CVE (Common Vulnerabilities and Exposures).

CVE est un programme lancé par MITRE en 1999 et parrainé au niveau fédéral par la CISA/DHS américaine, qui attribue des identifiants uniques au niveau mondial (par exemple CVE-2014-0160) aux vulnérabilités divulguées publiquement. Chaque entrée comprend une description courte, des références vers les avis de sécurité et la liste des produits affectés. L'attribution est fédérée entre des centaines de CVE Numbering Authorities (CNA) — éditeurs, projets open source et centres de coordination — qui allouent des identifiants dans leur propre périmètre.

CVE ne note pas la gravité ; CVSS, EPSS et la liste KEV de la CISA viennent s'ajouter par-dessus. Un détail pratique souvent négligé : la syntaxe des identifiants a changé à compter de janvier 2015. L'ancien format CVE-YYYY-NNNN plafonnait chaque année à 9 999 fiches, si bien que des numéros de longueur arbitraire sont désormais autorisés (d'où CVE-2021-44228). Les fiches sont publiées au format JSON via les CVE Services sur cve.org, remplaçant l'ancienne « CVE List » au format texte.

La fragilité du programme a été exposée en avril 2025, lorsque MITRE a averti que son contrat avec le DHS expirerait le 16 ; la CISA a accordé une prolongation de dernière minute de 11 mois, et en janvier 2026 le conseil signalait l'absence de nouvelle « falaise de financement ». Les équipes de sécurité utilisent les identifiants CVE pour corréler résultats de scanners, correctifs éditeur, renseignement sur les menaces et données SBOM au sein d'un même flux de remédiation.

flowchart LR
  R[Un chercheur ou un editeur decouvre une faille] --> C[Une CNA reserve un identifiant CVE]
  C --> P[Fiche CVE publique sur cve.org]
  P --> N[Enrichissement NVD et CVSS]
  N --> E[Score EPSS et verification KEV de la CISA]
  E --> D[Les defenseurs priorisent et corrigent]