Le CVSS (Common Vulnerability Scoring System) est une norme internationale pour mesurer la gravité des vulnérabilités de sécurité dans les logiciels et les systèmes.
Table des matières
Le CVSS utilise des critères neutres vis-à-vis des fournisseurs et une méthodologie de notation standardisée pour exprimer la gravité des vulnérabilités de manière cohérente et quantitative.
En s'appuyant sur des métriques objectives plutôt que sur des interprétations spécifiques aux fournisseurs, le CVSS permet aux organisations de comparer les vulnérabilités entre les produits, les environnements et les industries en utilisant un langage commun.
Quel est le but du CVSS ?
Le but du CVSS est d'aider les organisations à évaluer, comparer et prioriser les vulnérabilités de manière cohérente en fonction de leur gravité. Les scores CVSS fournissent une entrée structurée dans la gestion des vulnérabilités et les décisions de remédiation basées sur les risques.
Chaque vulnérabilité se voit attribuer un score numérique allant de 0.0 à 10.0, qui est également associé à des niveaux de gravité qualitatifs :
- Faible
- Moyen
- Élevé
- Critique
En raison de son approche standardisée, le CVSS est largement utilisé par les équipes de sécurité, les fournisseurs, les intervenants en cas d'incident et les bases de données de vulnérabilités comme référence principale pour la priorisation des remédiations.
Qui maintient le CVSS et comment a-t-il évolué ?
Le CVSS est maintenu par le CVSS Special Interest Group (CVSS-SIG) sous la direction de FIRST (Forum of Incident Response and Security Teams). FIRST est une organisation internationale de cybersécurité axée sur l'amélioration de la réponse aux incidents et de la coordination des vulnérabilités dans le monde entier.
Depuis son introduction, le CVSS a subi plusieurs révisions pour refléter les changements technologiques et les évolutions des menaces. La mise à jour majeure la plus récente a été annoncée en juillet 2023, avec la sortie officielle du CVSS v4.0 en novembre 2023, marquant une évolution significative dans l'évaluation de la gravité des vulnérabilités.
FIRST décrit le CVSS comme un cadre conçu pour fournir « une approche standardisée pour évaluer la gravité des vulnérabilités et aider les organisations à prioriser les efforts de réponse. »
— FIRST (Forum of Incident Response and Security Teams)
Qu'est-ce que le CVSS v4.0 et pourquoi est-il important ?
Le CVSS v4.0 est la dernière version majeure du cadre CVSS, conçue pour résoudre les limitations structurelles des versions antérieures. Il améliore la précision des scores, réduit les ambiguïtés et étend l'applicabilité au-delà des environnements IT traditionnels.
Notamment, le CVSS v4.0 introduit une séparation plus claire des métriques, une granularité de notation accrue et un support explicite pour les environnements de technologie opérationnelle (OT), les systèmes de contrôle industriel (ICS) et les environnements IoT, reflétant le fonctionnement réel des organisations modernes.
Quelles sont les groupes de métriques du CVSS v4.0 ?
Le CVSS v4.0 est composé de quatre groupes de métriques qui évaluent la gravité des vulnérabilités sous différents angles. Ces groupes peuvent être combinés pour calculer des scores adaptés à des cas d'utilisation spécifiques.
Les quatre groupes de métriques sont :
- Métriques de base – Mesurent la gravité intrinsèque d'une vulnérabilité
- Métriques de menace – Reflètent l'activité d'exploitation réelle
- Métriques environnementales – Adaptent la gravité en fonction du contexte organisationnel
- Métriques supplémentaires – Fournissent un contexte supplémentaire lié à la réponse
Chaque groupe remplit un objectif distinct dans les flux de travail d'évaluation et de réponse aux vulnérabilités.
Quelles sont les Métriques de base du CVSS ?
Les Métriques de base mesurent la gravité inhérente d'une vulnérabilité, indépendamment des conditions externes. Elles évaluent à la fois la difficulté d'exploitation d'une vulnérabilité et l'impact potentiel si l'exploitation se produit.
Les Métriques de base sont généralement évaluées par le fournisseur du produit et, une fois définies, restent stables dans le temps. Dans le CVSS v4.0, les Métriques de base ont été affinées pour améliorer la clarté et la granularité, permettant ainsi une notation de gravité plus précise.
Quelles sont les Métriques de menace du CVSS ?
Les Métriques de menace évaluent l'activité d'exploitation réelle d'une vulnérabilité dans des conditions réelles. Ce groupe de métriques se concentre sur l'existence de code d'exploitation et sur l'observation de l'exploitation dans la nature.
