Qui est l'ANSSI, à quoi sert une CVE, comment lire un score CVSS, et comment automatiser la veille sur les vulnérabilités de ce que vous faites tourner.
L'ANSSI, autorité française de la cybersécurité
L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est le service de l'État français chargé de la cybersécurité. Rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN), ses missions couvrent un large spectre :
- Prévention : publication de guides et de recommandations techniques (durcissement système, cryptographie, architecture réseau).
- Défense : le CERT-FR (Computer Emergency Response Team français), qui publie quotidiennement avis et alertes de sécurité.
- Réglementation : qualifications et certifications de produits et prestataires (CSPN, SecNumCloud, PASSI pour les auditeurs, PRIS pour la réponse à incident).
- Réponse à incident : accompagnement des victimes d'attaques, en particulier les Opérateurs d'Importance Vitale (OIV) et Opérateurs de Services Essentiels (OSE).
Avis et alertes CERT-FR
Le CERT-FR publie sur cert.ssi.gouv.fr deux types de bulletins :
| Type | Contenu |
|---|---|
| Avis (AVI) | Vulnérabilité(s) publiée(s) par un éditeur, avec un correctif disponible — recense les CVE concernées et les versions affectées/corrigées. |
| Alerte (ALE) | Vulnérabilité activement exploitée ou à fort risque, sans forcément de correctif immédiat disponible — nécessite une action urgente (mesure de contournement, isolation). |
Ces bulletins sont disponibles en flux RSS, pratique pour une veille automatisée sans avoir à consulter le site chaque jour.
Les CVE : un identifiant, pas une gravité
Une CVE (Common Vulnerabilities and Exposures) est un identifiant unique attribué à une vulnérabilité connue, au format CVE-AAAA-NNNNN (année d'attribution, pas nécessairement de découverte, suivi d'un numéro séquentiel). Le système est maintenu par MITRE et financé par la CISA (agence américaine), mais l'attribution des identifiants est déléguée à des centaines d'organismes appelés CNA (CVE Numbering Authorities) — éditeurs de logiciels, distributions Linux, chercheurs indépendants.
Point important : une CVE est une référence, pas une mesure de gravité. Elle décrit qu'une vulnérabilité existe, dans quel produit, et quelles versions sont affectées — mais ne dit rien en soi sur le risque réel. C'est le rôle du score CVSS.
Le score CVSS
Le CVSS (Common Vulnerability Scoring System) attribue une note de 0 à 10 à chaque CVE, calculée à partir de plusieurs métriques : vecteur d'attaque (réseau, local, physique), complexité, privilèges requis, interaction utilisateur nécessaire, impact sur la confidentialité/intégrité/disponibilité.
| Score CVSS | Sévérité |
|---|---|
| 0.1 – 3.9 | Faible |
| 4.0 – 6.9 | Moyenne |
| 7.0 – 8.9 | Élevée |
| 9.0 – 10.0 | Critique |
Un score élevé ne veut pas dire "à corriger en premier" pour autant : un CVSS 9.8 sur un logiciel que vous n'exposez jamais à Internet est moins urgent qu'un CVSS 7.5 sur un service exposé publiquement. Le contexte d'exposition prime toujours sur le score brut.
Où consulter les CVE
- cve.org — la base officielle MITRE, recherche par identifiant ou mot-clé.
- nvd.nist.gov (National Vulnerability Database) — reprend les CVE de MITRE en y ajoutant le score CVSS calculé, les CWE associées (catégorie de faiblesse) et des références externes.
- cert.ssi.gouv.fr — vision française, avec le contexte d'exploitation et les recommandations associées.
Outillage : scanner ses propres services
Suivre les avis un par un ne suffit pas à grande échelle. Des outils automatisent la détection de CVE connues sur ce qui tourne réellement :
# Scanner une image Docker à la recherche de CVE connues
trivy image nginx:latest
# Scanner les dépendances Python d'un projet
pip-audit
# Scanner les dépendances Node.js
npm audit
Trivy (Aqua Security) est particulièrement utile pour l'auto-hébergement : il scanne aussi bien des images de conteneurs que des systèmes de fichiers ou des dépôts Git, et croise le contenu avec plusieurs bases de vulnérabilités (dont NVD).
Le cycle de vie d'une vulnérabilité
| Étape | Description |
|---|---|
| Découverte | Par un chercheur, un éditeur, ou lors d'un audit/pentest |
| Divulgation responsable | Signalement privé à l'éditeur, délai convenu avant publication (souvent 90 jours) |
| Attribution CVE | Un CNA attribue un identifiant, parfois avant la publication du correctif |
| Publication du correctif | L'éditeur publie une mise à jour corrigeant la faille |
| Publication publique de la CVE | Détails techniques rendus publics, score CVSS calculé |
| Exploitation potentielle | Un exploit "day-one" ou "N-day" peut apparaître rapidement après la publication — d'où l'urgence de patcher vite après un avis |
Le cas le plus dangereux reste le 0-day : une vulnérabilité exploitée activement avant qu'un correctif n'existe. C'est typiquement ce que couvrent les alertes (ALE) du CERT-FR, avec des mesures de contournement en attendant le correctif officiel.
En résumé
- L'ANSSI et son CERT-FR publient quotidiennement avis (correctif disponible) et alertes (exploitation active, urgence).
- Une CVE identifie une vulnérabilité, pas sa gravité — c'est le CVSS qui score le risque technique, à pondérer selon son propre contexte d'exposition.
- NVD et cve.org sont les références pour rechercher une CVE ; cert.ssi.gouv.fr donne le contexte français et les recommandations.
- Des outils comme Trivy, pip-audit ou npm audit permettent une veille automatisée sur ce qui tourne réellement, plutôt que de suivre les avis un par un.
- Un patch management efficace priorise selon l'exposition réelle du service, pas uniquement selon le score CVSS affiché.
- Se connecter pour publier des commentaires