Qu'est-ce que le CVSS (Common Vulnerability Scoring System) ?

Le Common Vulnerability Scoring System, simplement appelé CVSS, est un cadre ouvert qui traite de l'évaluation et du classement de la gravité des vulnérabilités de sécurité. À cet égard, les scores attribués par le CVSS sont principalement utilisés par les professionnels de la cybersécurité dans le cadre d'activités d'atténuation des risques. Les scores CVSS sont échelonnés entre 0 et 10 afin de déterminer le niveau de vulnérabilité. Un rapport publié en 2023 estimait qu'environ 93 % des vulnérabilités nouvellement signalées n'étaient pas analysées par la National Vulnerability Database (NVD), laissant ainsi un nombre étonnamment élevé de vulnérabilités susceptibles d'être exploitées, avec des preuves de concept accessibles au public, sans aucune gestion.

Cet écart souligne à quel point il est essentiel de disposer d'un système commun de notation des vulnérabilités, qui permette aux organisations d'adopter une approche cohérente pour évaluer et hiérarchiser ces vulnérabilités et, sur cette base, d'adopter une attitude beaucoup plus proactive face aux nouvelles menaces émergentes.

Dans cet article, nous aborderons en détail le système commun de notation des vulnérabilités. Nous expliquerons également le système de notation des vulnérabilités, la base de calcul d'un score CVSS, passerons en revue le calculateur CVSS et le comparerons à d'autres systèmes qui prennent en charge une gestion efficace des vulnérabilités. À la fin, vous disposerez des informations nécessaires pour améliorer la posture de cybersécurité de votre organisation.

Qu'est-ce que le CVSS (Common Vulnerability Scoring System) ?

Le CVSS, ou système commun de notation des vulnérabilités, est un système normalisé utilisé pour évaluer et communiquer les vulnérabilités des logiciels. Il attribue une note numérique comprise entre 0 et 10, la valeur la plus élevée correspondant à la vulnérabilité la plus grave. Le CVSS a été lancé par le National Infrastructure Advisory Council (NIAC) en 2005 sous le nom de CVSS 1.0. Plus tard, le NIAC a sélectionné le Forum of Incident Response and Security Teams, plus connu sous le nom de FRONT, pour gérer les développements futurs du CVSS.

Le CVSS comporte trois groupes de mesures : les mesures de base, les mesures temporelles et les mesures environnementales. Ces mesures aident les organisations à saisir différents aspects d'une vulnérabilité, tels que son exploitabilité, son ampleur potentielle dans les systèmes et son atténuation dans différents environnements. C'est grâce à cette approche structurée que le CVSS permet aux organisations de traiter plus efficacement les vulnérabilités et de hiérarchiser les correctifs ou les stratégies d'atténuation en fonction de l'impact probable de chaque faille.

Pourquoi le CVSS est-il important pour la gestion des vulnérabilités ?

Le CVSS joue un rôle important dans la gestion des vulnérabilités, en aidant les organisations à évaluer et à hiérarchiser systématiquement les vulnérabilités. Ainsi, une utilisation efficace du CVSS garantit la sécurité globale d'une organisation où les ressources sont utilisées en fonction de ses besoins. Voici quelques facteurs qui reflètent l'importance du CVSS pour la gestion des vulnérabilités :

