Retour au blog

Une vulnérabilité qui a un nom ou un logo est-elle plus critique ?

·Bastien Cacace
threat-intelligencecvssvulnérabilitéexploitationcybersécurité

La toute première CVE à porter un nom, sur le papier, est un bug FTP de 1999 surnommé « Pizza Thief » sauf que personne ne l'appelait comme ça en 1999. Le branding de vulnérabilités commence vraiment en 2014, quand Heartbleed débarque avec un logo.

Quand une faille reçoit un nom (Heartbleed, Log4Shell, BlueKeep, Citrix Bleed, YellowKey), elle devient généralement populaire. On la fait remonter en haut de la pile. On suppose qu'elle est pire que la CVE-2026-XXXXX sans nom. Un logo, un nom accrocheur, parfois même un site dédié dit forcément que la vulnérabilité est critique.

Le logo et la page de Heartbleed, première vulnérabilité à recevoir un nom et un logo en 2014
Source : heartbleed.com

Alors est-ce juste du marketing ? Et bien pas vraiement et vous avez raison de la priorisée. Mais probablement pour la mauvaise raison.

Suite à l'ajout dans l'application SYRN des noms de 994 CVE populaires, nous les avons confrontées à l'ensemble des 361 589 CVE de notre base. Les failles baptisées sont effectivement bien plus dangereuses, mais quand on regarde quels chiffres bougent vraiment, l'histoire bascule à l'opposé de ce que tout le monde imagine. Un nom ne vous apprend presque rien sur la sévérité d'une vulnérabilité. Il vous apprend qu'elle va être « weaponisée ».

Le chiffre qui ne bouge pas : le score CVSS

Si « nommée » voulait dire « plus grave », le CVSS, le score de sévérité de référence historique, devrait s'envoler pour les failles baptisées. En réalité, il bouge à peine :

CVE Nommées Autres CVE Écart
CVSS moyen 7,35 6,75 +0,6 point
CVSS médian 7,5 6,8 +0,7 point

Une vulnérabilité nommée à un score environ 9% plus haut au CVSS qu'une faille sans nom. C'est tout. Sur la métrique censée capturer à quel point une faille est fondamentalement critique, les vulnérabilités populaires sont quasi indiscernables des autres.

Pire : 35 % des vulnérabilités nommées ne sont même pas classées « élevée », elles passent sous la barre des 7 au CVSS. Un tiers des failles assez célèbres pour avoir un logo seraient, sur le seul CVSS, triées comme « modérée ». Certaines n'ont jamais franchi le 7 et ont fini malgré tout dans le catalogue Known Exploited Vulnerabilities (KEV) de la CISA.

Alors si ce n'est pas la sévérité qui mérite un nom, qu'est-ce que c'est ?

Les chiffres qui explosent : l'exploitation

Remplacez le CVSS par une métrique qui mesure l'exploitation réelle, et l'écart, lui, explose :

Signal CVE nommées Reste des CVE Les nommées sont…
Exploitées dans la nature1 26,9 % 1,65 % 16× plus probable
Exploit public disponible2 19,7 % 8,1 % 2,4× plus probable
Dépôts PoC publics sur GitHub (moy.) 5,06 0,06 ~84× plus

Mettez les deux tableaux côte à côte. Sévérité (CVSS) : +9 % d'écart entre nommées et sans nom. Exploitation : de +140 % (exploit public, 2,4×) à +8 300 % (dépôts PoC, ~84×). Voilà tout l'article résumé. Un nom, ce n'est pas une étiquette qui dit « c'est grave ». C'est une étiquette qui dit « ça se fait exploiter ». Si une faille reçoit un nom, c'est parce que quelqu'un a écrit un exploit qui marche, que cet exploit a circulé, qu'il a servi pour de vrai, et que l'histoire était assez marquante pour qu'on lui colle un petit nom.

Part des CVE de chaque groupe concernées par chaque signal d'exploitation : exploitées dans la nature (nommées 26,9 % contre sans nom 1,65 %) et exploit public disponible (19,7 % contre 8,1 %).
Sur l'exploitation réelle, l'écart entre nommées et sans nom est massif, là où la sévérité CVSS, elle, ne bouge que de +9 %.
Logo de la vulnérabilité Dirty Frag (CVE-2026-43284 et CVE-2026-43500)
Dirty Frag vulnerability logo (CVE-2026-43284 & CVE-2026-43500)

C'est précisément ce que fait notre score SYRN3. Au lieu de regarder juste le CVSS, il y ajoute ce qui se passe vraiment sur le terrain : est-ce que la faille est exploitée en ce moment, ce que dit la threat intel, etc. Résultat, il voit tout de suite la différence entre les deux groupes, là où le CVSS ne voit rien. Sur la sévérité pure, les deux groupes se ressemblent. C'est tout ce qui touche à l'exploitation qui creuse l'écart.

