifs. Mettez en correspondance les CVE publiées avec votre environnement à l'aide des données de gestion des actifs et de la nomenclature logicielle (SBOM) afin d'assurer la visibilité des composants tiers.
Donnez la priorité aux mesures en adoptant une approche fondée sur les risques. Tenez compte à la fois de la gravité selon le CVSS, du statut KEV de la CISA (la vulnérabilité CVE fait-elle l'objet d'une exploitation active ?), des informations disponibles sur les exploits et de la criticité des actifs pour hiérarchiser l'urgence des mesures correctives.
Corrigez le problème. Appliquez les correctifs dès qu'ils sont disponibles. Si l'application de correctifs n'est pas possible dans l'immédiat, mettez en place des mesures de compensation : correctifs virtuels, segmentation du réseau ou restrictions d'accès.
Vérifiez et assurez le suivi. Vérifiez l'efficacité des mesures correctives en effectuant une nouvelle analyse et mettez à jour vos systèmes de suivi.

Le catalogue KEV de la CISA mérite une attention particulière lors de la troisième étape. Avec un délai médian d'intégration dans le KEV de seulement 5,0 jours (contre 8,5 jours les années précédentes, en 2025), ce catalogue fournit une indication rapide et fiable des CVE effectivement exploitées par les attaquants. En vertu de la directive opérationnelle contraignante 22-01, agences gouvernementales américaines agences gouvernementales corriger les entrées du KEV dans les délais prescrits.

Au-delà des correctifs basés sur les CVE : la détection comportementale

Les correctifs basés uniquement sur les identifiants CVE laissent des failles. Zero-day sont exploitées avant même qu'un identifiant CVE n'existe. Le déploiement des correctifs prend du temps. Et certains environnements — systèmes hérités, technologies opérationnelles, solutions SaaS tierces — ne peuvent pas être corrigés rapidement.

La détection comportementale des menaces comble cette lacune en se concentrant sur ce que font les attaquants après avoir exploité une vulnérabilité, plutôt que sur le CVE spécifique qu'ils ont utilisé. détection et réponse aux incidents surveillent les comportements post-exploitation — reconnaissance, mouvement latéral, élévation de privilèges, communication de commande et de contrôle, et exfiltration de données — quel que soit le vecteur d'entrée.

Une approche de défense en profondeur associe la gestion des vulnérabilités basée sur les CVE à des capacités de détection comportementale et d'intervention en cas d'incident. Lorsqu'une zero-day rend temporairement inefficaces les défenses basées sur les CVE, la détection comportementale sert de filet de sécurité.

CVE et conformité

Le suivi des CVE répond directement aux exigences de conformité des principaux cadres réglementaires. Le tableau de correspondance ci-dessous met en relation les processus CVE avec les contrôles recherchés par les auditeurs.

Comment le suivi des CVE s'inscrit dans les principaux cadres de conformité :

Le cadre	Contrôle pertinent	Exigence relative aux CVE	Preuves
NIST CSF	ID.RA-1, PR.IP-12	Identifier les vulnérabilités des actifs ; mettre en œuvre un plan de gestion des vulnérabilités	Rapports d'analyse basés sur les CVE, journaux de correction
PCI DSS v4.0	Exigence 6.3	Identifier et gérer les failles de sécurité à l'aide des données CVE	Résultats trimestriels de l'analyse avec mise en correspondance CVE
ISO 27001:2022	Contrôle A.12.6	Gestion des vulnérabilités techniques	Historique des CVE, calendrier des correctifs
Directive NIS2	Article 21	Gestion des vulnérabilités fondée sur les risques	Intégration de l'EUVD, évaluations des risques fondées sur la lutte contre l'extrémisme violent (CVE)
CISA BOD 22-01	Directive complète	Corriger les entrées du catalogue KEV dans les délais impartis	Rapports de conformité KEV, preuves des mesures correctives