1. Normalisation multiplateforme : Les organisations qui exploitent de grands environnements informatiques ont besoin du cadre de notation uniforme offert par le CVSS pour évaluer les vulnérabilités sur toutes les plateformes et tous les systèmes. La notation standard permet de juger toutes les vulnérabilités selon les mêmes critères, ce qui constitue une base solide pour la prise de décision.
2. Se concentrer sur les faiblesses antérieures : Le CVSS permet aux équipes de sécurité de hiérarchiser les vulnérabilités en fonction d'une mesure de gravité unifiée. Cela élimine les biais subjectifs et permet aux équipes informatiques de se concentrer en priorité sur les vulnérabilités les plus critiques. Selon un rapport, 71 % des organisations géraient les vulnérabilités en interne, mais seulement 30 % considéraient leurs programmes comme très efficaces. Il est encourageant de constater que 44 % prévoient d'augmenter leurs investissements dans des solutions de gestion des vulnérabilités, dans le but de renforcer leurs efforts en matière de sécurité.
3. Automatisation des processus de sécurité : Le score CVSS est généralement fourni par des outils automatisés utilisés dans la gestion des vulnérabilités. Ces outils d'automatisation déterminent automatiquement les priorités en matière de correctifs ou d'atténuation, ce qui réduit le temps nécessaire à l'application des correctifs et minimise les erreurs humaines potentielles. Le CVSS permet un niveau d'automatisation qui minimise l'évaluation manuelle des risques, ce qui accélère les réponses.
4. Meilleure communication avec les parties prenantes : Le CVSS fournit un langage commun pour discuter des vulnérabilités, permettant aux équipes informatiques et de développement de communiquer de manière appropriée sur leur travail avec les parties prenantes non techniques. Une compréhension commune garantit que toutes les personnes chargées de la gestion des vulnérabilités sont conscientes des mêmes problèmes, ce qui permet d'allouer les ressources de manière appropriée et facilite la justification des initiatives de sécurité.
5. Conformité aux exigences réglementaires : L'utilisation du CVSS facilite la conformité aux normes réglementaires telles que le RGPD, la norme PCI-DSS ou la loi CCPA en permettant aux organisations de démontrer une gestion proactive des vulnérabilités. La plupart des environnements réglementaires exigent une gestion proactive des vulnérabilités et le CVSS offre la transparence nécessaire pour prouver que les meilleures pratiques en matière de sécurité sont respectées. Les audits de conformité peuvent être simplifiés lorsque les vulnérabilités sont analysées et classées par ordre de priorité à l'aide d'un système commun et accepté tel que le CVSS.
6. Décisions éclairées en matière de gestion des correctifs : Les vulnérabilités ayant des scores élevés doivent être traitées en priorité, afin de garantir que les ressources sont consacrées à l'atténuation des risques les plus importants. Une enquête a révélé que 62 % des organisations n'étaient pas conscientes de leurs vulnérabilités avant de subir une violation de données, ce qui souligne le besoin critique d'une gestion efficace et éclairée des correctifs.. En traitant de manière proactive les vulnérabilités, les organisations peuvent réduire considérablement le risque de violation et renforcer leur posture de sécurité globale.

Le CVSS comparé à d'autres systèmes de notation des vulnérabilités

Avec la disponibilité de divers systèmes de notation des vulnérabilités adaptés à des secteurs ou à des cas d'utilisation spécifiques, il devient très difficile pour les organisations de prendre une décision et d'en choisir un. Dans la section suivante, nous allons donc comparer les différences entre le système de notation des vulnérabilités courant et d'autres systèmes de notation populaires, en présentant leurs caractéristiques et leurs applications uniques.

D'après ces comparaisons, le CVSS apparaît clairement comme une norme appliquée dans de nombreux secteurs. Conçu pour une large application, le CVSS peut évaluer les vulnérabilités avec une adaptabilité inégalée, tant dans les systèmes informatiques traditionnels que dans les environnements cloud modernes. En revanche, la méthodologie d'évaluation des risques OWASP se concentre principalement sur les applications web et s'appuie davantage sur un jugement subjectif basé sur les risques et les impacts potentiels.

Bien qu'efficace dans l'environnement Windows, le système de notation des vulnérabilités propriétaire de Microsoft n'offre pas l'applicabilité universelle du CVSS. Pour les organisations disposant d'infrastructures informatiques hétérogènes, le CVSS offre la flexibilité nécessaire pour évaluer les vulnérabilités de manière cohérente sur toutes les plateformes. Ses mesures complètes fournissent une évaluation très détaillée, permettant aux organisations d'avoir une compréhension plus complète des risques globaux associés à chaque vulnérabilité.

