CVE : définition, format, écosystème (NVD, EUVD) en 2026

1999  Création par David E. Mann et Steven M. Christey (MITRE)
      Article fondateur : « Towards a Common Enumeration of Vulnerabilities »
      Objectif : éviter la confusion entre vendeurs et chercheurs
      qui parlaient de la même vulnérabilité avec différents noms
 
2005  CISA (alors DHS) commence à financer le programme
 
2014  CVE Numbering Authority (CNA) program étendu
      Élargissement au-delà de MITRE
 
2016  Format CVE-ID étendu (passage à 7+ chiffres possibles)
 
2024  Crise budgétaire MITRE (avril 2025) : financement
      brièvement menacé par l'administration Trump 2 puis renouvelé
      Lance le débat sur dépendance US et alternative européenne
 
2025  Lancement officiel EUVD par ENISA
      Publication EUVD opérationnelle au cours 2025
 
2026  Coexistence NVD + EUVD
      380+ CNAs actifs dans le monde
      30 000+ CVE publiées en 2025 (record)

Acteurs principaux :
 
  MITRE Corporation
    Opérateur historique du programme
    Maintient cve.mitre.org (interface principale)
    Coordonne les CNAs
 
  CISA (Cybersecurity and Infrastructure Security Agency)
    Financement principal du programme
    Maintient le KEV catalog (Known Exploited Vulnerabilities)
 
  CVE Board
    Gouvernance du programme
    Décisions stratégiques
 
  CNAs (CVE Numbering Authorities)
    380+ organisations en 2026 dont :
    GitHub, Microsoft, Apple, Google, Cisco
    ANSSI (France), BSI (Allemagne), NCSC (UK)
    Ils peuvent attribuer des CVE-IDs sans demander à MITRE

Format : CVE-YYYY-NNNN
 
  CVE   : préfixe fixe
  YYYY  : année d'attribution (4 chiffres)
  NNNN  : numéro séquentiel (4 chiffres minimum, peut s'étendre)
 
Exemples :
  CVE-2024-3094       (XZ Utils backdoor, 4 chiffres)
  CVE-2021-44228      (Log4Shell, 5 chiffres)
  CVE-2014-0160       (Heartbleed, 4 chiffres)
  CVE-2024-23733      (exemple long format)
 
Évolution :
  Avant 2014 : 4 chiffres maximum (CVE-1999-0001 à CVE-2013-9999)
  Après 2014 : extension à 4-7+ chiffres pour absorber le volume
  Ex. année 2024 a dépassé 30 000 CVE publiées

RESERVED      : ID attribué mais pas encore publié
                Vulnerability sous embargo / responsible disclosure
                
DISCLOSED     : publié officiellement sur cve.mitre.org
 
REJECTED      : entrée invalide (doublon, faux positif, erreur)
                Reste visible avec tag REJECTED pour traçabilité
 
DISPUTED      : contestée techniquement
                Souvent désaccord vendeur vs chercheur
 
UNAVAILABLE   : retirée temporairement (rare)

Étape 1 - Découverte
  Chercheur, équipe sécurité, ou outil automatique trouve la faille
  
Étape 2 - Vérification interne
  Reproduction et confirmation
  Évaluation impact
 
Étape 3 - Notification au vendeur (responsible disclosure)
  Délai standard 90 jours (Google Project Zero)
  Variations : 30 jours, 120 jours selon politique
 
Étape 4 - Demande de CVE-ID au CNA
  Le vendeur (s'il est CNA) attribue lui-même
  Sinon, demande à MITRE ou CNA tiers
 
Étape 5 - Statut RESERVED
  ID attribué, pas encore publié
  Travail correctif en cours côté vendeur
 
Étape 6 - Patch ou mitigation prête
  Coordination calendrier de divulgation
 
Étape 7 - Publication coordonnée
  Vendeur publie advisory + patch
  CVE devient publique sur cve.mitre.org
  NVD ingère et enrichit (CVSS, CPE, CWE, références)
  EUVD ingère également depuis 2025
 
Étape 8 - Surveillance post-disclosure
  Monitoring exploitation (KEV CISA)
  Mise à jour du score CVSS si nouvelle info
  Ajout EPSS score

Découverte → notification : variable (heures à mois)
Notification → CVE reservation : 1-7 jours
Reservation → publication : 30-180 jours selon vendeur
Publication NVD : généralement < 24h après MITRE
Publication EUVD : 1-3 jours après MITRE
Ajout au KEV CISA : si exploitation observée, peut être quelques heures à semaines
EPSS scoring : automatique dans les jours qui suivent

