CVSS, ou Common Vulnerability Scoring System, est un cadre standardis\u00e9 et ouvert permettant d'\u00e9valuer la gravit\u00e9 des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 des syst\u00e8mes informatiques. Il permet aux professionnels de l'informatique et aux organisations de prioriser les r\u00e9ponses aux risques de s\u00e9curit\u00e9 de mani\u00e8re coh\u00e9rente et \u00e9clair\u00e9e. CVSS fournit un moyen de capturer les principales caract\u00e9ristiques d'une vuln\u00e9rabilit\u00e9 et de produire un score num\u00e9rique refl\u00e9tant sa gravit\u00e9, en tenant compte des mesures de base, temporelles et environnementales.<\/p>\n
CVSS est n\u00e9 d\u2019une initiative du National Infrastructure Advisory Council (NIAC) aux \u00c9tats-Unis. Au d\u00e9but des ann\u00e9es 2000, le NIAC a reconnu la n\u00e9cessit\u00e9 d'un syst\u00e8me standard d'\u00e9valuation des vuln\u00e9rabilit\u00e9s informatiques afin de mieux g\u00e9rer et att\u00e9nuer les menaces potentielles pour l'infrastructure.<\/p>\n
La premi\u00e8re version de CVSS (CVSS v1) a \u00e9t\u00e9 publi\u00e9e en 2005 par le Forum des \u00e9quipes de r\u00e9ponse aux incidents et de s\u00e9curit\u00e9 (FIRST). Cet outil a \u00e9t\u00e9 con\u00e7u pour fournir des \u00e9valuations de vuln\u00e9rabilit\u00e9 unifi\u00e9es, facilitant ainsi le processus de prise de d\u00e9cision pour les \u00e9quipes d'intervention en mati\u00e8re de s\u00e9curit\u00e9. Depuis, il a \u00e9t\u00e9 mis \u00e0 jour et am\u00e9lior\u00e9, la troisi\u00e8me et derni\u00e8re version (CVSS v3.1) \u00e9tant publi\u00e9e en 2019.<\/p>\n
CVSS est principalement con\u00e7u pour fournir une mesure impartiale de la gravit\u00e9 des vuln\u00e9rabilit\u00e9s. Le syst\u00e8me de notation permet aux organisations de se concentrer sur les probl\u00e8mes les plus importants auxquels leurs syst\u00e8mes peuvent \u00eatre confront\u00e9s. Il ne s'agit pas simplement d'un outil de classification, mais \u00e9galement d'un guide permettant de prendre les mesures appropri\u00e9es en r\u00e9ponse aux menaces.<\/p>\n
Les scores CVSS vont de 0 \u00e0 10, o\u00f9 0 repr\u00e9sente aucun risque et 10 indique le niveau de gravit\u00e9 le plus \u00e9lev\u00e9. Ces scores sont calcul\u00e9s sur la base de trois groupes de m\u00e9triques\u00a0:<\/p>\n
M\u00e9triques de base<\/strong>: Il s'agit de caract\u00e9ristiques d'une vuln\u00e9rabilit\u00e9 qui sont constantes dans le temps et dans les environnements utilisateur, comme le vecteur d'attaque, la complexit\u00e9, les privil\u00e8ges requis, l'interaction utilisateur, la port\u00e9e et l'impact sur la confidentialit\u00e9, l'int\u00e9grit\u00e9 et la disponibilit\u00e9.<\/p>\n<\/li>\n M\u00e9triques temporelles<\/strong>: Ces m\u00e9triques \u00e9voluent au fil du temps et traitent de l\u2019\u00e9tat actuel de la vuln\u00e9rabilit\u00e9. Ils incluent l\u2019exploitabilit\u00e9, le niveau de correction et la confiance des rapports.<\/p>\n<\/li>\n Mesures environnementales<\/strong>: ces mesures sont sp\u00e9cifiques \u00e0 l'environnement d'un utilisateur, telles que le potentiel de dommages collat\u00e9raux, la distribution des cibles et les exigences de s\u00e9curit\u00e9.<\/p>\n<\/li>\n<\/ul>\n Le cadre CVSS est con\u00e7u pour capturer et communiquer des informations sur les vuln\u00e9rabilit\u00e9s dans un format coh\u00e9rent et facile \u00e0 comprendre. Sa structure est bas\u00e9e sur des cha\u00eenes vectorielles et des m\u00e9canismes de notation\u00a0:<\/p>\n Cordes vectorielles<\/strong>: Il s'agit de repr\u00e9sentations textuelles simples des mesures utilis\u00e9es pour calculer le score. Chaque m\u00e9trique re\u00e7oit une valeur qui indique son impact potentiel. Par exemple, dans CVSS v3.1, une cha\u00eene vectorielle pourrait ressembler \u00e0 ceci : CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A :H.<\/p>\n<\/li>\n M\u00e9canisme de notation<\/strong>: Apr\u00e8s avoir attribu\u00e9 des valeurs aux m\u00e9triques dans la cha\u00eene vectorielle, une formule est appliqu\u00e9e pour g\u00e9n\u00e9rer le score de base. Les scores temporels et environnementaux sont ensuite d\u00e9riv\u00e9s du score de base en utilisant diff\u00e9rentes formules.<\/p>\n<\/li>\n<\/ul>\n Certaines des principales caract\u00e9ristiques du cadre CVSS incluent\u00a0:<\/p>\n Il existe trois versions de CVSS qui ont \u00e9t\u00e9 publi\u00e9es jusqu'\u00e0 pr\u00e9sent\u00a0:<\/p>\n La principale application de CVSS concerne les processus de gestion des vuln\u00e9rabilit\u00e9s et de r\u00e9ponse aux incidents. Les organisations utilisent les scores CVSS pour prioriser les efforts de rem\u00e9diation en fonction de la gravit\u00e9 des vuln\u00e9rabilit\u00e9s. Cependant, le syst\u00e8me de notation ne prend pas en compte le contexte commercial d'une organisation, ce qui pourrait entra\u00eener une allocation inefficace des ressources s'il est utilis\u00e9 de mani\u00e8re isol\u00e9e.<\/p>\n La solution consiste \u00e0 int\u00e9grer les scores CVSS dans un cadre de gestion des risques plus large qui prend en compte les impacts commerciaux sp\u00e9cifiques et les exigences de s\u00e9curit\u00e9. De cette fa\u00e7on, les entreprises peuvent cr\u00e9er une approche \u00e9quilibr\u00e9e en mati\u00e8re de gestion des vuln\u00e9rabilit\u00e9s.<\/p>\n Il existe d'autres syst\u00e8mes d'\u00e9valuation des vuln\u00e9rabilit\u00e9s informatiques, mais CVSS se distingue par sa nature exhaustive, son ouverture et son adoption g\u00e9n\u00e9ralis\u00e9e. Voici une br\u00e8ve comparaison :<\/p>\nD\u00e9m\u00ealer le cadre CVSS<\/h2>\n
\n
Principales caract\u00e9ristiques du CVSS<\/h2>\n
\n
Types de CVSS<\/h2>\n
\n
Utiliser CVSS\u00a0:\u00a0probl\u00e8mes et solutions<\/h2>\n
Comparaison de CVSS avec d'autres normes<\/h2>\n