CVSS vs CVE

Maintenant que nous connaissons les différences avec les autres systèmes de notation des vulnérabilités, comparons le CVSS avec les vulnérabilités et expositions courantes ou CVE. La principale distinction entre le CVSS et le CVE réside dans leur objectif dans le cadre de la gestion des vulnérabilités. Le CVE fournit une liste des vulnérabilités connues du public avec des identifiants uniques, tandis que le CVSS offre un système de notation pour évaluer la gravité de ces vulnérabilités.comprenons cela en détail à l'aide d'un tableau :

Le tableau ci-dessus montre clairement que le CVE sert de référentiel de vulnérabilités et attribue un identifiant à chaque vulnérabilité identifiée. Cela permet de suivre et de partager les informations entre les plateformes et les secteurs. Le CVSS fournit un contexte supplémentaire qui utilise les informations du CVS et évalue la gravité de ces vulnérabilités. Par conséquent, le CVSS complète le CVE en fournissant aux organisations des informations leur permettant de décider des mesures correctives appropriées.

Alors que le CVE répond à la question " Quelle est la vulnérabilité ? ", le CVSS répond à la question " Quelle est la gravité de la vulnérabilité ? ". Les deux font partie d'un processus complet de gestion des vulnérabilités. Un processus d'identification des vulnérabilités tel que CVE constitue la première étape, suivie d'un contexte de hiérarchisation des réponses tel que CVSS.

Comprendre la méthodologie de notation CVSS

La méthodologie de notation CVSS est divisée en trois grands groupes de mesures. Il s'agit des mesures de base, temporelles et environnementales. Chacune contribue au calcul de scores globaux reflétant une vulnérabilité globale. Grâce à ces mesures, les organisations prennent conscience de la manière dont une vulnérabilité particulière peut être exploitée, des chances qu'elle le soit et de l'impact probable sur leur environnement.

Différents indicateurs dans le CVSS : scores de base, temporels et environnementaux

Le modèle de notation CVSS repose sur trois types de mesures qui, ensemble, permettent de quantifier la gravité d'une vulnérabilité. Chaque type de mesure a un objectif précis et offre différents angles d'approche pour évaluer le risque posé par une vulnérabilité. Examinons ces mesures en détail :

1. Mesures de base : Les mesures de base sont les éléments constitutifs d'une vulnérabilité qui restent invariables dans le temps. Elles comprennent, sans s'y limiter, la nature du vecteur d'attaque lui-même, qu'il soit basé sur le réseau, sur un réseau adjacent ou local. Les mesures d'impact comprennent la confidentialité, l'intégrité et la disponibilité. Ils constituent les indicateurs de base de tout score CVSS.
2. Indicateurs temporels : Les mesures temporelles prennent en compte les facteurs susceptibles d'évoluer au fil du temps. Par exemple, la disponibilité d'un code d'exploitation ou l'existence d'une solution. Si un correctif est publié, les mesures temporelles seront mises à jour afin de refléter une diminution du risque. Ces mesures fournissent des informations dynamiques, ce qui fait du CVSS un score en temps réel, susceptible d'évoluer à mesure que de nouvelles informations sur la vulnérabilité sont disponibles.
3. Mesures environnementales : Les mesures environnementales permettent d'adapter le score CVSS en fonction des caractéristiques susceptibles de s'appliquer à un système affecté. Ces mesures permettent d'adapter les scores de base et temporels de manière à refléter l'impact de la vulnérabilité dans l'environnement particulier de l'organisation. C'est pourquoi la personnalisation est importante afin que les organisations puissent déterminer le risque réel que représente une telle vulnérabilité pour elles.

