En bref
Le programme CVE est décentralisé : des centaines de CNA attribuent les CVE pour leur périmètre. C'est ce qui permet une couverture large et rapide — mais aussi une qualité de données hétérogène d'une source à l'autre.
Le rôle des CNA
Plutôt qu'une autorité unique, le MITRE habilite des CNA réparties dans le monde. Chacune réserve et publie les CVE de son périmètre. Les éditeurs majeurs (Microsoft, Apple, Cisco…) sont souvent leur propre CNA pour leurs produits.
Les types de CNA
| Type | Exemple | Périmètre |
|---|---|---|
| Éditeur (vendor) | Microsoft, Apple | Ses propres produits |
| Coordinateur | CERT/CC | Tiers, divulgation coordonnée |
| Chercheur / bug bounty | Plateformes | Failles remontées |
| Gouvernemental | CISA | Périmètre national |
CNA, Root, ADP
- CNA : attribue les CVE pour son périmètre.
- Root : supervise un ensemble de CNA et arbitre les litiges.
- ADP (Authorized Data Publisher) : enrichit les enregistrements existants (la CISA, via Vulnrichment, en est un).
Pourquoi la qualité de données compte
Un enregistrement CVE incomplet — sans CPE ni versions affectées — est difficile à corréler automatiquement avec un parc. C'est exactement le travail que fait TechWatchAlert en consolidant les données des CNA avec le NVD, le KEV, l'EPSS et les advisories. Pour situer la fiabilité d'une source, voyez les bulletins de qualité.
À retenir
- Une CNA attribue les CVE pour son périmètre.
- Quatre grands types : éditeur, coordinateur, chercheur, gouvernemental.
- Hiérarchie : CNA → Root → Top-Level Root ; les ADP enrichissent.
- Le volume ne fait pas la qualité — d'où les bulletins de notation.
Questions fréquentes
Combien y a-t-il de CNA ?
Plus de 350 organisations réparties dans le monde, dont la majorité publie activement des CVE.
Une CNA peut-elle mal renseigner ses CVE ?
Oui : certaines très grosses CNA publient des enregistrements peu complets, d'où l'intérêt d'un bulletin de qualité.