CVE     : CVE-2021-44228
CWE     : CWE-502 (Deserialization of Untrusted Data)
          CWE-20 (Improper Input Validation)
          CWE-917 (Improper Neutralization of Special Elements
                   used in an Expression Language Statement)
CVSS    : 10.0 (Critical)
CPE     : cpe:2.3:a:apache:log4j:2.14.1:*:*:*:*:*:*:*
          (et toutes versions vulnérables)

Métriques CVSS v4.0 :
 
  Base Metrics (caractéristiques intrinsèques) :
    Attack Vector (AV) : Network, Adjacent, Local, Physical
    Attack Complexity (AC) : Low, High
    Attack Requirements (AT) : nouveau v4.0
    Privileges Required (PR) : None, Low, High
    User Interaction (UI) : None, Passive, Active
    Vulnerable System Impact (VC, VI, VA)
    Subsequent System Impact (SC, SI, SA)
 
  Threat Metrics (état d'exploitation actuel) :
    Exploit Maturity : Not Defined, Unreported, POC, Attacked
 
  Environmental Metrics (contexte client) :
    Modified Base Metrics
    Confidentiality / Integrity / Availability requirements
 
  Supplemental Metrics (informatif) :
    Safety, Automatable, Recovery, Value Density, etc.
 
Score final : 0.0 à 10.0
Sévérité : None / Low (0.1-3.9) / Medium (4.0-6.9) / High (7.0-8.9) / Critical (9.0-10.0)

URL : nvd.nist.gov
 
Apport sur top des CVE MITRE :
  Score CVSS v3.x et v4.0
  CPE (produits affectés) précis
  CWE associés
  References (advisories, patches, exploits)
  Métadonnées et timestamps
 
Avantages :
  Maturité (depuis 2005)
  Volume de données
  Intégration tools sécurité du monde entier
 
Limites :
  Délais d'enrichissement parfois longs (semaines)
  Backlog historique 2024 (crise CVE program)
  Dépendance budget américain

URL : euvd.enisa.europa.eu
 
Apport :
  Source européenne souveraine
  Aggrégation MITRE CVE + sources EU
  Contributions CSIRTs nationaux EU
  Vendors européens mieux représentés
  Conformité NIS2 et Cyber Resilience Act facilitée
 
Coexistence :
  EUVD ne remplace pas MITRE CVE
  Synchronisation en grande partie
  Identifiants : CVE-YYYY-NNNN (standard) + EUVD-YYYY-NNNNN (interne)
  Une vuln peut avoir les deux IDs
 
Statut 2026 :
  Encore en phase de maturation
  Adoption progressive par tools sécurité
  Référence officielle pour entités EU régulées

URL : cisa.gov/known-exploited-vulnerabilities-catalog
 
Critères d'ajout :
  CVE assignée
  Évidence d'exploitation active
  Action de remédiation claire (patch, mitigation)
 
Volume 2026 :
  Plus de 1100 CVE dans le KEV catalog
  Ajouts hebdomadaires typiques
 
Usage :
  Priorité absolue de patching pour entités fédérales US
  De facto standard mondial pour priorisation
  Référence intégrée dans la plupart des outils VM

URL : first.org/epss
 
Format :
  Score 0-100 % (probabilité)
  Mise à jour quotidienne
  Basé sur ML (machine learning) entraîné sur exploitations historiques
 
Usage complémentaire CVSS :
  CVSS = sévérité théorique
  EPSS = probabilité réelle d'exploitation
  EPSS High + KEV = patch immédiat
  CVSS High + EPSS Low = patch planifié

GitHub Advisory Database (github.com/advisories)
  Focus dépendances OSS (npm, PyPI, Maven, RubyGems, Go, NuGet, Composer)
  CVE + GHSA-IDs
 
OSV.dev (Open Source Vulnerabilities, Google)
  Aggrège GitHub, PyPA, Go, etc.
  Très utilisé pour SCA (Software Composition Analysis)
 
ANSSI CERT-FR
  Bulletins en français
  Avis CERTFR-AVI-NNNN
 
VulnCheck, Recorded Future, Mandiant Advantage
  Threat intelligence enrichie commerciale
 
