CVE (vulnérabilité référencée)
Une CVE est un identifiant public et unique attribué à une vulnérabilité de sécurité connue, permettant de la référencer et d'en suivre la correction.
CVE (vulnérabilité référencée)
Une CVE (Common Vulnerabilities and Exposures) est une référence publique et unique attribuée à une vulnérabilité de sécurité identifiée dans un logiciel ou un composant.
En clair
Le système CVE attribue un identifiant unique et public à chaque vulnérabilité de sécurité connue. Cet identifiant sert de langage commun : éditeurs, chercheurs, équipes de sécurité et outils peuvent désigner sans ambiguïté une faille donnée, suivre son existence et coordonner sa correction. Une CVE décrit l'existence d'une vulnérabilité, indépendamment d'un score de gravité particulier.
Ce que ça implique
Référencer les vulnérabilités via les CVE permet d'organiser leur gestion : veille, identification des composants affectés dans son parc, priorisation et application des correctifs. La gravité d'une CVE est généralement évaluée par des systèmes de notation distincts, qui aident à hiérarchiser, mais l'impact réel dépend toujours du contexte d'usage. La gestion des vulnérabilités suppose donc d'articuler la veille CVE avec une connaissance précise de son propre système d'information.
En mission / dans la pratique
Un consultant freelance s'appuie sur les CVE dans la gestion des vulnérabilités chez un client : mise en place d'une veille, corrélation avec l'inventaire des composants, priorisation des correctifs en fonction de l'exposition et de la criticité. Il aide à structurer un processus de remédiation et à mesurer la dette de sécurité. Lors d'un test d'intrusion ou d'un audit, il rattache les faiblesses constatées aux CVE pertinentes pour fiabiliser le diagnostic et le plan d'action.
À ne pas confondre
La CVE désigne une vulnérabilité précise et identifiée, là où l'OWASP décrit des catégories de risques applicatifs. Les CVE sont souvent mises en évidence lors d'un pentest ou d'un audit de sécurité, et leur suivi peut être enrichi par la Threat Intelligence.
ForTeam IT à vos côtés
Vous recherchez une mission ou un consultant expert sur ce sujet ? ForTeam IT met en relation des consultants IT freelance sélectionnés avec des grands comptes, ETI et scale-ups partout en France. Consultez aussi notre grille des TJM freelance IT et nos expertises par technologie.
À lire aussi
Vous êtes consultant IT freelance ?
Rejoignez ForTeam IT et accédez à des missions sélectionnées chez nos clients grands comptes.
Rejoindre la communauté