«Programme informatique» est entendu ici au sens large : une application sur votre ordinateur, un site Web, un système d'exploitation, le fonctionnement de votre téléviseur, tout ça ce sont des programmes.

• Par exemple, un programme qui a le défaut que votre image de profil s'affiche avec 2 secondes de retard ... ce n'est pas une vraie nuisance, donc ce n'est pas une vulnérabilité.
• Un programme qui a le défaut que n'importe qui peut voir l'historique des positions GPS depuis lesquelles vous vous êtes connecté ... là déjà ça nuit un peu plus sérieusement, c'est une vulnérabilité.
• Un programme qui a le défaut que n'importe qui peut émettre des virements depuis votre compte en banque ... là c'est de la grosse nuisance !

Pour autant, même si les vulnérabilités sont souvent des «bugs», ce ne sont pas QUE ça.
Il y a aussi des vulnérabilités qui sont dues à des mésusages. Par exemple, utiliser le mot de passe 1234 c'est un mésusage, ce n'est pas le programme qui marche mal.
D'autres fois, ce n'est pas une question de bug ou de mésusage, c'est que ce n'est pas exposé à la bonne population. Par exemple le bouton rouge qui permet d'éteindre le réacteur nucléaire en cas de surchauffe, il est dans une salle dont l'accès est hautement sécurisé. S'il était dans la rue, accessible à tout le monde, le problème ne serait pas qu'il marcherait mal, le problème ne serait pas qu'on l'utilise mal, le problème serait que tout le monde puisse l'utiliser.

Le concept de vulnérabilité s'étend évidemment à autre chose que des programmes. Si vous n'avez pas mis de serrure à votre salle des serveurs, vous avez une vulnérabilité (d'ordre physique). Si une action critique peut être accomplie par un seul employé sans contre-vérification, vous avez une vulnérabilité (d'ordre organisationnelle). Ce sont notamment des vulnérabilités qui peuvent être identifiées lors d'un audit de sécurité informatique, même si elles ne sont pas informatiques.
Pour autant, j'ai mis dans la définition qu'il s'agissait d'un défaut dans un programme car, dans la grande majorité des cas, les vulnérabilités qui ont des effets significatifs sont celles qui touchent les programmes. Si demain il y a une vulnérabilité dans GMail, des millions d'adversaires peuvent en profiter (il suffit d'avoir un accès à Internet. Inversement si demain il manque une serrure sur une porte chez Google, il y aura peut être 100 personnes qui peuvent en profiter.

Point terminologie :
Quand un programme possède une vulnérabilité, on dit qu'il est "affecté" par cette vulnérabilité, ou plus directement qu'il est vulnérable.
Quand un pirate utilise une vulnérabilité contre un programme, on dit qu'il "exploite" cette vulnérabilité.

La sévérité d'une vulnérabilité tient à deux facteurs :

• la probabilité qu'elle soit exploitée
• l'impact si elle est exploitée

Par extension, on va aussi dire qu'une entreprise (ou une organisation quelconque) a/possède des vulnérabilités. Cela signifie qu’elle utilise des outils informatiques qui, eux-même, sont vulnérables.