Niveaux de gravité des scores CVSS : faible, moyen, élevé et critique

Les scores CVSS ont différents niveaux de gravité, représentant l'éventail des risques qu'une vulnérabilité peut entraîner. Ces niveaux, appelés Faible, Moyen, Élevé et Critique, donnent à l'organisation une idée de l'urgence et de l'impact afin qu'elle puisse se faire une idée des ressources nécessaires pour y remédier. Voici ce que signifie chaque fourchette de score :

1. Faible (0,1 à 3,9) : Les vulnérabilités ayant une note faible présentent un risque minimal pour les systèmes. Il s'agit de vulnérabilités difficiles à exploiter ou qui auraient très peu d'impact si elles étaient exploitées. Les organisations peuvent décider de les traiter ultérieurement, car les chances d'exploitation ou l'impact sur les fonctionnalités essentielles sont presque négligeables.
2. Moyen (4,0 à 6,9) : Cette catégorie de vulnérabilités nécessite un effort modéré pour être exploitée ou peut avoir un impact modéré si l'exploitation réussit. Ces vulnérabilités peuvent nécessiter un certain degré d'attention, mais ne mettent généralement pas la situation en danger. Les équipes doivent donc les classer par ordre de priorité en fonction de leur disponibilité et de leur charge de travail actuelle.
3. Élevé (7,0 à 8,9) : Les vulnérabilités à score élevé sont plus faciles à exploiter et leur exploitation affectera la confidentialité, l'intégrité ou la disponibilité du système. En fait, des mesures correctives importantes sont nécessaires pour résoudre ces vulnérabilités, car le risque d'incidents de sécurité majeurs dans les organisations augmentera si ces vulnérabilités ne sont pas corrigées pendant une longue période.
4. Critique (9,0 à 10,0) : Les vulnérabilités critiques sont les plus menaçantes et doivent être traitées en priorité. La liste des vulnérabilités comprend soit des vulnérabilités facilement exploitables, soit celles qui entraînent des dommages critiques après avoir été exploitées avec succès. La plupart des organisations mettent en œuvre certaines procédures dès l'identification de vulnérabilités critiques, telles que des correctifs d'urgence.

Comment le score CVSS est-il calculé ?

L'obtention d'un score CVSS peut s'avérer complexe pour les entreprises, car divers facteurs sont pris en compte dans le calcul. Dans cette approche structurée, tous les éléments, à commencer par l'impact de la vulnérabilité, sont évalués avec le plus grand soin. Dans cette section, nous allons décomposer ce processus de notation en quatre étapes :

1. Évaluation du groupe de mesures de base : La première étape consiste à attribuer des valeurs aux mesures de base qui sont représentatives des propriétés intrinsèques de la vulnérabilité elle-même. Il s'agit des vecteurs d'attaque, de la complexité de l'attaque, des privilèges requis, de l'interaction de l'utilisateur et des effets sur la confidentialité, l'intégrité et la disponibilité. La mesure de base sert à créer une base de référence de risque de premier niveau, en tenant compte de la nature inhérente d'une vulnérabilité donnée.
2. Test de groupe des mesures temporelles : L'étape suivante consiste à évaluer l'ensemble des mesures temporelles. Cela implique de vérifier l'état actuel de la vulnérabilité, notamment la disponibilité d'un correctif ou d'un code d'exploitation et la fiabilité du rapport. Les scores temporels peuvent évoluer au fil du temps, reflétant les changements en matière d'exploitabilité ou de remédiation. Les organisations doivent donc réévaluer le niveau de risque de manière appropriée à mesure que la situation évolue.
3. Personnalisation du groupe de mesures environnementales : Dans la troisième étape, les mesures environnementales sont prises en compte. Cela permet aux organisations de modifier les scores de base et temporels afin de refléter l'impact de la vulnérabilité sur leur environnement. Les mesures environnementales introduisent des exigences de sécurité qui diffèrent d'une organisation à l'autre, ce qui rend le score CVSS un peu plus pratique pour les priorités de sécurité et les exigences opérationnelles d'une entreprise.
4. Calcul des scores à l'aide du calculateur CVSS : Après avoir attribué une note à tous les groupes de mesures, le score final est calculé à l'aide d'un calculateur CVSS disponible sur la base de données nationale des vulnérabilités (NVD). Ce score décrit alors la gravité de la vulnérabilité, ce qui permet aux organisations d'être plus précises dans leurs activités de correction.

