CVSS, ou Common Vulnerability Scoring System, est un cadre standardisé et ouvert permettant d'évaluer la gravité des vulnérabilités de sécurité des systèmes informatiques. Il permet aux professionnels de l'informatique et aux organisations de prioriser les réponses aux risques de sécurité de manière cohérente et éclairée. CVSS fournit un moyen de capturer les principales caractéristiques d'une vulnérabilité et de produire un score numérique reflétant sa gravité, en tenant compte des mesures de base, temporelles et environnementales.
La genèse du CVSS
CVSS est né d’une initiative du National Infrastructure Advisory Council (NIAC) aux États-Unis. Au début des années 2000, le NIAC a reconnu la nécessité d'un système standard d'évaluation des vulnérabilités informatiques afin de mieux gérer et atténuer les menaces potentielles pour l'infrastructure.
La première version de CVSS (CVSS v1) a été publiée en 2005 par le Forum des équipes de réponse aux incidents et de sécurité (FIRST). Cet outil a été conçu pour fournir des évaluations de vulnérabilité unifiées, facilitant ainsi le processus de prise de décision pour les équipes d'intervention en matière de sécurité. Depuis, il a été mis à jour et amélioré, la troisième et dernière version (CVSS v3.1) étant publiée en 2019.
Un examen plus approfondi du CVSS
CVSS est principalement conçu pour fournir une mesure impartiale de la gravité des vulnérabilités. Le système de notation permet aux organisations de se concentrer sur les problèmes les plus importants auxquels leurs systèmes peuvent être confrontés. Il ne s'agit pas simplement d'un outil de classification, mais également d'un guide permettant de prendre les mesures appropriées en réponse aux menaces.
Les scores CVSS vont de 0 à 10, où 0 représente aucun risque et 10 indique le niveau de gravité le plus élevé. Ces scores sont calculés sur la base de trois groupes de métriques :
-
Métriques de base: Il s'agit de caractéristiques d'une vulnérabilité qui sont constantes dans le temps et dans les environnements utilisateur, comme le vecteur d'attaque, la complexité, les privilèges requis, l'interaction utilisateur, la portée et l'impact sur la confidentialité, l'intégrité et la disponibilité.
-
Métriques temporelles: Ces métriques évoluent au fil du temps et traitent de l’état actuel de la vulnérabilité. Ils incluent l’exploitabilité, le niveau de correction et la confiance des rapports.
-
Mesures environnementales: ces mesures sont spécifiques à l'environnement d'un utilisateur, telles que le potentiel de dommages collatéraux, la distribution des cibles et les exigences de sécurité.
Démêler le cadre CVSS
Le cadre CVSS est conçu pour capturer et communiquer des informations sur les vulnérabilités dans un format cohérent et facile à comprendre. Sa structure est basée sur des chaînes vectorielles et des mécanismes de notation :
-
Cordes vectorielles: Il s'agit de représentations textuelles simples des mesures utilisées pour calculer le score. Chaque métrique reçoit une valeur qui indique son impact potentiel. Par exemple, dans CVSS v3.1, une chaîne vectorielle pourrait ressembler à ceci : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A :H.
-
Mécanisme de notation: Après avoir attribué des valeurs aux métriques dans la chaîne vectorielle, une formule est appliquée pour générer le score de base. Les scores temporels et environnementaux sont ensuite dérivés du score de base en utilisant différentes formules.
Principales caractéristiques du CVSS
Certaines des principales caractéristiques du cadre CVSS incluent :
- Système de notation standardisé pour des évaluations de vulnérabilité cohérentes
- Large applicabilité à divers types de systèmes et de vulnérabilités
- Permet des ajustements spécifiques au temps et à l’environnement
- Transparent et ouvert à tous
- Des mesures détaillées fournissent un aperçu approfondi des vulnérabilités
- Conçu pour aider à prioriser les efforts de remédiation
Types de CVSS
Il existe trois versions de CVSS qui ont été publiées jusqu'à présent :
- CVSSv1 (2005) : La version initiale, fournissant une méthode standardisée pour évaluer les vulnérabilités informatiques.
- CVSS v2 (2007) : Amélioration par rapport à la première version avec des mesures plus raffinées et introduction de scores temporels et environnementaux.
- CVSSv3.1 (2019) : La dernière version, offrant des améliorations et des clarifications supplémentaires sur les définitions des métriques de base, temporelles et environnementales.
Utiliser CVSS : problèmes et solutions
La principale application de CVSS concerne les processus de gestion des vulnérabilités et de réponse aux incidents. Les organisations utilisent les scores CVSS pour prioriser les efforts de remédiation en fonction de la gravité des vulnérabilités. Cependant, le système de notation ne prend pas en compte le contexte commercial d'une organisation, ce qui pourrait entraîner une allocation inefficace des ressources s'il est utilisé de manière isolée.
La solution consiste à intégrer les scores CVSS dans un cadre de gestion des risques plus large qui prend en compte les impacts commerciaux spécifiques et les exigences de sécurité. De cette façon, les entreprises peuvent créer une approche équilibrée en matière de gestion des vulnérabilités.
Comparaison de CVSS avec d'autres normes
Il existe d'autres systèmes d'évaluation des vulnérabilités informatiques, mais CVSS se distingue par sa nature exhaustive, son ouverture et son adoption généralisée. Voici une brève comparaison :
| CVSS | Méthodologie d’évaluation des risques de l’OWASP | REDOUTER | |
|---|---|---|---|
| Norme ouverte | Oui | Non | Non |
| Plage de scores | 0-10 | Niveaux de risque (faible à critique) | 0-10 |
| Facteurs | Confidentialité, intégrité, disponibilité, exploitabilité, remédiation, confiance dans les rapports | Agent de menace, vulnérabilité, impact | Dommages, reproductibilité, exploitabilité, utilisateurs concernés, découvrabilité |
| Utilisation de mesures temporelles et environnementales | Oui | Non | Non |
L'avenir du CVSS
À mesure que les cybermenaces continuent d’évoluer, CVSS évoluera également. La communauté travaille activement à affiner le système de notation pour mieux refléter la gravité des vulnérabilités. Les technologies d’IA et d’apprentissage automatique peuvent être intégrées pour automatiser le processus de notation CVSS et le rendre plus précis.
En outre, les futures versions de CVSS pourraient intégrer des mesures plus diverses pour s'adapter au paysage en constante évolution des cybermenaces, notamment les appareils IoT, les systèmes de contrôle industriel, etc.
Serveurs proxy et CVSS
Les serveurs proxy, comme ceux fournis par OneProxy, peuvent jouer un rôle important dans la gestion des vulnérabilités et dans l'utilisation des scores CVSS. En agissant comme intermédiaire pour les requêtes des clients, les serveurs proxy peuvent filtrer le trafic malveillant, réduisant ainsi la surface d'attaque et les vulnérabilités potentielles.
De plus, l’utilisation de serveurs proxy dotés d’un processus robuste de gestion des vulnérabilités (qui inclut CVSS) peut offrir une protection améliorée. Lorsque les serveurs proxy enregistrent le trafic, ils peuvent fournir des données précieuses pour les audits de sécurité et aider à identifier les vulnérabilités potentielles.
Liens connexes
Pour plus d’informations sur CVSS, reportez-vous aux ressources suivantes :
Comprendre et appliquer CVSS est essentiel pour toute organisation cherchant à améliorer sa gestion des vulnérabilités et sa posture globale de cybersécurité. En intégrant CVSS dans leur cadre d'évaluation des risques, les entreprises peuvent s'assurer qu'elles priorisent et répondent efficacement aux vulnérabilités.
