search close

Plateforme
- Plateforme Trend Vision One
  - Plateforme Trend Vision One
    - Trend Vision One™
      
      Plateforme
      
      Faites le lien entre protection contre les menaces et gestion des cyber-risques
      En savoir plus
  - Trend Vision One Marketplace
    - Trend Vision One™
      
      Place de marché
      
      Découvrez les solutions partenaires approuvées par Trend pour notre plateforme leader
      En savoir plus
- Cyber Risk Exposure Management
  - Trend Vision One™
    
    Cyber Risk Exposure Management (CREM)
    
    Le leader de la gestion de l'exposition : transformer la visibilité sur les cyber-risques en une sécurité décisive et proactive
    En savoir plus
- Security Operations
  - Trend Vision One™
    
    Security Operations (SecOps)
    
    Neutralise les adversaires grâce à une visibilité inégalée, alimentée par les renseignements de XDR, Agentic SIEM et Agentic SOAR, pour laisser aux attaquants le temps de se cacher
    En savoir plus
- Cloud Security
  - Cloud Security
    - Trend Vision One™
      
      Cloud Security
      
      La plateforme de sécurité du cloud la plus fiable pour les développeurs, les équipes de sécurité et les entreprises
      En savoir plus
  - XDR pour le cloud
    - Trend Vision One™
      
      XDR pour le cloud
      
      Étendre la visibilité au cloud et simplifier les investigations dans le SOC
      En savoir plus
  - Container Security
    - Trend Vision One™
      
      Container Security
      
      Simplifiez la sécurité pour vos applications natives du cloud avec une analyse avancée des images de conteneur, un contrôle d'entrée basé sur politique et une protection pour l'exécution de conteneur.
      En savoir plus
  - File Security
    - Trend Vision One™
      
      File Security
      
      Protégez le flux de travail des applications et le stockage cloud contre les menaces avancées
      En savoir plus
  - Gestion des risques cloud
    - Trend Vision One™
      
      Gestion des risques cloud
      
      Unifiez la visibilité multi-cloud, éliminez les risques cachés et sécurisez votre avenir
      En savoir plus
  - Workload Security
    - Trend Vision One™
      
      Workload Security
      
      Sécurisez votre data center, votre cloud et vos conteneurs sans compromis sur les performances en exploitant une plateforme de sécurité cloud dotée de fonctionnalités CNAPP
      En savoir plus
  - Code Security
    - Trend Vision One™
      
      Code Security
      
      Protection proactive pour chaque phase du cycle de développement logiciel
      En savoir plus
- Endpoint Security
  - Endpoint Security
    - Trend Vision One™
      
      Endpoint Security
      
      Protéger les endpoints à chaque étape d’une attaque
      En savoir plus
  - XDR for Endpoint
    - Trend Vision One™
      
      XDR for Endpoint
      
      Barrez plus rapidement la route aux adversaires grâce à une perspective plus étendue et à un meilleur contexte pour identifier et détecter les menaces, mener une investigation et répondre aux menaces depuis une seule plateforme
      En savoir plus
  - Workload Security
    - Trend Vision One™
      
      Workload Security
      
      Prévention, détection et réponse aux menaces optimisées pour les endpoints, les serveurs et les instances cloud
      En savoir plus
- Network Security
  - Network Security
    - Trend Vision One™
      
      Network Security
      
      Dopez la puissance de XDR avec une fonction de détection et de réponse aux menaces sur le réseau
      En savoir plus
  - XDR for Network (NDR)
    - Trend Vision One™
      
      XDR for Network (NDR)
      
      Barrez plus rapidement la route aux adversaires grâce à une perspective plus étendue et à un meilleur contexte pour identifier et détecter les menaces, mener une investigation et répondre aux menaces depuis une seule plateforme
      En savoir plus
  - Network Intrusion Prevention (IPS)
    - Network Intrusion Prevention (IPS)
      
      Protégez-vous contre les vulnérabilités connues, inconnues et non divulguées ciblant votre réseau.
      En savoir plus
  - 5G Network Security
    - 5G Network Security
      En savoir plus
  - Industrial Network Security
    - Industrial Network Security
      En savoir plus
  - Zero Trust Secure Access (ZTSA)
    - Zero Trust Secure Access (ZTSA)
      - Trend Vision One™
        
