Méthode & sources.
Sentinelle ne fabrique aucune donnée : elle agrège, recoupe et date des sources publiques déjà faisant autorité (CISA, FIRST, CVE.org, ANSSI, abuse.ch), puis y ajoute une lecture d'analyste assumée. Tout ce qui est affiché ici indique sa source et l'instant de sa dernière mise à jour.
Sources & fraîcheur
Liste officielle des vulnérabilités dont l'exploitation active est constatée. C'est la colonne vertébrale de Sentinelle : on ne référence que ce qui y figure.
Probabilité, sur 30 jours, qu'une vulnérabilité soit effectivement exploitée. Un score statistique, pas une garantie.
Sévérité technique (0 à 10) et vecteur détaillé. Le vecteur alimente aussi le signal SSVC ci-dessous.
Avis et alertes de l'autorité française. Recoupés par identifiant CVE avec le catalogue KEV pour le double signalement.
Serveurs de commande et contrôle de botnets connus, avec statut en ligne/hors ligne.
Presse spécialisée et canaux publics (voir la liste courante dans l'explorateur des sources). Sert à contextualiser, jamais à noter.
Le signal de priorisation (inspiré SSVC)
Le signal de priorisation affiché sur chaque fiche CVE s'inspire de la méthode SSVC (Stakeholder-Specific Vulnerability Categorization, CISA/CERT-CC). Nous retenons 3 des 4 facteurs du modèle, tous dérivables de données publiques : l'exploitation (toujours « active », par définition du catalogue KEV), l'automatisabilité (approximée par le vecteur CVSS : accès réseau, sans privilège, sans interaction ; ou constatée directement si une campagne ransomware est documentée), et l'impact technique (« total » quand confidentialité, intégrité et disponibilité sont toutes trois au maximum sur le vecteur CVSS). Le 4ᵉ facteur officiel, l'impact sur la mission et le bien public, dépend du contexte propre à chaque organisation : nous ne pouvons pas l'évaluer génériquement sur une plateforme publique, donc notre signal reste une orientation à affiner, pas une décision SSVC au sens strict.
Toujours « active » : c'est la définition même du catalogue CISA KEV.
Oui si accessible par le réseau, sans privilège ni interaction requis (AV:N / PR:N / UI:N) · ou constaté directement si une campagne ransomware est documentée.
« Total » quand confidentialité, intégrité et disponibilité sont toutes trois au maximum sur le vecteur CVSS.
Aucun score ne remplace une analyse d'impact propre à votre organisation. Le signal SSVC ci-dessous est une orientation calculée depuis des données publiques, pas une décision : le facteur « impact mission et société » du modèle SSVC officiel dépend de votre contexte et n'est pas évalué ici. De même, l'absence d'un CVE dans nos pages ne signifie pas qu'il est sans danger, seulement qu'il n'est pas (encore) dans le catalogue CISA KEV.