Au-delà de la mise en correspondance des référentiels, les données CVE sont directement reliées à la Cadre MITRE ATT&CK de MITRE ATT&CK. Le Centre pour une défense fondée sur la connaissance des menaces (CTID) de MITRE gère un projet mise en correspondance des techniques ATT&CK avec les CVE, en établissant un lien entre des vulnérabilités spécifiques et les comportements des attaquants. Par exemple, la technique T1190 (« Exploit d'une application accessible au public ») correspond à des vulnérabilités CVE touchant les serveurs web et les API, tandis que T1068 (Exploitation visant à l'élévation des privilèges) correspond à des failles locales permettant l'élévation des privilèges.

Approches modernes en matière de veille sur les vulnérabilités

Les services modernes de veille sur les vulnérabilités associent les données CVE à la détection comportementale et à la hiérarchisation des risques afin de combler le fossé entre la divulgation et l'exploitation. Alors que FIRST prévoit une médiane de 59 427 nouveaux CVE pour 2026, l'ancienne approche consistant à corriger toutes les vulnérabilités en fonction de leur score CVSS s'effondre sous son propre poids.

Plusieurs évolutions caractérisent le contexte actuel :

Une hiérarchisation fondée sur les risques plutôt qu'un tri basé uniquement sur le CVSS. Seul 1 % des CVE font l'objet d'une exploitation confirmée dans la nature (2025). Le catalogue KEV de la CISA, les flux d'informations sur les exploits et les données relatives à la criticité des actifs fournissent des indications bien plus fiables que les simples scores de gravité bruts.
Enrichissement complémentaire au-delà de la NVD. La NVD ayant un retard qui touche 44 % des entrées récentes, les équipes se tournent vers CISA Vulnrichment, l'EUVD, les avis des éditeurs et les renseignements open source pour combler cette lacune.
SBOM pour le suivi des dépendances. Les nomenclatures logicielles (SBOM) permettent aux organisations d'avoir une visibilité sur les dépendances transitives — ces bibliothèques tierces enfouies au plus profond de leurs applications — afin qu'elles puissent évaluer rapidement leur exposition aux vulnérabilités CVE sur l'ensemble de leur chaîne d'approvisionnement logicielle.
Automatisation et triage assisté par l'IA. Avec plus de 130 nouvelles vulnérabilités (CVE) par jour, l'examen manuel n'est plus viable. Les entreprises adoptent des moteurs de corrélation automatisés qui comparent les nouvelles vulnérabilités aux inventaires d'actifs et ne signalent que les entrées présentant un risque réel.
La détection comportementale en complément. Les programmes de gestion continue de l'exposition aux menaces et d'évaluation des vulnérabilités associent de plus en plus souvent l'analyse basée sur le CVE à la surveillance comportementale afin de détecter l'exploitation de failles inconnues ou non corrigées.

Comment Vectra AI l'exploitation des vulnérabilités

Vectra AI l'exploitation des vulnérabilités en partant du principe que le système a déjà été compromis. Plutôt que de se fier uniquement à l'application de correctifs basés sur les CVE, Vectra AI Attack Signal Intelligence » Vectra AI Attack Signal Intelligence sur la détection des comportements adoptés par les attaquants après avoir exploité des vulnérabilités, que ces CVE soient connues, inconnues ou zero-day ». Cette méthodologie permet aux défenseurs d'identifier les schémas d'exploitation tels que les mouvements latéraux, l'escalade de privilèges et l'exfiltration de données, quel que soit le CVE spécifique impliqué, comblant ainsi le fossé entre la divulgation de la vulnérabilité et la réponse de l'organisation.

Tendances futures et considérations émergentes

Le secteur de la divulgation des vulnérabilités entre dans une période de mutations structurelles rapides. Au cours des 12 à 24 prochains mois, plusieurs évolutions vont redéfinir la manière dont les organisations identifient, hiérarchisent et traitent les CVE.

