Glossaire

CVE (Common Vulnerabilities and Exposures)

Identifiant unique attribué à chaque vulnérabilité de sécurité connue publiquement (ex: CVE-2024-XXXXX). Les CVE permettent aux équipes de sécurité de référencer et suivre les failles de manière non ambiguë. La base CVE est maintenue par le MITRE. Dans le contexte d'un logiciel RH/paie, une CVE affectant un framework utilisé (Laravel, Next.js) peut exposer des milliers de bulletins de paie si le correctif n'est pas appliqué rapidement.

À quoi sert une CVE concrètement

Une CVE (Common Vulnerabilities and Exposures) est un identifiant unique attribué à une vulnérabilité rendue publique — par exemple CVE-2021-44228 pour Log4Shell. Le système, opéré par MITRE, permet à tout l'écosystème (éditeurs, scanners, équipes sécurité) de parler de la même faille sans ambiguïté. Chaque CVE est ensuite enrichie d'un score de gravité CVSS et, côté NVD, de la liste des versions affectées. Pour un éditeur SaaS, les CVE pertinentes sont celles qui touchent votre stack : framework, dépendances, base de données, images Docker.

Pourquoi les CVE comptent pour un éditeur SaaS RH

Vos clients et leurs RSSI suivent les CVE critiques : après chaque faille médiatisée, attendez-vous à la question « êtes-vous affectés ? ». Une dépendance non mise à jour avec une CVE critique exploitable, c'est aussi la première chose qu'un scanner externe ou un attaquant opportuniste détectera : les exploitations massives commencent souvent quelques heures après la publication. La veille CVE sur votre stack (Next.js, Laravel, Supabase, bibliothèques npm/composer) et un processus de patch rapide font partie des mesures « état de l'art » attendues au titre de l'article 32 du RGPD.

Ce que CleanIssue vérifie

Lors d'un audit, nous identifions les composants visibles depuis l'extérieur (versions de frameworks, serveurs, bibliothèques exposées) et les confrontons aux CVE connues réellement exploitables dans votre contexte — pas une simple liste de scanner. Nous publions aussi des analyses détaillées des CVE qui touchent les stacks de nos clients, avec le contexte d'exploitation réel et les actions à mener.

Questions fréquentes

Toutes les CVE sont-elles dangereuses ?

Non. Une grande partie des CVE ne sont pas exploitables dans un contexte donné : la fonction vulnérable n'est pas utilisée, le composant n'est pas exposé, une protection amont bloque l'attaque. C'est tout l'intérêt d'une analyse contextuelle par rapport à un scan brut : prioriser les CVE qui présentent un risque réel pour votre produit.

Quelle différence entre CVE, CWE et CVSS ?

La CVE identifie une vulnérabilité précise dans un produit précis. La CWE catégorise le type de faiblesse sous-jacent (ex. CWE-89 pour l'injection SQL). Le CVSS attribue un score de gravité de 0 à 10 à une CVE. Les trois se complètent : une CVE de type CWE-89 avec un CVSS de 9.8, par exemple.

Comment suivre les CVE de sa stack ?

Activez les alertes de dépendances (Dependabot, Renovate, npm audit, composer audit), suivez les avis de sécurité de vos composants critiques, et définissez un SLA interne de correction selon la gravité. Pour les composants exposés publiquement, une revue externe régulière vérifie que rien n'est passé entre les mailles.

Pages associées

Autres termes

Besoin d'une revue externe de votre SaaS RH ?

Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

Parler de votre audit