Vulnérabilités 8 min de lecture

CVE et vulnérabilités logicielles : comprendre et agir avant les attaquants

Chaque jour, des dizaines de nouvelles vulnérabilités sont publiées dans les logiciels que vous utilisez. Certaines sont critiques et exploitées en quelques heures. Comprendre le système CVE et les priorités de patch permet de transformer une réaction paniquée en processus maîtrisé.

Qu'est-ce qu'un CVE ?

CVE signifie Common Vulnerabilities and Exposures. C'est un identifiant unique attribué à chaque vulnérabilité de sécurité connue dans un logiciel. Le format est CVE-ANNÉE-NUMÉRO, par exemple CVE-2021-44228 désigne la célèbre faille Log4Shell dans la bibliothèque Java Log4j.

Ces identifiants sont gérés par le MITRE, une organisation américaine à but non lucratif, et référencés dans la base de données publique NVD (National Vulnerability Database) maintenue par le NIST. Toute personne — chercheur, éditeur, entreprise — peut consulter gratuitement les détails techniques et le score de gravité de chaque CVE.

INFO
En 2025 : plus de 35 000 nouveaux CVE publiés
Le nombre de vulnérabilités publiées augmente chaque année. Face à ce volume, la priorisation par criticité est indispensable — vous ne pouvez pas patcher tout en même temps.

Le score CVSS : mesurer la gravité

Le score CVSS (Common Vulnerability Scoring System) évalue la gravité d'une vulnérabilité sur une échelle de 0 à 10. Il prend en compte plusieurs facteurs : facilité d'exploitation, impact sur la confidentialité/intégrité/disponibilité, nécessité d'authentification préalable, accès réseau requis ou non.

Score CVSS Sévérité Délai de patch recommandé
9.0 – 10.0 CRITIQUE Immédiat (24–72h)
7.0 – 8.9 ÉLEVÉ Sous 7 jours
4.0 – 6.9 MOYEN Prochaine fenêtre maintenance
0.1 – 3.9 FAIBLE Cycle normal (mois)

Attention : le score CVSS mesure la gravité théorique, pas l'urgence réelle. Un CVE 7.5 activement exploité dans la nature est plus urgent qu'un CVE 9.0 pour lequel aucun exploit n'est disponible. Consultez également l'indicateur EPSS (Exploit Prediction Scoring System) qui mesure la probabilité d'exploitation dans les 30 prochains jours.

Du bug à l'exploitation : le cycle de vie

Entre la découverte d'une vulnérabilité et son exploitation massive, plusieurs étapes se succèdent. Comprendre cette chronologie permet de situer votre fenêtre de réaction. 

Cycle de vie d'une vulnérabilité

J0     Découverte par un chercheur ou un attaquant
J1-90  Disclosure responsable : le chercheur notifie l'éditeur
J90    Publication du CVE + patch (si éditeur coopératif)
J90+   Les attaquants analysent le patch pour comprendre la faille
J91-97 Premiers exploits publics disponibles (souvent < 7 jours)
J97+   Exploitation massive automatisée — votre fenêtre se ferme

La fenêtre entre la publication du CVE et l'exploitation de masse est de plus en plus courte. Pour les vulnérabilités critiques, elle peut se réduire à 48 heures en 2026.

Zero-day : la vulnérabilité sans patch

Un zero-day (ou 0-day) est une vulnérabilité connue des attaquants mais pas encore de l'éditeur du logiciel. Il n'existe donc aucun patch disponible. Les zero-days sont très rares et coûteux — ils sont vendus sur des marchés spécialisés pour des montants allant de milliers à millions d'euros selon la cible.

Les PME ne sont généralement pas la cible de zero-days : ces armes coûteuses sont réservées aux attaques ciblées contre des entreprises de grande valeur. En revanche, des zero-days ciblant des logiciels grand public (navigateurs, systèmes d'exploitation) peuvent vous toucher indirectement via des campagnes de masse.

INFO
Contre les zero-days : la défense en profondeur
Puisqu'on ne peut pas patcher ce qu'on ne connaît pas, la protection contre les zero-days repose sur le cloisonnement du réseau, le principe du moindre privilège, et la détection comportementale plutôt que la signature.

Comment savoir si vous êtes vulnérable

La première étape est d'inventorier les logiciels et versions en production. Ce que vous ne connaissez pas, vous ne pouvez pas le patcher. 