Le volume continuera de croître. La projection médiane de FIRST, qui table sur 59 427 nouvelles vulnérabilités (CVE) pour 2026, représente une nouvelle hausse de 23 % par rapport au record de 2025. Les frameworks d'IA (Langflow, Semantic Kernel) et les plans de contrôle d'entreprise (appareils SD-WAN, infrastructure d'identité, outils de migration) ouvrent la voie à de nouvelles catégories de vulnérabilités qui n'existaient pratiquement pas il y a deux ans. Les équipes de sécurité devraient planifier leurs effectifs et leurs outils en partant du principe que le volume quotidien de CVE dépassera les 160 entrées d'ici fin 2026.

Les exigences réglementaires vont se durcir. La loi européenne sur la cyber-résilience (CRA) entrera en vigueur en septembre 2026 et imposera aux fournisseurs de signaler les vulnérabilités activement exploitées dans un délai de 24 heures. La directive NIS2 impose déjà une gestion des vulnérabilités fondée sur les risques aux entités essentielles et importantes dans toute l'Union européenne. Aux États-Unis, l'audit du NVD mené par l'OIG du département du Commerce pourrait entraîner des changements structurels dans la manière dont le NIST enrichit les données sur les vulnérabilités. Les organisations opérant dans plusieurs juridictions doivent se préparer à des obligations de déclaration qui se chevauchent entre les référentiels CVE, EUVD et GCVE.

La décentralisation apportera à la fois de la résilience et des frictions. L'émergence de l'EUVD et du GCVE introduit une redondance — une précaution précieuse contre les points de défaillance uniques, comme la crise de financement de 2025. Mais elle pose également des défis en matière de coordination. Une vulnérabilité répertoriée dans le GCVE portera-t-elle le même identifiant dans le CVE ? Comment le NVD gérera-t-il l'enrichissement des entrées provenant de sources extérieures à la hiérarchie traditionnelle des CNA ? Ces questions restent sans réponse et exigeront l'attention tant des décideurs politiques que des professionnels du secteur.

Le tri des CVE assisté par l'IA deviendra la norme. Face à l'accumulation persistante des CVE dans la base de données nationale des vulnérabilités (NVD) et à l'augmentation du volume, les organisations qui continuent de s'appuyer sur un examen manuel des CVE prendront encore plus de retard. Il faut s'attendre à une adoption plus généralisée des moteurs de corrélation automatisés, des modèles de prédiction de l'exploitabilité basés sur l'IA et à l'intégration des données SBOM dans les processus de gestion des vulnérabilités.

Priorité d'investissement : les organisations doivent prévoir dans leur budget des solutions de corrélation automatisée des CVE, des outils SBOM et des capacités de détection comportementale fonctionnant indépendamment des attributions de CVE spécifiques, car la prochaine faille critique pourrait apparaître avant même qu'un identifiant CVE ne lui soit attribué.

Conclusion

Le CVE reste le pilier sur lequel repose la manière dont la communauté de la cybersécurité identifie les vulnérabilités et communique à leur sujet. Depuis ses débuts en 1999 jusqu’au nombre record de 48 185 entrées publiées en 2025, le système s’est développé parallèlement à une surface d’attaque en constante expansion. Mais cette expansion s’accompagne de défis : la crise de financement de 2025, le retard accumulé dans l’enrichissement de la base de données NVD, ainsi que l’émergence de l’EUVD et du GCVE sont autant de signes indiquant que l’écosystème des vulnérabilités se diversifie.

Pour les équipes de sécurité, la conclusion pratique est qu'il faut mettre en place des processus qui ne se limitent pas au seul référentiel CVE. Il convient de combiner le suivi des CVE avec une hiérarchisation des risques basée sur le catalogue KEV de la CISA, de compléter les données du NVD à l'aide de multiples sources d'enrichissement, et d'investir dans la détection comportementale capable de repérer les tentatives d'exploitation, qu'un identifiant CVE ait été attribué ou non. Les attaquants les plus dangereux — ceux qui ciblent votre organisation — n'attendront pas qu'un identifiant CVE soit attribué avant de passer à l'action.