« Mais les célèbres sont juste anciennes » : non, justement

L'objection saute aux yeux : Heartbleed et Shellshock, c'est 2014, on ne notait pas les failles pareil à l'époque, donc vous comparez des époques différentes. On a donc neutralisé ce biais en comparant les nommées et celles sans nom à l'intérieur d'une même tranche de cinq ans :

Années CVSS CVE nommées CVSS CVE sans nom SYRN CVE nommées SYRN CVE sans nom
2010-14 6,65 6,15 60,7 25,8
2015-19 7,10 7,13 49,4 26,5
2020-24 7,44 6,85 50,7 30,6
2025+ 7,56 6,70 51,2 31,4

Regardez la ligne 2015-19. Les vulnérabilités nommées et sans nom ont le même CVSS, 7,10 contre 7,13. Sévérité identique. Et pourtant les vulnérabilités nommées portent presque le double du score de menace réel (SYRN Score). Le motif se répète à chaque époque : sévérité plate, exploitation en flèche. Ça n'a jamais été une histoire d'âge. Un nom signifie « celle-là se fait exploiter » depuis que c'est la mode de donner des petits noms aux CVE.

On pourrait pousser l'objection plus loin : à l'époque, il y avait aussi moins de signaux d'exploitation disponibles. Pas d'EPSS avant 2021, moins de PoC publics, un catalogue KEV récent. C'est vrai. Mais ce manque touche les failles nommées et celles sans nom de la même époque, exactement de la même façon. Il ne peut donc pas expliquer l'écart entre les deux à une période donnée. Or c'est précisément cet écart-là, nommées contre sans nom au sein d'une même tranche d'années, que l'on mesure.

Avant, il fallait une catastrophe pour décrocher un nom. Plus aujourd'hui.

Le baptême a changé. En 2014, exactement quatorze vulnérabilités ont reçu un nom, et c'étaient des "monstres". Elles affichent un score SYRN moyen de 68/100, la moitié a été exploitée dans la nature, et 57 % disposaient d'un exploit public fonctionnel. À l'époque, il fallait une catastrophe authentique (Heartbleed, Shellshock, POODLE) sur une stack techno très populaire pour décrocher un nom et un logo.

Une décennie plus tard, environ 9x plus de failles sont nommées chaque année. Alors, les célèbres sont-elles devenues moins dangereuses ? Découpez l'ensemble nommé par tranche d'années et raisonnez en taux, pas en volumes :

Années Nommées sur la fenêtre CVSS moyen % CVSS ≥ 9 % exploitées dans la nature
2014-2018 181 7,18 14 % 32 %
2019-2021 249 7,38 20 % 32 %
2022-2026 515 7,45 20 % 24 %

Deux choses se sont produites, et elles pointent dans des directions opposées.

La sévérité n'a pas baissé, elle a augmenté. Le CVSS moyen est passé de 7,18 à 7,45, et la part de failles nommées avec un score critique 9+ est montée de 14 % à 20 %. Au sens strict de la métrique de sévérité, une vulnérabilité nommée aujourd'hui est plus critique qu'une de 2015, pas moins.

Mais le pedigree d'exploitation s'est dilué. L'exploitation dans la nature est passée de 32 % à 24 %, et la part livrée avec un exploit public s'est effondrée après 2017. Le nom était jadis réservé à la faille la plus exploitée de l'année ; c'est désormais du marketing appliqué largement à un ensemble plus vaste.

Les vulnérabilités nommées ne sont donc pas devenues moins graves. Le baptême est devenu plus courant et plus dilué. Il faut dire que le vivier a explosé : le nombre de CVE publiées chaque année a été multiplié par plusieurs fois sur la décennie, jusqu'à frôler les 50 000 en 2025. Plus il y a de failles, plus il y a de candidates au baptême, et plus la barre pour « mériter un nom » descend, de Heartbleed à assez notable pour un billet de blog.

Trois exemples récents, justement : des noms accrochés à des failles très moyennes au CVSS, mais bel et bien exploitées.

Nom CVE CVSS Exploitée ? SYRN Composant Publication
UnDefend CVE‑2026‑45498 4,0 Oui (CISA KEV) 92 Microsoft Defender Mai 2026
TrustFall CVE‑2026‑21852 5,3 Oui (HackerOne + PoC GitHub) 84 Claude Code Jan. 2026
DarkSword CVE‑2025‑43520 5,5 Oui (CISA KEV) 89 Apple iPadOS/macOS Déc. 2025

ℹ️ Remarque : les signaux d'exploitation (exploits publics, entrées KEV, rapports éditeurs, honeypot) s'accumulent tous avec le temps. Une faille nommée en 2026 n'a simplement pas encore eu des années pour être "weaponable" et cataloguée ; une partie de ce récent creux « moins exploité » n'est donc que de la jeunesse, pas un vrai déclin. La sévérité, qui ne vieillit pas, ne montre aucune baisse. On peut donc dire que les failles célèbres sont aussi graves qu'avant, mais le club s'est élargi et a perdu en exclusivité 😅.