Comment les organisations peuvent-elles utiliser le CVSS pour hiérarchiser les vulnérabilités ?

La hiérarchisation des vulnérabilités constitue un élément majeur d'une stratégie de cybersécurité efficace. Le score CVSS aide ainsi une organisation à identifier les vulnérabilités qui nécessitent une attention immédiate et celles qui peuvent être traitées ultérieurement. Les organisations qui utilisent le CVSS dans leur gestion des vulnérabilités peuvent atténuer les risques de manière systématique. Voici quelques façons dont les organisations peuvent utiliser le CVSS :

1. Classement par intensité de notation : Les vulnérabilités élevées et critiques, notées 7,0 et plus, doivent être corrigées immédiatement afin de réduire le risque de violations de sécurité à grande échelle. Cette hiérarchisation permet aux organisations de gérer leurs efforts de correction en concentrant leurs ressources et leur temps sur les menaces les plus dangereuses. Ainsi, le fait de traiter en premier lieu ces vulnérabilités graves permettrait de protéger véritablement les actifs essentiels et de réduire les perturbations potentielles des opérations de l'organisation.
2. Correction en alignement stratégique avec les objectifs commerciaux : Les organisations doivent utiliser des mesures environnementales pour ajuster les scores CVSS en fonction de leur criticité, ce qui leur permet de se concentrer sur les vulnérabilités qui ont un impact sur les actifs critiques ou les fonctions essentielles. Cela permet d'aligner les efforts de correction directement sur les principaux objectifs stratégiques de l'entreprise. La hiérarchisation en fonction de l'impact permet aux organisations d'optimiser l'utilisation des ressources, car elle leur permet de se concentrer sur les risques les plus importants pour leur réussite et leur sécurité.
3. Réponse automatique aux vulnérabilités : La plupart des systèmes de gestion des vulnérabilités sont intégrés au mécanisme de notation CVSS pour un processus de hiérarchisation automatisé. Ces systèmes seront capables de déclencher des workflows en réponse automatique aux vulnérabilités critiques tout en minimisant les erreurs avec CVSS. Grâce à l'automatisation, les organisations peuvent réduire les efforts manuels, ce qui permet aux équipes de sécurité de traiter plus efficacement les vulnérabilités urgentes et d'assurer une meilleure réactivité globale en matière de sécurité.
4. Intégration du CVSS à la veille stratégique sur les menaces : En appliquant les renseignements sur les menaces aux scores CVSS, une organisation aura une meilleure compréhension des risques réels pour chaque vulnérabilité en temps réel. Les données de renseignements sur les menaces pourraient montrer qu'une vulnérabilité particulière est activement exploitée et, par conséquent, modifier les priorités. De cette manière, l'organisation garde une longueur d'avance sur les attaques actives et peut se protéger de manière proactive contre les nouvelles menaces émergentes.
5. Révision et mise à jour régulières de la hiérarchisation basée sur le CVSS : La révision et le perfectionnement à l'échelle de l'organisation de la hiérarchisation basée sur le CVSS doivent être effectués de manière continue afin de s'assurer que la stratégie reflète l'évolution des besoins en matière de sécurité et la perception des risques. Les événements susceptibles d'entraîner une mise à jour de la hiérarchisation comprennent les nouvelles données sur les menaces, les des changements d'infrastructure ou des modifications des objectifs commerciaux. Ce perfectionnement régulier permettra au processus de gestion des vulnérabilités d'utiliser la précision et la pertinence du CVSS pour rendre la sécurité proactive et adaptative.

Quelles sont les limites du CVSS ?

Bien que le CVSS soit un outil efficace pour évaluer la gravité des vulnérabilités, il présente certains inconvénients. La connaissance de ces limites permet aux entreprises de prendre des décisions plus éclairées quant à la manière d'appliquer cette technologie.