# Versions logicielles visibles depuis l'extérieur
# (détectées par Wezea lors du scan)

Apache/2.4.49    → CVE-2021-41773 (CRITIQUE, CVSS 9.8)
PHP/7.4.3        → Multiple CVE critiques — EOL depuis 2022
OpenSSL/1.0.2    → EOL depuis 2020 — des dizaines de CVE
WordPress/5.9.0  → Multiples CVE — mise à jour disponible

Wezea analyse les versions de logiciels exposées dans les headers HTTP et les fingerprints de votre serveur pour identifier les versions connues comme vulnérables, en les croisant avec la base CVE publique.

Gérer les mises à jour sans bloquer la production

La résistance aux mises à jour vient souvent d'une mauvaise expérience passée : un patch qui casse une application critique. La solution n'est pas de ne pas patcher, mais de mettre en place un processus qui minimise ce risque.

Environnement de test

Maintenez un environnement de préproduction identique à la production. Appliquez les patchs d'abord en préprod, validez le fonctionnement, puis déployez en production dans les délais recommandés selon le score CVSS.

Fenêtres de maintenance

Définissez des créneaux de maintenance réguliers (exemple : chaque mardi soir, 22h–2h) pour les patchs non urgents. Les patchs CRITIQUE/ÉLEVÉ doivent avoir leur propre procédure d'urgence hors fenêtre standard.

Automatisation

# Ubuntu/Debian — mises à jour de sécurité automatiques
apt install unattended-upgrades
dpkg-reconfigure unattended-upgrades
# Configure les mises à jour de sécurité automatiques sans redémarrage forcé

# CentOS/RHEL — dnf-automatic
dnf install dnf-automatic
# Modifier /etc/dnf/automatic.conf : apply_updates = yes
systemctl enable --now dnf-automatic.timer

Prioriser les patchs critiques

Avec des dizaines de CVE publiés chaque semaine, la priorisation est indispensable. Concentrez-vous sur les facteurs qui augmentent réellement votre risque.

WARN
Patcher en priorité si
Le logiciel est exposé sur Internet (serveur web, VPN, API) · Le CVE est exploité activement dans la nature (KEV CISA) · Le logiciel est en fin de vie (EOL) — plus aucun patch ne sera publié · Le CVSS est ≥ 9.0 avec vecteur réseau et aucune authentification requise.

La liste KEV (Known Exploited Vulnerabilities) de l'agence américaine CISA est la référence pour les CVE activement exploités. Elle est mise à jour quotidiennement et disponible gratuitement à l'adresse cisa.gov/known-exploited-vulnerabilities-catalog.

Détectez vos versions vulnérables

Wezea identifie les logiciels exposés et leurs versions, et les croise avec la base CVE pour signaler les vulnérabilités actives sur votre domaine.

Scanner mon domaine →

Gratuit · Détection CVE incluse · Rapport détaillé

Lire aussi

Ransomware et PME : comment se protéger efficacement Sécuriser WordPress : checklist complète 2026 Ports réseau dangereux : lesquels fermer en priorité
Vulnerabilities 8-min read

CVE and software vulnerabilities: understand and act before attackers do

Every day, dozens of new vulnerabilities are published in the software you use. Some are critical and exploited within hours. Understanding the CVE system and patch priorities lets you transform panicked reactions into a controlled process.

What is a CVE?

CVE stands for Common Vulnerabilities and Exposures. It's a unique identifier assigned to each known security vulnerability in software. The format is CVE-YEAR-NUMBER, for example CVE-2021-44228 designates the famous Log4Shell flaw in the Java Log4j library.

These identifiers are managed by MITRE, a non-profit American organization, and referenced in the public NVD (National Vulnerability Database) maintained by NIST. Anyone — researcher, vendor, company — can freely consult the technical details and severity score of each CVE.

INFO
In 2025: over 35,000 new CVEs published
The number of published vulnerabilities increases every year. Facing this volume, prioritization by criticality is essential — you can't patch everything at once.

The CVSS score: measuring severity

The CVSS score (Common Vulnerability Scoring System) evaluates a vulnerability's severity on a 0-to-10 scale. It considers several factors: ease of exploitation, impact on confidentiality/integrity/availability, need for prior authentication, whether network access is required.