        Zero Trust Secure Access (ZTSA)
        
        Repensez le concept de confiance et sécurisez votre transformation digitale à l’aide d’une évaluation permanente des risques
        En savoir plus
    - AI Secure Access
      - AI Secure Access
        
        Assurez une visibilité et un contrôle unifiés pour tous les services d'IA générative, utilisateurs et interactions
        En savoir plus
- Email and Collaboration Security
  - Trend Vision One™
    
    Email and Collaboration Security
    
    Gardez une longueur d’avance sur le phishing, le BEC, les ransomware et les escroqueries grâce à une sécurité des emails optimisée par l’IA, en neutralisant les menaces avec rapidité, facilité et précision
    En savoir plus
- Threat Intelligence
  - Trend Vision One™
    
    Threat Intelligence
    
    Repérez les menaces de loin
    En savoir plus
- Identity Security
  - Trend Vision One™
    
    Identity Security
    
    Une sécurité des identités de bout en bout, de la gestion de la posture d’identité à la détection et à la réponse aux menaces
    En savoir plus
- Sécurité avec l’IA
  - Sécurité avec l’IA
    - L'IA chez Trend
      
      Découvrez des solutions d'IA conçues pour protéger votre entreprise, soutenir la conformité et favoriser l'innovation responsable
      En savoir plus
  - Sécurité de l'IA proactive
    - Sécurité de l'IA proactive
      
      Renforcez vos défenses grâce à la première IA de cybersécurité proactive du secteur, sans zones d'ombre ni surprises
      Sécurité de l'IA proactive
  - Trend Cybertron
    - Trend Cybertron
      
      La première IA de cybersécurité proactive du secteur
      Trend Cybertron
  - Trend Companion
    - Trend Companion
      
      Exploitez une étendue et une profondeur inégalées des données, une analyse de haute qualité, une sélection et un étiquetage pour accéder à des informations pertinentes et exploitables
      En savoir plus
  - Sécurité pour les piles d'IA
    - Sécurité pour les piles d'IA
      
      Sécurisez votre parcours avec l'IA et éliminez les vulnérabilités avant que les attaques ne se produisent, afin de pouvoir innover en toute confiance
      En savoir plus
  - Écosystème d’IA
    - Écosystème d’IA
      
      Façonner l'avenir de la cybersécurité grâce à l'innovation IA, au leadership réglementaire et à des normes fiables
      En savoir plus
  - AI Factory
    - AI Factory
      
      Accélérez le déploiement de l'IA en entreprise avec sécurité, conformité et confiance
      En savoir plus
  - Jumeau numérique
    - Jumeau numérique
      
      Les jumeaux numériques haute fidélité soutiennent la planification prédictive, les investissements stratégiques et l'optimisation de la résilience
      En savoir plus
- Tous les produits, services et évaluations
  - Tous les produits, services et évaluations
    En savoir plus
- Data Security
  - Trend Vision One™
    
    Data Security
    
    Prévenez les fuites de données grâce à une visibilité centralisée, à la hiérarchisation intelligente des risques et à des capacités de réponse rapide
    En savoir plus
Solutions
- Par secteur
  - Par secteur
    - Par secteur
      En savoir plus
  - Éducation
    - Éducation
      
      Sécurisez l'apprentissage 24 h/24 grâce à une visibilité et à une automatisation optimisées par l'IA
      En savoir plus
  - Secteur public
    - Secteur public
      
      Défendez-vous contre les menaces liées aux États-nations, accélérez la conformité et sécurisez les environnements hybrides avec une sécurité optimisée par IA
      En savoir plus
  - Santé et sciences de la vie
    - Santé et sciences de la vie
      
      Empêchez les menaces de perturber les soins de santé
      En savoir plus
  - Production industrielle et énergies
    - Production industrielle et énergies
      
      Assurez la continuité des opérations et assurez la sécurité
      En savoir plus
  - Secteurs d’activité critiques
    - Secteurs d’activité critiques
      
