Comment fonctionne le CVSS ?

 

Le CVSS (Common Vulnerability Scoring System) est un système de notation qui permet d’évaluer la gravité d’une vulnérabilité informatique. Il prend en compte plusieurs facteurs pour attribuer une note à une vulnérabilité, comme la nature de la vulnérabilité, sa facilité d’exploitation et ses conséquences potentielles. La note finale varie de 0 à 10, avec 10 correspondant à la vulnérabilité la plus grave.

CVSS.

Le CVSS est un système de notation qui permet d’évaluer la gravité d’une vulnérabilité informatique en utilisant une approche normalisée. Il utilise une grille de notation qui prend en compte plusieurs facteurs pour attribuer une note à une vulnérabilité.

Ces facteurs comprennent notamment :

  • La nature de la vulnérabilité (par exemple, si elle concerne un débordement de tampon, une injection de commande, etc.).
  • La facilité d’exploitation de la vulnérabilité (par exemple, si elle peut être exploitée à distance ou si elle nécessite des privilèges spéciaux).
  • Les conséquences potentielles de l’exploitation de la vulnérabilité (par exemple, si elle peut entraîner une fuite de données, une interruption de service, etc.).

La notation CVSS.

Voici un exemple de comment le CVSS peut attribuer une note à une vulnérabilité :

Supposons qu’une vulnérabilité ait été identifiée dans un système d’exploitation.

La vulnérabilité concerne un débordement de tampon et peut être exploitée à distance par un attaquant sans avoir besoin de privilèges spéciaux. Si l’exploitation de cette vulnérabilité peut entraîner une fuite de données confidentielles, le CVSS pourrait attribuer une note de 8,4 à cette vulnérabilité.

Cependant, il est important de noter que le CVSS est un outil d’évaluation et que la note finale dépendra des données et des évaluations fournies. Il est donc possible que d’autres évaluations du même système d’exploitation puissent donner des résultats légèrement différents.

La notation CVSS en détail.

Le CVSS est un système de notation qui utilise une grille de notation pour évaluer la gravité d’une vulnérabilité informatique. La grille de notation prend en compte plusieurs facteurs pour attribuer une note à une vulnérabilité, notamment :

  • L’access vector (AV), qui évalue la facilité d’accès à la vulnérabilité. Par exemple, si la vulnérabilité peut être exploitée à distance ou si elle nécessite l’accès physique à l’appareil.
  • L’access complexity (AC), qui évalue la facilité d’exploitation de la vulnérabilité. Par exemple, si l’exploitation de la vulnérabilité nécessite des compétences spécialisées ou des privilèges spéciaux.
  • L’authentication (Au), qui évalue le nombre d’étapes d’authentification nécessaires pour exploiter la vulnérabilité. Par exemple, si l’exploitation de la vulnérabilité nécessite une authentification unique ou multiple.
  • La confidentiality impact (C), qui évalue les conséquences potentielles sur la confidentialité si la vulnérabilité est exploitée. Par exemple, si l’exploitation de la vulnérabilité peut entraîner une fuite de données confidentielles.
  • L’integrity impact (I), qui évalue les conséquences potentielles sur l’intégrité des données si la vulnérabilité est exploitée. Par exemple, si l’exploitation de la vulnérabilité peut entraîner la modification ou la destruction de données.
  • L’availability impact (A), qui évalue les conséquences potentielles sur la disponibilité du système si la vulnérabilité est exploitée. Par exemple, si l’exploitation de la vulnérabilité peut entraîner une interruption de service.

La note finale varie de 0 à 10, avec 10 correspondant à la vulnérabilité la plus grave. Le CVSS permet d’évaluer les vulnérabilités de manière objective et comparable, ce qui peut être utile pour les équipes de sécurité pour prioriser les vulnérabilités à corriger en premier.