Étant donné que l'activité des menaces évolue dans le temps, les Métriques de menace sont par nature dynamiques et sont généralement évaluées par les consommateurs de vulnérabilités en utilisant des renseignements sur les menaces et le contexte opérationnel.
Les considérations clés incluent :
- Disponibilité du code d'exploitation
- Preuves d'exploitation active ou généralisée
Quelles sont les Métriques environnementales du CVSS ?
Les Métriques environnementales adaptent la gravité des vulnérabilités à l'environnement spécifique d'une organisation. Elles prennent en compte l'importance du système affecté pour la confidentialité, l'intégrité et la disponibilité au sein d'une organisation donnée.
Par conséquent, les scores des Métriques environnementales peuvent varier considérablement entre les organisations en fonction du rôle du système, de l'impact commercial et des contraintes opérationnelles.
Quelles sont les Métriques supplémentaires du CVSS ?
Les Métriques supplémentaires fournissent des informations contextuelles supplémentaires pour soutenir les décisions de réponse aux vulnérabilités. Bien qu'elles n'influencent pas les calculs de score CVSS, elles offrent des informations précieuses pour la planification de la remédiation.
Exemples de facteurs capturés par les Métriques supplémentaires :
- Niveau d'automatisation des attaques
- Complexité de la récupération
- Effort nécessaire pour restaurer les systèmes affectés
Ces métriques aident les organisations à passer de l'évaluation de la gravité à la planification pratique de la réponse.
Quels types de scores CVSS existent dans le CVSS v4.0 ?
Le CVSS v4.0 prend en charge plusieurs types de scores basés sur différentes combinaisons de groupes de métriques. Cela permet aux organisations d'évaluer la gravité des vulnérabilités sous des perspectives de base, environnementales et de menace en temps réel.
Les principaux types de scores CVSS incluent :
- CVSS-B – Score de base uniquement
- CVSS-BE – Base + Environnement
- CVSS-BT – Base + Menace
- CVSS-BTE – Base + Menace + Environnement
Par exemple, les organisations évaluant la gravité des vulnérabilités dans leur propre environnement s'appuient généralement sur le CVSS-BE, tandis que celles intégrant des renseignements sur les menaces actives utilisent le CVSS-BTE.
Qu'est-ce qui a changé dans le CVSS v4.0 par rapport au CVSS v3.1 ?
Le CVSS v4.0 a été développé pour résoudre des problèmes bien documentés dans le CVSS v3.1. Au fil du temps, le CVSS v3.1 est devenu de plus en plus mal adapté aux systèmes modernes et aux conditions de menace.
FIRST a identifié plusieurs problèmes clés, notamment :
- Dépendance excessive aux scores de base pour l'analyse des risques
- Influence limitée des Métriques temporelles (désormais Métriques de menace)
- Représentation insuffisante des menaces en temps réel
- Applicabilité limitée aux systèmes OT, ICS et critiques pour la sécurité
- Concentration excessive des scores dans les plages « Élevée » et « Critique »
- Granularité de notation limitée
- Méthodologie de notation complexe et peu intuitive
Défis du CVSS v3.1 publiés par FIRST, résumés et traduits pour plus de clarté.
Comment ces changements améliorent-ils le CVSS v4.0 ?
Les mises à jour introduites dans le CVSS v4.0 rendent la notation des vulnérabilités plus précise, exploitable et pertinente. Chaque changement cible directement une limitation identifiée dans les versions précédentes.
Les améliorations clés incluent :
- Granularité accrue au sein des Métriques de base
- Suppression de la logique de notation en aval ambiguë
- Simplification des Métriques de menace avec une influence de notation accrue
- Introduction des Métriques supplémentaires pour le soutien à la réponse
- Applicabilité étendue aux environnements OT, ICS et IoT
FIRST note que le CVSS v4.0 a été conçu pour « mieux refléter les conditions réelles d'exploitation et les architectures de systèmes modernes. »
Pourquoi la couverture OT étendue est-elle le changement le plus significatif du CVSS v4.0 ?
L'amélioration la plus significative du CVSS v4.0 est son inclusion explicite des environnements de technologie opérationnelle (OT). C'est la première version du CVSS à prendre en compte formellement les vulnérabilités pouvant avoir des implications sur la sécurité physique.
Alors que la transformation numérique continue de brouiller la frontière entre IT et OT, les vulnérabilités dans les systèmes industriels peuvent avoir un impact direct sur la production, la sécurité et la vie humaine. Le CVSS v4.0 reflète cette réalité en intégrant des métriques sensibles à la sécurité et des considérations d'impact en aval.
Comment les organisations doivent-elles se préparer à utiliser efficacement le CVSS v4.0 ?