      Une protection souveraine pour défendre ce qui compte pour vous
      En savoir plus
  - Secteurs Financiers
    - Secteurs Financiers
      
      L’IA pour gérer les risques, protéger vos données clients, favoriser la confiance et faciliter la conformité
      En savoir plus
- Cyber-assurance
  - Cyber-assurance
    - Cyber-assurance
      
      Améliorez votre sécurité numérique et votre confidentialité avec la cyber-assurance
      En savoir plus
  - Breach coachs
    - Breach coachs
      
      Minimisez les risques et optimisez la sécurité grâce à un breach coach
      En savoir plus
  - Assurabilité
    - Assurabilité
      
      Comment Trend peut vous aider à déterminer votre éligibilité avec plusieurs fonctionnalités
      En savoir plus
  - Services pré-violation
    - Services pré-violation
      
      Renforcez vos cyberdéfenses avec les services d’évaluation pré-violation
      En savoir plus
  - Planification de la réponse à l’incidence
    - Planification de la réponse à l’incidence
      
      Déjouez les cybermenaces en vous préparant avec un plan de réponse aux incidents
      En savoir plus
  - Invision Cyber
    - Invision Cyber
      
      Une couverture intelligente et basée sur les risques, adaptée à votre posture de sécurité
      En savoir plus
- Sécurité des petites et moyennes entreprises
  - Sécurité des petites et moyennes entreprises
    
    Arrêtez les menaces grâce à des solutions simples d’utilisation, conçues pour votre entreprise en développement
    En savoir plus
Recherche
- Recherche
  - Recherche
    - Recherche
      En savoir plus
  - Recherche, nouvelles et perspectives
    - Recherche, nouvelles et perspectives
      En savoir plus
  - Recherche et analyse
    - Recherche et analyse
      En savoir plus
  - Nouvelles relatives à la sécurité
    - Nouvelles relatives à la sécurité
      En savoir plus
  - Programme Zero Day Initiative (ZDI)
    - Programme Zero Day Initiative (ZDI)
      En savoir plus
Services
- Nos services
  - Nos services
    - Nos services
      
      Complétez votre équipe avec des experts en cybersécurité de confiance, 24 h/24 et 7 j/7, pour prédire, prévenir et gérer les violations.
      En savoir plus
  - Packages de services
    - Packages de services
      
      Aidez les équipes de sécurité grâce à une détection, une réponse et un support managés 24 h/24, 7 j/7 et 365 j/365
      En savoir plus
  - Cyber Risk Advisory
    - Cyber Risk Advisory
      
      Évaluez, comprenez et atténuez les cyber-risques grâce à des conseils stratégiques
      En savoir plus
  - Managed Detection and Response (MDR)
    - Managed Detection and Response (MDR)
      
      Affinez la détection des menaces avec un service managé de détection et de réponse (Managed Detection and Response, MDR) pour les emails, les endpoints, les serveurs, les instances cloud et les réseaux
      En savoir plus
  - Réponse aux incidents
    - Réponse aux incidents
      - Réponse aux incidents
        
        Nos experts de confiance sont disponibles, que vous subissiez une violation ou cherchiez à améliorer proactivement vos plans IR.
        En savoir plus
    - Compagnies d'assurance et cabinets d'avocats
      - Compagnies d'assurance et cabinets d'avocats
        
        Stoppez les violations grâce à la meilleure technologie de réponse et de détection sur le marché, réduisez les temps d'arrêt pour les clients et récupérez des coûts
        En savoir plus
  - Équipes rouges et violettes
    - Équipes rouges et violettes
      
      Exécutez des scénarios d'attaque en temps réel pour vous préparer et renforcer vos défenses
      En savoir plus
  - Services de support
    - Services de support
      En savoir plus
Partenaires
- Programme de partenariat
  - Programme de partenariat
    - Vue d’ensemble du programme de partenariat
      
      Développez votre activité et protégez vos clients grâce à une sécurité intégrale et en profondeur
      En savoir plus
  - Compétences des partenaires
    - Compétences des partenaires
      