De plus, la compréhension de ces limites place les organisations dans une meilleure position pour appliquer des outils complémentaires qui aideront à combler les lacunes.

1. Manque d'informations spécifiques au contexte : Le CVSS lui-même ne tient pas compte des détails spécifiques à l'organisation. Cela inclut la valeur commerciale ou le paysage particulier des menaces d'une organisation. Les utilisateurs devront appliquer des mesures environnementales pour calibrer les scores de manière appropriée, en fonction de leur environnement et de leur cas d'utilisation particuliers.
2. Subjectivité dans l'attribution des scores :  Certaines sont subjectives et dépendent donc de l'expérience de la personne qui attribue les scores. Par exemple, la complexité de l'attaque ou les privilèges requis peuvent être très différents. Cela peut donc entraîner une surévaluation ou une sous-évaluation des vulnérabilités et, en fin de compte, affecter l'efficacité du processus de gestion des vulnérabilités. Les directives de notation standardisées minimisent ce risque.
3. Ne tient pas compte des tendances en matière d'exploitabilité : Bien que les mesures temporelles varient en fonction de l'exploitabilité, le CVSS ne tient pas compte de l'influence des tendances en matière d'attaques sur les risques futurs. Une vulnérabilité peut avoir une note très faible, mais devenir encore plus dangereuse en raison de nouveaux exploits développés au fil du temps. C'est pourquoi il est indispensable de compléter le CVSS par des outils de veille sur les menaces afin d'approfondir la compréhension.
4. Aperçu limité de l'interaction entre les vulnérabilités : La notation par le CVSS seul ne tient pas compte des effets combinés des vulnérabilités. Les graphiques d'attaque complexes et de grande envergure utilisés pour exploiter de nombreuses vulnérabilités présentent un risque nettement plus élevé que leur score seul. Il faudra également compléter cette approche par une analyse des chemins d'attaque ou une approche de test d'intrusion afin d'identifier et de corriger ces risques combinés.
5. Nature statique de la notation : Le problème avec les scores CVSS est qu'ils constituent un instantané à un moment donné. Les scores ne sont pas mis à jour en fonction des changements dans le paysage des menaces ou des changements dans l'environnement dans lequel évolue une organisation. C'est en raison de cette nature " statique " que certaines évaluations deviennent rapidement obsolètes, en particulier dans le cas de vulnérabilités qui évoluent très rapidement.
6. Recommandations minimales pour établir des priorités dans des environnements divers : le CVSS seul ne peut pas fournir de recommandations appropriées pour établir des priorités dans des environnements divers présentant des exigences réglementaires ou opérationnelles différentes. Par exemple, certaines vulnérabilités dans le domaine financier peuvent nécessiter une correction immédiate pour des raisons de conformité, alors que dans d'autres secteurs, elles peuvent être moins critiques. Les organisations doivent associer le CVSS à des facteurs de risque spécifiques à leur secteur d'activité afin de s'assurer que les priorités en matière de conformité et d'exploitation restent alignées sur ces facteurs de risque.

Meilleures pratiques du système commun d'évaluation des vulnérabilités (CVSS)

L'utilisation des meilleures pratiques du CVSS par les organisations permet d'optimiser son utilité tout en gérant efficacement ses limites. Ces pratiques garantissent une application cohérente qui permet aux équipes de sécurité de se concentrer sur les points les plus importants et de les atténuer de manière appropriée.