CVEDetails.com
  Frontend gratuit consultable
 
Vulners.com
  Aggregator avec API

Commerciaux :
  Tenable Nessus / Tenable.io / Tenable.sc
  Qualys VMDR
  Rapid7 InsightVM
  Microsoft Defender for Cloud
  AWS Inspector
 
Open source :
  OpenVAS / Greenbone Community Edition
  Nuclei (CVE templates)
  Trivy (containers + dépendances)
  Grype (containers)
  OSV-Scanner (Google, dépendances OSS)

Wiz, Orca Security, Lacework
Palo Alto Prisma Cloud
CrowdStrike Falcon Cloud Security
Sysdig Secure
Aqua Security

Snyk (commercial freemium)
Dependabot (GitHub, gratuit)
Mend (ex-WhiteSource)
Black Duck (Synopsys)
JFrog Xray
GitLab Dependency Scanning

nuclei -t cves/2024 (ProjectDiscovery)
trivy fs / trivy image
osv-scanner
grype
syft (SBOM generation)

Date : avril 2014
Produit : OpenSSL 1.0.1
Type : buffer over-read
CVSS v2 : 5.0 (Medium) - sous-évalué historiquement
 
Impact :
  Lecture de mémoire serveur sans authentification
  500 000+ serveurs vulnérables exposés Internet
  Fuite potentielle de clés privées TLS et secrets
  Une des premières CVE avec logo et site dédié

Date : mars 2017
Produit : Microsoft Windows SMBv1
Type : buffer overflow remote
CVSS v3 : 8.1 (High)
 
Impact :
  Exploit développé par NSA, fuité par Shadow Brokers
  Alimente WannaCry (mai 2017) : 200 000+ machines, 150+ pays
  Alimente NotPetya (juin 2017) : 10 milliards USD de dégâts
  Catalyseur de l'urgence de patcher SMBv1

Date : décembre 2021
Produit : Apache Log4j 2.x (avant 2.15.0)
Type : RCE via JNDI lookup dans logging
CVSS v3 : 10.0 (Critical Maximum)
 
Impact :
  Exploitation triviale (1 seule chaîne dans n'importe quel log)
  Présent dans des milliers d'apps Java enterprise
  Exploitation massive sous 24-48h
  Corrections CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 suivent
  Devenu cas d'école supply chain

Date : mars 2024
Produit : XZ Utils 5.6.0 et 5.6.1
Type : Supply chain attack avec backdoor SSH
CVSS v3 : 10.0 (Critical Maximum)
 
Impact :
  Tentative APT sophistiquée (probablement état-nation)
  Contributeur sous pseudonyme « Jia Tan » 2 ans de social engineering
  Découvert in extremis par Andres Freund (Microsoft) avant déploiement large
  Aurait pu compromettre des millions de serveurs SSH
  Cas de référence pour la sécurité des dépendances OSS

Date : juillet 2021
Produit : Windows Print Spooler
Type : RCE via Point and Print
CVSS v3 : 8.8 (High)
 
Impact :
  Exploit local et réseau
  Difficile à patcher complètement (multiples CVE successives)
  Recommandation finale : désactiver Print Spooler sur DC

Date : mai 2022
Produit : Microsoft Windows MSDT (Microsoft Support Diagnostic Tool)
Type : RCE via document Office
CVSS v3 : 7.8 (High)
 
Impact :
  Document Word ouvert = exécution code
  Largement exploité dans phishing d'État
  Patch Microsoft retardé, mitigation manuelle obligatoire

Date : mars 2023
Produit : Microsoft Outlook
Type : Zero-click NTLM hash leak via reminder UNC path
CVSS v3 : 9.8 (Critical)
 
Impact :
  Email reçu = hash NTLM exfiltré sans interaction
  Exploité par APT28 (Russie) avant disclosure
  Patch Tuesday majeur

Priorité CRITIQUE (patch sous 24-72h) :
  CVSS Critical (9.0+) ET
  KEV CISA (exploitation active) OU
  EPSS > 70 % OU
  Asset critique exposé Internet
 
Priorité HAUTE (patch sous 7-14 jours) :
  CVSS High (7.0-8.9) ET
  EPSS 30-70 % OU
  Asset interne critique
 
Priorité MOYENNE (patch sous 30 jours) :
  CVSS Medium-High ET
  EPSS < 30 % ET
  Asset standard
 
Priorité BASSE (patch dans cycle régulier) :
  CVSS Low ou
  EPSS < 5 % et
  Asset isolé
 