      Démarquez-vous auprès des clients grâce à des validations de compétence qui mettent en avant votre expertise
      En savoir plus
  - Réussite des partenaires
    - Réussite des partenaires
      En savoir plus
  - Fournisseurs de services (xSP)
    - Fournisseurs de services (xSP)
      
      Fournissez des services de sécurité proactifs avec une plateforme de sécurité unique axée sur les partenaires, conçue pour les MSP, les MSSP et les équipes DFIR
      En savoir plus
- Partenaires d'alliance
  - Partenaires d'alliance
    - Partenaires d'alliance
      
      Nous travaillons avec les meilleurs pour vous aider à optimiser vos performances et votre création de valeur
      En savoir plus
  - Partenaires technologiques
    - Partenaires technologiques
      En savoir plus
  - Trouver des partenaires d'alliance
    - Trouver des partenaires d'alliance
      En savoir plus
- Ressources des partenaires
  - Ressources des partenaires
    - Ressources des partenaires
      
      Découvrez les ressources conçues pour accélérer la croissance de votre entreprise et améliorer vos capacités en tant que partenaire Trend Micro
      En savoir plus
  - Connexion au portail des partenaires
    - Connexion au portail des partenaires
      Connexion
  - Campus Trend
    - Campus Trend
      
      Accélérez votre apprentissage avec le Campus Trend, une plateforme éducative simple d’utilisation qui propose des conseils techniques personnalisés
      En savoir plus
  - Co-vente
    - Co-vente
      
      Accédez à des services collaboratifs conçus pour vous aider à démontrer la valeur de Trend Vision One™ et à développer votre activité
      En savoir plus
  - Devenir partenaire
    - Devenir partenaire
      En savoir plus
- Trouver des partenaires
  - Trouver des partenaires
    
    Localiser un partenaire auprès duquel vous pouvez acheter des solutions Trend Micro
    En savoir plus
- Trend Vision One Marketplace
  - Trend Vision One™
    
    Place de marché
    
    Découvrez les solutions partenaires approuvées par Trend pour notre plateforme leader
    En savoir plus
Entreprise
- Pourquoi choisir Trend Micro
  - Pourquoi choisir Trend Micro
    - Pourquoi choisir Trend Micro
      En savoir plus
  - Récompenses de l'industrie
    - Récompenses de l'industrie
      En savoir plus
  - Alliances stratégiques
    - Alliances stratégiques
      En savoir plus
- Témoignages de clients
  - Témoignages de clients
    - Témoignages clients
      
      Témoignages et études de cas réels sur la façon dont les clients internationaux utilisent Trend pour prédire, prévenir, détecter et répondre aux menaces
      En savoir plus
  - Impact de l'ESG sur l'entreprise
    - Impact de l'ESG sur l'entreprise
      
      Découvrez comment la cyber-résilience a mené à un impact mesurable, à une défense plus intelligente et à des performances durables.
      En savoir plus
  - Voix du client
    - Voix du client
      
      Découvrez les témoignages directs de nos utilisateurs. Leurs informations façonnent nos solutions et favorisent l'amélioration continue.
      En savoir plus
  - Relations humaines
    - Relations humaines
      
      Découvrez les personnes en charge de la protection : notre équipe, nos clients et le bien-être numérique amélioré.
      En savoir plus
- Comparez Trend Micro
  - Comparez Trend Micro
    - Comparez Trend Micro
      
      Découvrez comment Trend dépasse la concurrence
      Allons-y
  - par rapport à CrowdStrike
    - Trend Micro par rapport à CrowdStrike
      
      Crowdstrike fournit une cybersécurité efficace via sa plateforme native du cloud, mais ses tarifs peuvent mettre les budgets à rude épreuve, en particulier pour les organisations qui recherchent une évolutivité économique sur une seule plateforme.
      Allons-y
  - par rapport à Microsoft
    - Trend Micro par rapport à Microsoft
      
      Microsoft offre une couche de protection de base, mais nécessite souvent l’ajout d'autres solutions pour traiter entièrement les problèmes de sécurité des clients
      Allons-y
  - par rapport à Palo Alto Networks
    - Trend Micro par rapport à Palo Alto Networks
      