Pour utiliser efficacement le CVSS v4.0, les organisations doivent adapter leurs pratiques de gestion des vulnérabilités aux réalités IT et OT. Bien que le CVSS v4.0 améliore la visibilité, les défis de réponse demeurent, en particulier dans les environnements OT.
Les différences clés incluent :
- Les systèmes OT priorisent la disponibilité et la sécurité plutôt que les correctifs
- Les environnements de déploiement sont souvent fermés et gérés par les fournisseurs
- L'application de correctifs peut être impraticable ou explicitement évitée
Sans personnel comprenant à la fois les contextes IT et OT, les organisations peuvent avoir du mal à agir seules sur les informations de vulnérabilité.
Pourquoi la visibilité des actifs OT et la prévention des exploits sont-elles cruciales ?
La visibilité des actifs OT et la prévention des exploits sont essentielles lorsque l'application de correctifs traditionnels n'est pas pratique. Les organisations doivent d'abord comprendre quels actifs OT elles possèdent avant de pouvoir gérer les vulnérabilités associées.
La réduction efficace des risques de vulnérabilité OT implique généralement :
- Découverte complète des actifs OT
- Surveillance continue du trafic réseau
- Capteurs et outils de visibilité spécifiques à l'OT
- Application de correctifs virtuels via des systèmes de prévention des intrusions (IPS) axés sur l'OT
Ces contrôles aident à prévenir l'exploitation et à réduire les risques même lorsque les vulnérabilités ne peuvent pas être corrigées par des correctifs.
Où puis-je obtenir de l'aide avec le CVSS et la priorisation des risques de vulnérabilité ?
Trend Vision One™ offre une solution de gestion de l'exposition aux risques cybernétiques (CREM) qui va au-delà de la notation de base du CVSS pour aider les organisations à comprendre, prioriser et réduire les risques sur l'ensemble de leur surface d'attaque. Elle combine la notation de la gravité des vulnérabilités avec des renseignements sur les menaces en temps réel et une analyse contextuelle des risques, permettant aux équipes de sécurité de prendre des décisions plus rapides et plus intelligentes.
Cette approche intègre des capacités clés telles que la gestion de la surface d'attaque, la gestion des vulnérabilités et l'évaluation de la posture de sécurité dans les environnements IT, OT, cloud et hybrides. Il ne s'agit pas seulement d'identifier les vulnérabilités, mais de transformer les informations en actions concrètes qui renforcent la résilience et minimisent l'exposition.
Avec la gestion de l'exposition aux risques cybernétiques, vous pouvez :
- Gagner en visibilité sur vos actifs et vulnérabilités les plus critiques
- Prioriser la remédiation en fonction des risques réels, pas seulement des scores théoriques
- Réduire la probabilité d'exploitation grâce à des stratégies de réduction des risques proactives
Foire aux questions (FAQ)
Que signifie CVSS dans le domaine de la cybersécurité ?
CVSS signifie Common Vulnerability Scoring System. C'est un cadre standardisé utilisé pour mesurer la gravité des vulnérabilités de sécurité dans les logiciels et les systèmes. Le CVSS fournit des scores numériques qui aident les organisations à comparer les vulnérabilités de manière cohérente et à prioriser les efforts de remédiation.
Qu'est-ce qu'un score CVSS ?
Un score CVSS est une valeur numérique qui représente la gravité d'une vulnérabilité. Les scores vont de 0.0 à 10.0, les scores plus élevés indiquant un risque plus grand. Ces scores sont couramment catégorisés en Faible, Moyen, Élevé ou Critique.
Qui utilise les scores CVSS ?
Les scores CVSS sont utilisés par les équipes de sécurité, les fournisseurs et les bases de données de vulnérabilités dans le monde entier. Les organisations s'appuient sur eux pour prioriser les correctifs, guider la réponse aux incidents et soutenir les décisions de gestion des vulnérabilités basées sur les risques dans divers environnements.
Quelle est la différence entre le CVSS v3.1 et le CVSS v4.0 ?
Le CVSS v4.0 améliore la précision et l'applicabilité par rapport au CVSS v3.1. Il introduit une plus grande granularité de notation, simplifie l'évaluation des menaces et étend la couverture aux environnements OT, ICS et IoT tout en réduisant les ambiguïtés de notation.
Quels sont les groupes de métriques dans le CVSS v4.0 ?
Le CVSS v4.0 comprend quatre groupes de métriques qui évaluent la gravité des vulnérabilités sous différents angles. Il s'agit des Métriques de base, des Métriques de menace, des Métriques environnementales et des Métriques supplémentaires, qui ensemble soutiennent une évaluation de la gravité plus contextuelle.