CVSS score Severity Recommended patch timeline
9.0 – 10.0 CRITICAL Immediate (24–72h)
7.0 – 8.9 HIGH Within 7 days
4.0 – 6.9 MEDIUM Next maintenance window
0.1 – 3.9 LOW Normal cycle (months)

Caveat: CVSS score measures theoretical severity, not real urgency. A 7.5 CVE actively exploited in the wild is more urgent than a 9.0 CVE for which no exploit exists. Also consult the EPSS (Exploit Prediction Scoring System) indicator, which measures the probability of exploitation in the next 30 days.

From bug to exploitation: the lifecycle

Between discovery of a vulnerability and mass exploitation, several stages unfold. Understanding this timeline lets you identify your reaction window. 

Vulnerability lifecycle

D0     Discovery by researcher or attacker
D1-90  Responsible disclosure: researcher notifies vendor
D90    CVE publication + patch (if vendor cooperative)
D90+   Attackers analyze patch to understand the flaw
D91-97 First public exploits available (often < 7 days)
D97+   Mass automated exploitation — your window closes

The window between CVE publication and mass exploitation is shrinking. For critical vulnerabilities, it can narrow to 48 hours by 2026.

Zero-day: the unpatched vulnerability

A zero-day (or 0-day) is a vulnerability known to attackers but not yet to the software vendor. No patch exists. Zero-days are extremely rare and costly — they're sold on specialized markets for amounts ranging from thousands to millions of euros depending on the target.

SMBs are not typically targeted by zero-days: these expensive weapons are reserved for targeted attacks against high-value companies. However, zero-days targeting mainstream software (browsers, operating systems) can affect you indirectly via mass campaigns.

INFO
Against zero-days: defense in depth
Since you can't patch what you don't know about, protection against zero-days relies on network segmentation, least-privilege principle, and behavioral detection rather than signature-based detection.

How to know if you're vulnerable

The first step is to inventory your software and versions in production. What you don't know, you can't patch. 

# Software versions visible from outside
# (detected by Wezea during scan)

Apache/2.4.49    → CVE-2021-41773 (CRITICAL, CVSS 9.8)
PHP/7.4.3        → Multiple critical CVEs — EOL since 2022
OpenSSL/1.0.2    → EOL since 2020 — dozens of CVEs
WordPress/5.9.0  → Multiple CVEs — updates available

Wezea analyzes software versions exposed in HTTP headers and server fingerprints to identify versions known as vulnerable, cross-referencing against the public CVE database.

Manage updates without blocking production

Resistance to updates often stems from bad past experiences: a patch that breaks a critical application. The solution isn't to avoid patching, but to implement a process that minimizes this risk.

Test environment

Maintain a staging environment identical to production. Apply patches first in staging, verify functionality, then deploy to production within recommended timelines based on CVSS score.

Maintenance windows

Define regular maintenance slots (example: every Tuesday night, 10pm–2am) for non-urgent patches. CRITICAL/HIGH patches should have their own emergency procedure outside standard windows.

Automation

# Ubuntu/Debian — automatic security updates
apt install unattended-upgrades
dpkg-reconfigure unattended-upgrades
# Configures automatic security updates without forced reboots

# CentOS/RHEL — dnf-automatic
dnf install dnf-automatic
# Edit /etc/dnf/automatic.conf: apply_updates = yes
systemctl enable --now dnf-automatic.timer

Prioritize critical patches

With dozens of CVEs published weekly, prioritization is essential. Focus on factors that actually increase your risk.

WARN
Patch prioritarily if
Software is exposed to the Internet (web server, VPN, API) · CVE is actively exploited in the wild (CISA KEV) · Software is end-of-life (EOL) — no more patches will be released · CVSS is ≥ 9.0 with network vector and no authentication required.

The KEV (Known Exploited Vulnerabilities) list from U.S. agency CISA is the reference for actively exploited CVEs. It's updated daily and available free at cisa.gov/known-exploited-vulnerabilities-catalog.

Detect your vulnerable software versions

Wezea identifies exposed software and their versions, cross-references them against the CVE database to flag active vulnerabilities on your domain.

Scan my domain →

Free · CVE detection included · Detailed report

Read also

Ransomware and SMBs: how to protect yourself effectively Secure WordPress: complete checklist 2026 Dangerous network ports: which ones to close first

Vous gérez les domaines de vos clients ? Wezea propose des rapports PDF en marque blanche et un monitoring multi-domaines pour les agences web et MSP.

Découvrir Wezea Agences →

Managing your clients's domains? Wezea offers white-label PDF reports and multi-domain monitoring for web agencies and MSPs.

Discover Wezea for Agencies →