      Palo Alto Networks fournit des solutions de cybersécurité avancées, mais il peut être difficile de parcourir sa suite complète et l’exploitation de toutes ses fonctionnalités requiert un investissement important.
      Allons-y
  - Comparaison avec SentinelOne
    - Comparaison entre Trend Micro et SentinelOne
      Allons-y
- À propos
  - À propos
    - À propos
      En savoir plus
  - Trust Center
    - Trust Center
      En savoir plus
  - Historique
    - Historique
      En savoir plus
  - Diversité équité et inclusion
    - Diversité équité et inclusion
      En savoir plus
  - Responsabilité sociale d’entreprise
    - Responsabilité sociale d’entreprise
      En savoir plus
  - Leadership
    - Leadership
      En savoir plus
  - Experts en sécurité
    - Experts en sécurité
      En savoir plus
  - Sensibilisation à la sécurité sur Internet et à la cybersécurité
    - Sensibilisation à la sécurité sur Internet et à la cybersécurité
      En savoir plus
  - Mentions légales
    - Mentions légales
      En savoir plus
  - Partenariat Formule 1
    - Partenariat Formule 1
      
      Partenaire officiel de l’écurie McLaren Formula 1 Team
      En savoir plus
- Communiquez avec nous
  - Communiquez avec nous
    - Communiquez avec nous
      En savoir plus
  - Salle de presse
    - Salle de presse
      En savoir plus
  - Événements
    - Événements
      En savoir plus
  - Carrières
    - Carrières
      En savoir plus
  - Webinaires
    - Webinaires
      En savoir plus

Vous recherchez des solutions domestiques ?

Vous subissez une attaque ?

Support

Ressources

Connexion

arrow_back

search close

Qu'est-ce que le CVSS (Common Vulnerability Scoring System) ?

Fernando Cardoso

- Dernière mise à jour Mar 27, 2026

Le CVSS (Common Vulnerability Scoring System) est une norme internationale pour mesurer la gravité des vulnérabilités de sécurité dans les logiciels et les systèmes.

En savoir plus

Table des matières

keyboard_arrow_down

CVSS utilise des critères neutres pour les fournisseurs et une méthodologie de notation normalisée pour exprimer la gravité de la vulnérabilité de manière cohérente et quantitative.

En s'appuyant sur des indicateurs objectifs plutôt que sur des interprétations spécifiques aux fournisseurs, CVSS permet aux organisations de comparer les vulnérabilités entre les produits, les environnements et les secteurs en utilisant un langage commun.

Quel est l’objectif du CVSS ?

L'objectif de CVSS est d'aider les organisations à évaluer, comparer et hiérarchiser les vulnérabilités de manière cohérente en fonction de leur gravité. Les scores CVSS fournissent une contribution structurée à la gestion des vulnérabilités et aux décisions de remédiation basées sur les risques.

Chaque vulnérabilité se voit attribuer un score numérique allant de 0,0 à 10,0, qui est également mappé à des niveaux de gravité qualitatifs :

Faible
Moyenne
Élevé
Critique

En raison de son approche standardisée, CVSS est largement utilisé par les équipes de sécurité, les fournisseurs, les intervenants en cas d’incident et les bases de données de vulnérabilité comme référence principale pour la hiérarchisation des mesures correctives.

Qui maintient le CVSS et comment a-t-il évolué ?

CVSS est géré par le CVSS Special Interest Group (CVSS-SIG) sous FIRST (Forum of Incident Response and Security Teams). FIRST est une organisation internationale de cybersécurité axée sur l’amélioration de la réponse aux incidents et de la coordination des vulnérabilités dans le monde entier.

Depuis son introduction, CVSS a subi plusieurs révisions pour refléter les changements dans les paysages technologiques et des menaces. La mise à jour majeure la plus récente a été annoncée en juillet 2023, avec CVSS v4.0 officiellement publié en novembre 2023, marquant une évolution significative dans la manière dont la gravité des vulnérabilités est évaluée.