Pour découvrir comment Vectra AI les entreprises Vectra AI détecter les comportements post-exploitation dans cloud réseau, d'identité et cloud , consultez la Vectra AI plateforme.

Foire aux questions

Que signifie CVE ?

CVE signifie « Common Vulnerabilities and Exposures » (vulnérabilités et expositions communes). La société MITRE a créé ce système en 1999 afin de fournir un moyen normalisé d'identifier les vulnérabilités de cybersécurité rendues publiques. Chaque entrée CVE reçoit un identifiant unique au format CVE-ANNÉE-NUMÉRO (par exemple, CVE-2021-44228 pour la faille Log4Shell). Le terme « Common » (commun) dans le nom reflète son objectif principal : créer une référence partagée que tous les outils de sécurité, fournisseurs et analystes peuvent utiliser. Avant le CVE, différentes organisations utilisaient souvent des noms différents pour désigner la même faille, ce qui rendait la coordination lente et peu fiable. Aujourd’hui, le programme CVE.org répertorie plus de 308 000 entrées et est intégré à pratiquement tous les scanners de vulnérabilités, SIEM et plateforme de gestion des correctifs plateforme le marché. La CISA finance ce programme en tant que bien public au service de la communauté mondiale de la cybersécurité.

Comment les identifiants CVE sont-ils attribués ?

Les identifiants CVE sont attribués par les autorités de numérotation CVE (CNA) — des organisations habilitées à délivrer des identifiants CVE dans un champ d'application défini. En 2025, 365 CNA actives opèrent dans le cadre du programme, allant des principaux éditeurs de logiciels aux organismes de recherche en sécurité tels que Patchstack et VulDB. Lorsqu'un chercheur découvre une vulnérabilité, il la soumet à la CNA compétente (généralement l'éditeur concerné) ou via le formulaire de demande de CVE.org. La CNA valide le rapport, vérifie qu'il répond aux critères d'inclusion et attribue un identifiant CVE. L'enregistrement est ensuite publié sur CVE.org avec une description et des références. En 2025, 1 787 soumissions ont été rejetées (soit un taux de rejet de 3,58 %), généralement parce que le problème faisait double emploi avec une entrée existante ou ne répondait pas aux critères du programme.

Quelle est la différence entre le CVE et le CVSS ?

Les systèmes CVE et CVSS remplissent des fonctions complémentaires mais distinctes. Le CVE fournit un identifiant unique pour une vulnérabilité spécifique : il répond à la question « quelle est la faille ? ». Le CVSS (Common Vulnerability Scoring System), géré par FIRST, attribue une note numérique de gravité sur une échelle de 0 à 10 : il répond à la question « quelle est la gravité de la faille ? ». Par exemple, CVE-2021-44228 (Log4Shell) est l'identifiant ; son score CVSS de 10,0 indique une gravité maximale. Une entrée CVE peut exister sans score CVSS (et environ 44 % des entrées récentes du NVD n'en ont pas en raison du retard accumulé dans l'enrichissement des données), mais un score CVSS fait toujours référence à un CVE spécifique. Dans la pratique, les équipes de sécurité utilisent les identifiants CVE pour suivre les failles individuelles et les scores CVSS pour aider à hiérarchiser les mesures correctives — bien que les experts recommandent de plus en plus de compléter le CVSS par le statut CISA KEV et les renseignements sur les exploits pour obtenir un classement des risques plus précis.

Quelle est la différence entre le CVE et le NVD ?