Voici quelques bonnes pratiques du CVSS :

1. Intégration des scores CVSS et des renseignements sur les menaces :L'intégration des scores CVSS dans les renseignements actuels sur les menaces améliore la visibilité des vulnérabilités et permet d'établir des évaluations de risques réelles. Elle laisse place à d'autres aspects, tels que les tendances ou les menaces plus actives. Cette approche de la gestion des vulnérabilités est donc dynamique et réactive.
2. Utilisation des mesures environnementales : L'utilisation efficace des mesures environnementales permet d'adapter le score à la situation spécifique de l'organisation. Cette adaptation comble le fossé entre la notation générique et la gestion des risques spécifique à l'organisation, garantissant ainsi que les ressources limitées sont déployées là où elles auront le plus d'impact.
3. Les scores CVSS sont fréquemment mis à jour : Le problème réel est que les scores CVSS utilisés doivent être constamment mis à jour à mesure que les vulnérabilités évoluent. Le développement de mesures temporelles garantit ainsi que les scores attribués aux vulnérabilités existantes reflètent leur exploitabilité actuelle et la disponibilité des correctifs. Cela permet aux stratégies de remédiation de s'adapter aux changements dynamiques du paysage des vulnérabilités.
4. Priorisation basée sur la criticité des actifs : L'utilisation du CVSS, en plus de la criticité des actifs, permettra de le mettre en évidence lors de l'élaboration de stratégies d'atténuation. En associant le score CVSS à la valeur ou à la criticité des actifs, les équipes de sécurité peuvent se concentrer sur les vulnérabilités dont l'exploitation aurait un impact important. Cette approche garantit, à son tour, que les actifs les plus risqués seront pris en compte et qu'une protection sera ainsi assurée là où elle est le plus nécessaire.
5. Collaboration entre les fonctions de sécurité : Une approche commune de la gestion des vulnérabilités est assurée par l'implication de différentes fonctions de sécurité, telles que la gestion des risques et la réponse aux incidents, dans l'interprétation de la signification des scores. Les équipes interfonctionnelles veillent à ce que le score CVSS soit appliqué dans chaque cas pour une évaluation immédiate des menaces et également pour la planification stratégique à long terme. Cela permet d'harmoniser les actions entre les équipes pour une posture de sécurité globale.
6. Combiner le CVSS avec des calendriers de remédiation : L'établissement de délais de correction basés sur les scores CVSS permet de structurer les efforts de réponse et d'éviter les retards. Les organisations associeront le score CVSS à certains délais de réponse afin d'appliquer des politiques de correction en temps opportun, ce qui signifie que les vulnérabilités sont traitées de manière prévisible et efficace. Cette approche structurée permet une planification proactive des ressources et une responsabilisation au sein de l'équipe de sécurité.

Exemples concrets d'utilisation du CVSS

Les exemples concrets d'utilisation du CVSS peuvent aider à démontrer la pertinence du CVSS pour les entreprises, en leur permettant d'acquérir des connaissances pratiques sur ce concept. Vous trouverez ci-dessous quelques exemples de vulnérabilités largement connues, accompagnés de leurs scores CVSS et de leur signification pour une organisation :