FIRST décrit le CVSS comme un cadre conçu pour fournir « une approche standardisée pour évaluer la gravité des vulnérabilités et aider les organisations à hiérarchiser les efforts de réponse ».
— PREMIER (Forum des équipes de réponse aux incidents et de sécurité)

Qu’est-ce que CVSS v4.0 et pourquoi est-ce important ?

CVSS v4.0 est la dernière version majeure du cadre CVSS, conçue pour traiter les limitations structurelles dans les versions antérieures. Il améliore la précision des scores, réduit l’ambiguïté et étend l’applicabilité au-delà des environnements IT traditionnels.

Plus particulièrement, CVSS v4.0 introduit une séparation des mesures plus claire, une plus grande granularité de notation et une prise en charge explicite des environnements de technologie opérationnelle (OT), de systèmes de contrôle industriel (ICS) et d’IdO, reflétant ainsi le fonctionnement réel des organisations modernes.

Quels groupes de mesures composent CVSS v4.0 ?

CVSS v4.0 est composé de quatre groupes de mesures qui évaluent la gravité de la vulnérabilité sous différentes perspectives. Ces groupes peuvent être combinés pour calculer les scores alignés sur des cas d’utilisation spécifiques.

Les quatre groupes de mesures sont :

Indicateurs de base : mesurez la gravité intrinsèque d'une vulnérabilité
Indicateurs de menace : Reflètent l’activité d’exploitation réelle
Mesures environnementales : personnalisez la gravité en fonction du contexte organisationnel
Mesures supplémentaires : Fournir un contexte supplémentaire lié à la réponse

Chaque groupe sert un objectif distinct dans les flux de travail d’évaluation et de réponse aux vulnérabilités.

Que sont les indicateurs de base CVSS ?

Les métriques de base mesurent la gravité inhérente d’une vulnérabilité, indépendamment des conditions externes. Ils évaluent à la fois la difficulté d’exploiter une vulnérabilité et l’impact potentiel en cas d’exploitation.

Les indicateurs de base sont généralement évalués par le fournisseur du produit et, une fois définis, restent stables au fil du temps. Dans CVSS v4.0, les métriques de base ont été affinées pour améliorer la clarté et la granularité, permettant un score de gravité plus précis.

Que sont les indicateurs de menace CVSS ?

Les indicateurs de menace évaluent l'efficacité de l'exploitation d'une vulnérabilité dans des conditions réelles. Ce groupe de mesures se concentre sur l'existence d'un code d'exploit et sur l'observation d'une exploitation sauvage.

Étant donné que l'activité des menaces évolue au fil du temps, les indicateurs de menace sont intrinsèquement dynamiques et sont généralement évalués par les consommateurs de vulnérabilité à l'aide de renseignements sur les menaces et du contexte opérationnel.

Les principales considérations comprennent :

Disponibilité du code d'exploit
Preuve d'exploitation active ou généralisée

Que sont les mesures environnementales CVSS ?

Les indicateurs environnementaux adaptent la gravité de la vulnérabilité à l’environnement spécifique d’une organisation. Ils tiennent compte de l'importance du système affecté pour la confidentialité, l'intégrité et la disponibilité au sein d'une organisation donnée.

Par conséquent, les scores des indicateurs environnementaux peuvent varier considérablement entre les organisations en fonction du rôle du système, de l’impact commercial et des contraintes opérationnelles.

Que sont les mesures supplémentaires CVSS ?

Les mesures supplémentaires fournissent des informations contextuelles supplémentaires pour soutenir les décisions de réponse aux vulnérabilités. Bien qu'elles n'influencent pas les calculs de score CVSS, elles offrent des informations précieuses pour la planification de la remédiation.

Exemples de facteurs capturés par les mesures supplémentaires :

Niveau d'automatisation des attaques
Complexité de la récupération
Effort requis pour restaurer les systèmes affectés

Ces indicateurs aident les organisations à passer de l’évaluation de la gravité à la planification pratique des réponses.

Quels types de scores CVSS existent dans CVSS v4.0 ?

CVSS v4.0 prend en charge plusieurs types de score en fonction de différentes combinaisons de groupes de mesures. Cela permet aux organisations d'évaluer la gravité de la vulnérabilité du point de vue de la référence, de l'environnement et des menaces en temps réel.