Le CVE est le système d'identification qui attribue des identifiants uniques aux vulnérabilités. La National Vulnerability Database (NVD), gérée par le NIST, est un système distinct qui reprend les entrées du CVE et les enrichit de données supplémentaires : scores de gravité CVSS, données CPE (Common plateforme ) identifiant les produits concernés, ainsi que des références aux correctifs et aux mises à jour. Considérez le CVE comme un certificat de naissance et la NVD comme un dossier médical détaillé. Le CVE vous indique qu'une vulnérabilité existe ; la NVD vous indique son niveau de gravité et les versions logicielles spécifiques concernées. Cette distinction est importante d'un point de vue pratique, car le retard accumulé dans l'enrichissement de la NVD signifie que tous les CVE ne font pas l'objet d'une analyse NVD en temps opportun. Les équipes qui s'appuient uniquement sur la NVD pour établir leurs priorités risquent de passer à côté de CVE récemment publiés qui n'ont pas encore été notés.

Combien de CVE ont été publiés ?

Depuis son lancement en 1999, le programme CVE a répertorié plus de 308 000 vulnérabilités. Rien qu'en 2025, un nombre record de 48 185 CVE a été publié, soit une augmentation de 20,6 % par rapport aux 39 962 de 2024. FIRST prévoit une médiane de 59 427 nouveaux CVE pour 2026, poursuivant ainsi la tendance à la hausse. La répartition des niveaux de gravité en 2025 se présentait comme suit : 8,3 % critiques, 31,1 % élevées, 53,0 % moyennes et 3,2 % faibles. Malgré ces volumes, seule environ 1 % des CVE publiées sont confirmées comme ayant été exploitées en milieu réel, ce qui explique pourquoi une hiérarchisation basée sur les risques — à l'aide d'outils tels que le catalogue KEV de la CISA — est essentielle. Les principales autorités de numérotation CVE en termes de volume en 2025 étaient Patchstack (7 007), VulDB (5 902) et Linux (5 686), reflétant la contribution importante des écosystèmes open source et des applications web.

Qu'est-il advenu du financement du programme CVE en 2025 ?

En avril 2025, le programme CVE a été confronté à une crise existentielle lorsque le contrat de MITRE avec le DHS pour l'exploitation du système a expiré sans qu'aucun renouvellement n'ait été prévu. SecurityWeek a rapporté que la direction de MITRE avait mis en garde contre une « détérioration potentielle » du programme. Le 16 avril 2025, la CISA a obtenu une prolongation provisoire de 11 mois, et la Fondation CVE a été créée en tant qu'organisation à but non lucratif afin de promouvoir une gouvernance à long terme. En janvier 2026, CSO Online a confirmé que le conseil d'administration du CVE avait été informé qu'il n'y aurait « pas de rupture de financement en mars », le CVE ayant été élevé au rang de programme central de la CISA. La crise a incité l'UE à accélérer le développement de l'EUVD et a favorisé la création du GCVE, tous deux conçus pour réduire la dépendance vis-à-vis d'un programme unique financé par les États-Unis.

Qu'est-ce que le catalogue CISA KEV ?

Le catalogue « Known Exploited Vulnerabilities » (KEV) de la CISA est une liste sélectionnée de CVE dont l'exploitation active a été confirmée dans le cadre d'attaques réelles. Contrairement au catalogue CVE complet — qui compte plus de 308 000 entrées —, le catalogue KEV se concentre exclusivement sur le petit sous-ensemble de vulnérabilités que cybercriminels réellement. À la fin de l'année 2025, il comptait 1 483 entrées, avec 244 nouvelles entrées ajoutées au cours de l'année (soit une augmentation de 28 %). En vertu de la directive opérationnelle contraignante 22-01, agences gouvernementales américaines agences gouvernementales corriger les entrées du catalogue KEV dans les délais impartis. Pour les organisations non fédérales, le catalogue KEV constitue l’un des outils de hiérarchisation les plus pratiques qui soient : un signal trié sur le volet qui fait le tri parmi plus de 48 000 CVE annuels pour mettre en évidence ceux qui présentent un risque immédiat et avéré.