Rechercher
  • Laetitia M

CVE: pourquoi il est important de vérifier régulièrement les bases de données publiques

Mis à jour : 9 oct. 2019

Les CVEs, ou Common Vulnerabilities and Exposures (Vulnérabilités et Expositions Communes, en français) est un dictionnaire d’informations publiques qui recense et attribue un identifiant à chaque menace ou vulnérabilité de cybersécurité découverte. L’accès, l’utilisation et le téléchargement de son contenu est gratuit. Il est maintenu par l’organisme à but non lucratif américain MITRE(1). En renseignant le nom de vos applications, logiciels, etc., dans le moteur de recherche du site, vous pourrez voir apparaitre la liste avec les menaces ou/et vulnérabilités qui lui sont affiliées, leur numéro de référencement, ainsi qu’une courte description pour chacune. En cliquant sur l’une d’elles, vous pourrez accéder à sa fiche personnelle pour de plus amples informations. Il est important, pour un particulier, et encore plus pour une entreprise, de vérifier régulièrement ces bases de données afin de se tenir au courant des menaces et failles existantes, et découvertes; dans le but de pouvoir les corriger au plus tôt, et ainsi, sécuriser au mieux son infrastructure et ses données. Une fois les menaces et vulnérabilités dévoilées, il ne faut pas beaucoup de temps pour qu’elles soient exploitées à des fins malveillantes. Dans la même optique de sécurité, il est également important de bien procéder aux mises à jour de ses applications, systèmes d’exploitation, etc., le plus tôt possible après leur sortie. En effet, des menaces et/ou vulnérabilités peuvent avoir été découvertes (répertoriées ou pas encore dans les CVEs). L’éditeur du logiciel aura donc fait éditer une mise à jour pour la/les corriger plus ou moins rapidement après cette découverte.


Tout va très vite, et il peut paraître impossible de se tenir au courant de toutes les vulnérabilités découvertes, et surtout en temps réel. Si vous ne le saviez pas, des solutions existent pour faciliter l’accomplissement de cette tâche.

Côté payant, Nessus(2) et InsightVM(3) par exemple, permettent de scanner votre réseau (systèmes d’exploitation, bases de données, applications, etc.) et de lister les vulnérabilités présentes, en précisant le niveau de criticité, la solution pour y remédier et en donnant les références CVE lorsqu’il y en a. Une version gratuite est disponible pour que vous puissiez tester leurs performances. Vous pouvez aussi utiliser OpenVAS qui est l’équivalent mais en version totalement gratuite.

Côté application et ses dépendances, Owasp propose le plugin Dependency-Check qui va aller vérifier dans la base de donné des CVE, si une librairie présente des vulnérabilités connues. Vous vous posez des questions sur la sécurité de vos applications? De vos installations? Vous vous sentez perdus face à autant d'éléments à prendre en compte pour une sécurité optimum? N'hésitez pas à faire appel à Cybersecura en cliquant ici. Une équipe de professionnels est à votre disposition pour répondre à vos questions.

(1) https://cve.mitre.org (2) https://fr.tenable.com/products/nessus

(3) https://www.rapid7.com/products/insightvm/

© 2023 by CYBERSECURA    -   Photos par Blueys Photographie et Laetitia Michel