Les principaux types de score CVSS comprennent :

CVSS-B – Score de base uniquement
CVSS-BE – Base + Environnement
CVSS-BT – Base + Menace
CVSS-BTE – Base + Menace + Environnement

Par exemple, les organisations qui évaluent la gravité des vulnérabilités dans leur propre environnement s'appuient généralement sur CVSS-BE, tandis que celles qui intègrent une veille active sur les menaces utilisent CVSS-BTE.

Qu’est-ce qui a changé dans CVSS v4.0 par rapport à CVSS v3.1 ?

CVSS v4.0 a été développé pour relever les défis bien documentés dans CVSS v3.1. Au fil du temps, CVSS v3.1 est devenu de plus en plus mal aligné sur les systèmes modernes et les conditions de menace.

FIRST a identifié plusieurs problèmes clés, notamment :

Dépassement des scores de base pour l'analyse des risques
Influence limitée des indicateurs temporels (aujourd’hui menace)
Représentation insuffisante des menaces en temps réel
Mauvaise applicabilité aux systèmes OT, ICS et critiques pour la sécurité
Regroupement excessif des scores dans les plages « Élevé » et « Critique »
Granularité de notation limitée
Méthodologie de notation complexe et non intuitive

Défis CVSS v3.1 tels que publiés par FIRST, résumés et traduits pour plus de clarté.

Comment ces changements améliorent-ils CVSS v4.0 ?

Les mises à jour introduites dans CVSS v4.0 rendent le score de vulnérabilité plus précis, exploitable et pertinent. Chaque modification cible directement une limitation identifiée dans les versions précédentes.

Les principales améliorations comprennent :

Granularité accrue dans les indicateurs de base
Suppression de la logique ambiguë de notation en aval
Métriques simplifiées des menaces avec une plus grande influence de notation
Introduction d'indicateurs supplémentaires pour le support de réponse
Application étendue aux environnements OT, ICS et IoT

FIRST note que le CVSS v4.0 a été conçu pour « mieux refléter les conditions d’exploitation réelles et les architectures de systèmes modernes ».

Pourquoi la couverture OT étendue est-elle le changement le plus significatif dans CVSS v4.0 ?

L’amélioration la plus significative dans CVSS v4.0 est son intégration explicite des environnements de technologie opérationnelle (OT). Il s'agit de la première version CVSS à prendre officiellement en compte les vulnérabilités qui peuvent avoir des implications physiques en matière de sécurité.

Alors que la transformation numérique continue de brouiller la ligne entre IT et OT, les vulnérabilités dans les systèmes industriels peuvent avoir un impact direct sur la production, la sécurité et la vie humaine. Le CVSS v4.0 reflète cette réalité en intégrant des mesures sensibles à la sécurité et des considérations d’impact en aval.

Comment les organisations doivent-elles se préparer à utiliser CVSS v4.0 efficacement ?

Pour utiliser efficacement CVSS v4.0, les organisations doivent adapter les pratiques de gestion des vulnérabilités pour tenir compte des réalités IT et OT. Bien que le CVSS v4.0 améliore la visibilité, les défis de réponse demeurent, en particulier dans les environnements OT.

Les principales différences comprennent :

Les systèmes OT donnent la priorité à la disponibilité et à la sécurité plutôt qu'aux correctifs
Les environnements de déploiement sont souvent fermés et gérés par les fournisseurs
Les correctifs peuvent être impossibles ou explicitement évités

Sans personnel qui comprend à la fois les contextes IT et OT, les organisations peuvent avoir du mal à agir seules sur les informations sur les vulnérabilités.

Pourquoi la visibilité des actifs OT et la prévention des exploits sont-elles essentielles ?

La visibilité des actifs OT et la prévention des exploits sont essentielles lorsque les correctifs traditionnels ne sont pas pratiques. Les organisations doivent d'abord comprendre quels actifs OT elles possèdent avant de pouvoir gérer les vulnérabilités associées.