1. Heartbleed (CVE-2014-0160) : Heartbleed est une vulnérabilité de la bibliothèque logicielle cryptographique OpenSSL dont le score CVSS de base est de 7,5. Cette vulnérabilité permettait aux pirates d'exploiter la fonctionnalité " heartbeat " pour lire directement dans la mémoire des serveurs affectés par cette vulnérabilité des données sensibles, notamment des clés privées et des identifiants d'utilisateurs. Un score aussi élevé indiquait un impact important sur la confidentialité, obligeant ainsi les organisations à donner la priorité aux efforts de correction immédiats. La vulnérabilité généralisée a touché un nombre important de sites web, ce qui a conduit à une forte pression en faveur de l'amélioration des pratiques de sécurité et de la sensibilisation dans le secteur. Cela pourrait également entraîner des violations massives de données associées à des usurpations d'identité, nécessitant des mesures correctives.
2. Vulnérabilité d'exécution de code à distance Windows SMB (CVE-2017-0144) : Le CVSS pour cette vulnérabilité était évalué à 8,8 car elle permettait l'exécution de code à distance dans les systèmes Windows. En effet, le ransomware WannaCry a affecté des centaines de milliers d'ordinateurs à travers le monde car il utilisait cet outil d'attaque, qui exploitait une vulnérabilité dans l'implémentation du protocole SMB (Server Message Block) de Microsoft. Cette vulnérabilité permettait aux attaquants d'accéder aux systèmes sans authentification et d'exécuter du code arbitraire. Le score montrait clairement la nécessité d'appliquer immédiatement des correctifs et des mises à jour du système, soulignant ainsi la rapidité avec laquelle les cybercriminels exploitent des vulnérabilités similaires dans les logiciels ou les systèmes. Cela encourage la mise en place de mesures de sécurité plus robustes afin que de telles exploitations ne se reproduisent plus à l'avenir.
3. Shellshock (CVE-2014-6271) : Shellshock est une vulnérabilité du shell Bash qui a obtenu un score CVSS de 9,8 et a donc été classée comme critique. À l'aide de variables d'environnement, les pirates informatiques ont pu exécuter n'importe quel type de commande sur des systèmes basés sur Unix. L'ampleur de cette vulnérabilité était extrêmement importante, car de nombreux appareils étaient en danger. Les administrateurs système du monde entier se sont donc empressés de prendre des mesures immédiates. Les points d'entrée à distance n'étaient pas authentifiés et le système disposait de très peu de contrôles sur de nombreux points d'entrée. Il était très vulnérable aux menaces en termes d'intégrité et de confidentialité. Les organisations ont été contraintes de mettre en œuvre des solutions rapides avec des mesures de sécurité coûteuses pour éviter que cela ne se reproduise à l'avenir.
4. Log4Shell (CVE-2021-44228) : Log4Shell est une vulnérabilité basée sur la faiblesse de la bibliothèque de journalisation Log4j, qui a obtenu un score CVSS critique de 10, permettant à un attaquant d'exécuter du code arbitraire sur les serveurs qui implémentent la bibliothèque lorsqu'ils reçoivent des messages de journalisation spécialement conçus. Une vulnérabilité aussi exposée, appliquée dans de nombreuses applications à travers des milliers de paquets, a nécessité l'application de correctifs d'urgence à grande échelle dans ces secteurs. Les organisations ont dû opérer sous une pression extrême pour protéger leurs systèmes contre une exploitation potentielle, et l'absence de correctifs aurait entraîné de très graves violations de données et des perturbations opérationnelles. Cet événement a mis en évidence la nécessité de maintenir à jour la bibliothèque logicielle et d'être toujours à l'affût de telles vulnérabilités.
5. Spectre et Meltdown (CVE-2017-5754) : Spectre et Meltdown sont des vulnérabilités des microprocesseurs qui ont obtenu une note de 5,6 sur l'échelle CVSS en raison de leurs implications profondes en matière de confidentialité des données et d'intégrité des systèmes. Ces failles dans l'architecture du processeur permettent à un pirate d'accéder aux informations stockées dans la mémoire de diverses applications. La correction de ces failles s'est avérée assez difficile, car elle a nécessité à la fois des correctifs logiciels et des modifications architecturales au niveau matériel, ce qui a posé des problèmes aux organisations du monde entier. Cela a conduit à approfondir les recherches sur la sécurité matérielle et à faire progresser les mesures proactives visant à atténuer les risques associés aux nouvelles menaces dans le domaine informatique .

Conclusion

En conclusion, nous avons compris comment le CVSS est devenu une norme pour l'évaluation et la gestion des vulnérabilités dans divers systèmes. L'application des métriques de base, temporelles et environnementales permet à une organisation d'appliquer la même méthodologie dans la gestion des vulnérabilités. Une telle approche rigoureuse permet une hiérarchisation et une allocation des ressources appropriées, non seulement pour prendre des décisions éclairées, mais aussi pour les gérer efficacement. Bien que les lacunes du CVSS soient reconnues, les renseignements sur les menaces et la criticité des actifs en font un outil de base pour l'amélioration de la posture de sécurité et la conformité aux dispositions réglementaires avec un minimum de perturbations.

"

FAQs