CVSS, acronyme de Common Vulnerability Scoring System, est un système standardisé d’évaluation de la gravité des vulnérabilités informatiques.
Il attribue un score numérique entre 0 et 10, reflétant la criticité d’une vulnérabilité et permettant ainsi de prioriser les actions de correction. Ce système est maintenu par le FIRST (Forum of Incident Response and Security Teams). Créé en 2005 par le National Infrastructure Advisory Council (NIAC), il vise à fournir une méthode universelle et reproductible pour mesurer et comparer la criticité des vulnérabilités dans les systèmes d’information
Versions et évolutions
Depuis sa création, le CVSS a connu plusieurs mises à jour pour répondre aux besoins croissants en matière de précision et d’adaptabilité. La version actuelle, CVSS v4.0, publiée en novembre 2023, améliore notamment la granularité des scores et intègre davantage de retours utilisateurs.
🎯 A quoi sert le CVSS ?
- Évaluation rapide et standardisée : le score CVSS offre une vue d’ensemble immédiate et standardisée de la dangerosité d’une vulnérabilité, facilitant la comparaison entre différentes vulnérabilités.
- Priorisation des corrections : il permet de classer les vulnérabilités par ordre de priorité en fonction de leur impact potentiel, optimisant ainsi l’allocation des ressources pour les corrections.
- Communication efficace : le CVSS fournit un langage commun et objectif pour la communication entre les équipes techniques, les équipes de direction, les fournisseurs et les clients, évitant les interprétations subjectives.
- Automatisation des processus : les outils de gestion des vulnérabilités peuvent utiliser les scores CVSS pour automatiser diverses tâches, telles que la génération de rapports, le tri des alertes, la mise en quarantaine des systèmes vulnérables ou le déclenchement de procédures de remédiation.
- Gestion des risques : en quantifiant la gravité des vulnérabilités, le CVSS aide les organisations à évaluer leur niveau de risque global et à prendre des décisions éclairées en matière de sécurité.
Fonctionnement
FonctionnementLe CVSS évalue une vulnérabilité en fonction de trois groupes de métriques :
- Base : caractéristiques intrinsèques de la vulnérabilité (complexité d’exploitation, privilèges requis, etc.).
- Temporelle : facteurs évolutifs dans le temps (existence d’un exploit public, facilité d’obtention d’un code d’exploitation, etc.).
- Environnementale : contexte spécifique de l’organisation (valeur des actifs, complexité de l’atténuation, etc.).
Chaque métrique est associée à un sous-score, et la somme de ces sous-scores donne le score CVSS final.
🌡 Les différents niveaux de gravité selon le CVSS
- Critique (9.0-10.0): vulnérabilité très grave, nécessitant une action immédiate.
- Élevée (7.0-8.9) : vulnérabilité importante, nécessitant une attention rapide.
- Moyenne (4.0-6.9) : vulnérabilité modérée, à traiter dans un délai raisonnable.
- Faible (0.1-3.9) : vulnérabilité mineure, pouvant être traitée à plus long terme.
Les limites du CVSS
Bien que le CVSS soit un outil précieux, il présente certaines limites :
- Subjectivité: Certains éléments du calcul du score peuvent être subjectifs, en fonction de l’interprétation des métriques.
- Généralisation: Le CVSS fournit une évaluation générale, mais ne prend pas en compte tous les aspects spécifiques d’un environnement donné.
- Évolution des menaces: Les menaces évoluent rapidement, et le CVSS peut ne pas toujours refléter les dernières tendances.
📊 Statistiques et chiffres
- Selon une étude récente, environ 85 % des organisations utilisent le CVSS comme méthode principale d’évaluation des vulnérabilités.
- En France comme à l’international, plus de 90 % des failles critiques signalées reçoivent un score supérieur à 7, soulignant leur importance dans la gestion proactive des risques.