Une réduction efficace des risques de vulnérabilité OT implique généralement :

Découverte complète des actifs OT
Surveillance continue du trafic réseau
Capteurs et outils de visibilité spécifiques aux technologies opérationnelles
Application de correctifs virtuels via des systèmes de prévention des intrusions (IPS) axés sur les technologies opérationnelles

Ces contrôles aident à prévenir l’exploitation et à réduire les risques, même lorsque les vulnérabilités ne peuvent pas être corrigées par le biais de correctifs.

Où puis-je obtenir de l’aide concernant le CVSS et la hiérarchisation des risques de vulnérabilité ?

Trend Vision One™ propose une solution de gestion de l'exposition aux cyber-risques (CREM) qui va au-delà de la notation CVSS de base pour aider les organisations à comprendre, hiérarchiser et réduire les risques sur toute leur surface d'attaque. Il associe le score de gravité des vulnérabilités à une veille en temps réel sur les menaces et à une analyse contextuelle des risques, permettant aux équipes de sécurité de prendre des décisions plus rapides et plus intelligentes.

Cette approche intègre des fonctionnalités clés telles que la gestion de la surface d'attaque, la gestion des vulnérabilités et l'évaluation de la posture de sécurité dans les environnements IT, OT, cloud et hybrides. Il ne s’agit pas seulement d’identifier les vulnérabilités, mais aussi de transformer les informations en étapes exploitables qui renforcent la résilience et minimisent l’exposition.

Grâce à la gestion de l’exposition aux cyber-risques, vous pouvez :

Bénéficiez d'une visibilité sur vos actifs et vulnérabilités les plus critiques
Hiérarchisez la remédiation en fonction des risques réels, pas seulement des scores théoriques
Réduisez la probabilité d'exploitation grâce à des stratégies proactives de réduction des risques

En savoir plus

Fernando Cardoso

Vice President of Product Management

Fernando Cardoso est vice-président de la gestion des produits chez Trend Micro, et se concentre sur le monde en constante évolution de l’IA et du cloud. Sa carrière a commencé en tant qu’ingénieur réseau et commercial, où il a perfectionné ses compétences dans les centres de données, le cloud, les DevOps et la cybersécurité, des domaines qui continuent de nourrir sa passion.

Foire aux questions (FAQ)

Expand all Hide all

Qu’est‑ce que le Common Vulnerability Scoring System ?

add

Le Common Vulnerability Scoring System est un cadre standardisé évaluant la gravité des failles, permettant classification cohérente, priorisation et gestion efficace des risques.

Qu'est-ce qu'un score CVSS ?

add

Un score CVSS est une valeur numérique qui représente la gravité d'une vulnérabilité. Les scores vont de 0.0 à 10.0, les scores plus élevés indiquant un risque plus grand. Ces scores sont couramment catégorisés en Faible, Moyen, Élevé ou Critique.

Qui utilise les scores CVSS ?

add

Les scores CVSS sont utilisés par les équipes de sécurité, les fournisseurs et les bases de données de vulnérabilités dans le monde entier. Les organisations s'appuient sur eux pour prioriser les correctifs, guider la réponse aux incidents et soutenir les décisions de gestion des vulnérabilités basées sur les risques dans divers environnements.

Quelle est la différence entre le CVSS v3.1 et le CVSS v4.0 ?

add

Le CVSS v4.0 améliore la précision et l'applicabilité par rapport au CVSS v3.1. Il introduit une plus grande granularité de notation, simplifie l'évaluation des menaces et étend la couverture aux environnements OT, ICS et IoT tout en réduisant les ambiguïtés de notation.

Quels sont les groupes de métriques dans le CVSS v4.0 ?

add

Le CVSS v4.0 comprend quatre groupes de métriques qui évaluent la gravité des vulnérabilités sous différents angles. Il s'agit des Métriques de base, des Métriques de menace, des Métriques environnementales et des Métriques supplémentaires, qui ensemble soutiennent une évaluation de la gravité plus contextuelle.

Qu'est-ce que le CVSS (Common Vulnerability Scoring System) ?

Quel est l’objectif du CVSS ?

Qui maintient le CVSS et comment a-t-il évolué ?

Qu’est-ce que CVSS v4.0 et pourquoi est-ce important ?