0,27 % des CVE, mais elles concentrent le danger

Le lot des failles nommées est minuscule : 994 sur 361 589, soit 0,27 % du total. Si on donnait des noms au hasard, sans rapport avec l'exploitation, les failles nommées devraient peser 0,27 % dans n'importe quel groupe de failles dangereuses. On en est très loin :

Groupe Part CVE nommée vs leur base de 0,27 %
CVE liées aux rançongiciels4 13,5 % 49× sur-représentées
Exploitées dans la nature (KEV de la CISA inclus) 4,3 % 16× sur-représentées
CVSS ≥ 9 (Critique) 0,43 % 1,6× sur-représentées

Tout est dans ce tableau. Une faille qui a un nom revient 49 fois plus souvent que la moyenne dans les CVE que les groupes de rançongiciels exploitent pour de vrai. Mais dans le groupe des failles au CVSS le plus élevé, elle ne revient que 1,6 fois plus souvent.

Ce que ça change pour votre triage

L'idée à retenir, ce n'est pas « laissez tomber les vulnérabilités qui ont un nom ». C'est l'inverse, mais avec une raison plus claire. Voyez un nom connu comme un indice que la faille a des chances d'être exploitée, pas comme une mesure de sa sévérité. Le simple fait qu'une faille porte un nom est l'un des meilleurs signaux, et des moins chers, pour deviner qu'une CVE va finir dans le KEV. Meilleur que son score CVSS, qui pour l'essentiel ne fait pas la différence entre les failles nommées et les autres.

Donc, concrètement :

  • Ne rétrogradez pas une faille nommée juste parce que son CVSS est sorti à 6,5. Un tiers des failles nommées sont en dessous de 7, et certaines sont exploitées en ce moment.
  • Laissez le « tiens, ça a un nom » faire monter une faille dans votre file de patchs, exactement comme le ferait l'apparition d'un exploit public ou une nouvelle entrée dans la KEV. Statistiquement, c'est le même signal.
  • Et n'oubliez pas l'inverse : la CVE-20XX-XXXXX sans nom notée 9,8 n'est pas sûre d'être si critique que cela. La plupart des failles à CVSS 9 ne sont jamais exploitée.

Et le miroir du premier tableau est tout aussi parlant : les CVE les plus destructrices de ces dernières années n'ont jamais eu de nom ni de logo. Toutes sans nom, mais au score SYRN maximal (100/100), parce que tous les signaux d'exploitation sont au rouge.

CVE CVSS Exploitée ? SYRN Composant Publication
CVE‑2024‑3400 10 Oui (CISA KEV, rançongiciel) 100 Palo Alto PAN-OS GlobalProtect Avr. 2024
CVE‑2023‑20198 10 Oui (CISA KEV) 100 Cisco IOS XE (Web UI) Oct. 2023
CVE‑2022‑40684 9,8 Oui (CISA KEV, rançongiciel) 100 Fortinet FortiOS/FortiProxy Oct. 2022
CVE‑2022‑26134 9,8 Oui (CISA KEV, rançongiciel) 100 Atlassian Confluence Juin 2022

Un nom, c'est un indicateur supplémentaire, pas juste du marketing : il ne circule pas parce qu'une vulnérabilité est moyenne sur le papier, mais parce que quelqu'un l'a fait marcher. La réciproque est tout aussi vraie : l'absence de nom ne protège de rien, et les failles les plus destructrices sont souvent restées sans nom. Ce qui finit par débarquer dans votre canal d'incident à 2 heures du matin est parfois célèbre, souvent sans nom, mais toujours exploité 😬.

En résumé

Un nom ou un logo n'est pas une mesure de sévérité, c'est un signal d'exploitation. Une faille baptisée mérite votre attention non pas parce qu'elle est « grave », mais parce que, statistiquement, elle se fait exploiter. Et la réciproque tient : les CVE les plus destructrices n'ont souvent aucun nom. Des deux côtés, ce qui compte, c'est l'exploitation, pas la célébrité.

Si ce constat résonne avec votre quotidien : trop de CVE, trop peu de temps, et un CVSS qui ne sait pas distinguer ce qui se fait exploiter du reste, c'est exactement la question qui nous a poussés à construire SYRN. Vous pouvez l'essayer gratuitement.

Essayer SYRN →

Footnotes

  1. Sources d'exploitation dans la nature agrégées par SYRN : CISA KEV, ENISA EU-KEV, Shadowserver, Telegram, HackerOne et advisories éditeurs.

  2. Sources d'exploits publics agrégées par SYRN : ExploitDB, Nuclei et Metasploit.

  3. Le score SYRN est un score de criticité de 0 à 100 qui combine la sévérité CVSS avec des signaux d'information en temps réel (exploitation observée, exploits et PoC publics, threat intel, trending réseaux sociaux). Il se recalcule en continu, à mesure que de nouveaux signaux apparaissent.

  4. Lien rançongiciel issu du marqueur « known ransomware campaign use » du catalogue Known Exploited Vulnerabilities (KEV) de la CISA.