Exception :
  Toute CVE en KEV CISA = priorité critique quel que soit CVSS

KPIs Vulnerability Management :
 
  Time to Patch (TTP) par criticité
    Critical : < 72 h
    High : < 14 jours
    Medium : < 30 jours
 
  Couverture scanning : % d'assets scannés régulièrement
    Cible : 100 % en CSPM cloud, > 95 % on-prem
 
  Backlog CVE : nombre de CVE non patchées
    Suivi mensuel
    Dérive = signal d'alerte
 
  Mean Time to Mitigate (MTTM)
    Différent du patch (peut être configuration temporaire)
 
  KEV exposure : combien de KEV CVE actives dans le SI
    Cible : 0

URL : cert.ssi.gouv.fr
 
Types d'avis :
  CERTFR-AVI-YYYY-NNNN : avis de sécurité (vulnérabilités)
  CERTFR-ALE-YYYY-NNNN : alertes (attaques en cours)
  CERTFR-IOC-YYYY-NNNN : partage IOCs
  CERTFR-CTI-YYYY-NNNN : Cyber Threat Intelligence
 
Cible :
  OIV (Opérateurs d'Importance Vitale)
  OSE (Opérateurs de Services Essentiels)
  Administrations
  Entreprises françaises
 
Apport vs CVE/NVD :
  Contextualisation française
  Recommandations ANSSI
  Référence pour conformité LPM

Obligations CRA en lien avec CVE :
 
  Reporter les vulnérabilités exploitées sous 24h à ENISA
  Maintenir la sécurité pendant la durée de support attendue
  Documentation publique des vulnérabilités résolues
  Procédure coordonnée de divulgation
  Notification à ENISA via plateforme EUVD
 
Sanctions :
  Jusqu'à 15 M EUR ou 2,5 % du CA mondial
 
Application :
  Dispositions de notification : septembre 2026
  Application complète : décembre 2027

Notifications email :
  NIST NVD email subscription
  CISA KEV email
  CERT-FR alertes par secteur
 
Flux RSS / Atom :
  cve.mitre.org RSS
  nvd.nist.gov RSS
  cert.ssi.gouv.fr RSS
 
Plateformes :
  CVEDetails.com (gratuit, recherche avancée)
  Vulners.com (API gratuit limité)
  VulnCheck (commercial, threat intel)
  Recorded Future Vulnerability Intelligence
 
Telegram / Discord channels :
  Multiples canaux communautaires
  Veille temps réel

GitHub Dependabot
  Alertes sur dépendances vulnérables
  PR automatiques de mise à jour
 
Snyk dashboard
  Vue produit complète
  Intégration CI/CD
 
OSS Index (Sonatype, gratuit)
  API pour scan dépendances
 
socket.dev
  Détection packages malveillants OSS
  Behavioral analysis

Twitter/X comptes à suivre :
  @CVE_Program
  @CISACyber
  @cyber_gouv (ANSSI)
  @kalimer0x00, @nicolaskrassas (researchers)
 
Newsletters :
  TLDRSec (Clint Gibler)
  SANS NewsBites
  Krebs on Security
  CISO Series
  Risky.biz
 
Podcasts :
  Risky Business
  SANS Internet Stormcenter daily

Conséquences observées 2025-2026 :
 
  Accélération de l'EUVD ENISA (lancement officiel 2025)
  Discussions sur la dépendance globale au programme MITRE
  Émergence de discussions sur fonds décentralisés
  Renforcement des bases nationales (CERT-FR, BSI, NCSC)
 
Prospective :
  Probable maintien programme MITRE 2026-2027
  Coexistence durable NVD / EUVD
  Possibilité de fork ou alternative en cas de nouvelle crise

Volumes annuels publiés :
 
  2010 : ~4 600 CVE
  2015 : ~6 500 CVE
  2020 : ~18 000 CVE
  2022 : ~25 000 CVE
  2024 : ~28 000 CVE
  2025 : ~30 000+ CVE (record)
  2026 : projection ~35 000 CVE
 
Causes croissance :
  Plus de chercheurs et programmes bug bounty
  Plus de CNAs (380+ en 2026)
  Outils automatiques de fuzzing et scan
  Maturité programme
 
Conséquence :
  Impossibilité de tout patcher
  Priorisation sur signaux croisés (CVSS, KEV, EPSS)