Définition
Le système commun d’évaluation des vulnérabilités (en anglais, Common Vulnerability Scoring System, ou CVSS) est un cadre normalisé permettant d’évaluer la gravité des vulnérabilités en matière de sécurité.
Aperçu
Le système commun d’évaluation des vulnérabilités (en anglais, Common Vulnerability Scoring System, ou CVSS) est un cadre normalisé permettant d’évaluer la gravité des vulnérabilités en matière de sécurité. En attribuant des scores numériques, CVSS aide les organisations à comprendre l’impact potentiel, à hiérarchiser les mesures correctives et à prendre des décisions cohérentes en matière de sécurité. Largement adopté dans le secteur de la cybersécurité, le système CVSS permet aux équipes de communiquer sur les risques en utilisant un langage commun.
Qu’est-ce que le système CVSS ?
Le système CVSS est une norme ouverte et neutre qui attribue des scores de gravité aux vulnérabilités logicielles. Administré par le Forum of Incident Response and Security Teams (FIRST), ce système est utilisé par les experts en sécurité, les équipes IT et les fournisseurs de solutions pour mesurer et comparer les informations sur les vulnérabilités de manière uniforme.
En d’autres termes, à la question « qu’est-ce que le Common Vulnerability Scoring System ? », le CVSS apporte une réponse claire : une méthode universelle, neutre vis-à-vis des fournisseurs, pour évaluer la gravité des vulnérabilités logicielles. L’objectif du CVSS est de traduire les détails techniques d’une vulnérabilité en un score facilement interprétable, afin que les décideurs puissent allouer des ressources et réagir efficacement.
L’importance du CVSS dans la cybersécurité
Les équipes de sécurité sont souvent confrontées à un nombre impressionnant de vulnérabilités, et toutes les failles ne présentent pas le même niveau de risque. Sans méthode de notation standard, il serait difficile de déterminer les questions à traiter en priorité. Le CVSS assure la cohérence entre les fournisseurs et les outils, la clarté lors de la communication des risques aux parties prenantes de l’entreprise et la hiérarchisation des priorités afin que les vulnérabilités les plus dangereuses soient corrigées rapidement.
Dans la pratique, le CVSS est souvent associé aux outils d’analyse des vulnérabilités qui détectent les failles dans les applications et l’infrastructure. Ensemble, l’analyse et la notation donnent aux équipes la visibilité et le contexte dont elles ont besoin pour prendre des mesures sans se perdre en conjectures.
Composantes du score CVSS
Les scores CVSS sont basés sur trois ensembles de métriques (de base, temporelle et environnementale) qui, ensemble, fournissent une vue complète de la gravité d’une vulnérabilité, de la façon dont son profil de risque peut évoluer et de sa pertinence pour une organisation spécifique.
Métrique de base
La métrique de base définit les qualités intrinsèques d’une vulnérabilité qui restent constantes dans le temps. Elle mesure des facteurs tels que la possibilité d’exploiter la faille à distance ou la nécessité d’un accès physique, la complexité de l’attaque et les privilèges dont doit disposer l’attaquant. La métrique de base évalue également l’impact sur la confidentialité, l’intégrité et la disponibilité. Par exemple, une faille permettant la divulgation non autorisée de données sensibles obtiendrait un score élevé en termes de confidentialité, tandis qu’un problème de déni de service perturbant le fonctionnement du système obtiendrait un score élevé en termes de disponibilité. Cette métrique permet d’établir une échelle de sévérité universelle servant de référence.
Métrique temporelle
La métrique temporelle ajuste le score de base pour refléter les conditions qui changent au fil du temps. Une vulnérabilité peut être jugée plus sévère si du code d’exploitation devient public, si les mesures de remédiation sont immatures ou si certains détails restent incertains. Par exemple, une faille sans exploit connu et disposant d’un correctif efficace obtiendra un score inférieur à celle pour laquelle du code de preuve de concept est largement diffusé et aucun correctif n’est disponible. La métrique temporelle donne un aperçu réaliste du risque à un moment donné.
Métrique environnementale
La métrique environnementale permet aux organisations d’adapter les scores CVSS à leur contexte spécifique. Elle tient compte de la valeur des actifs concernés, des priorités de l’entreprise et de l’importance de la confidentialité, de l’intégrité et de la disponibilité au sein d’un système particulier. Par conséquent, la même vulnérabilité peut avoir un score plus élevé dans une institution financière, où la confidentialité des données est essentielle, que dans un autre environnement où la disponibilité est plus importante. Ma métrique environnementale garantit que le système CVSS reflète non seulement la gravité théorique, mais aussi l’impact réel.
Pris ensemble, ces trois ensembles de métriques concilient une notation universelle with la prise en compte du contexte, garantissant une communication cohérente des vulnérabilités tout en restant en phase avec les réalités organisationnelles.
Comment les scores CVSS sont-ils calculés ?
La formule CVSS combine les métriques de base, temporelle et environnementale en un score numérique allant de 0,0 à 10,0. Un score de 0,0 indique une absence de gravité, un score de 0,1 à 3,9 est considéré comme bas, un score de 4,0 à 6,9 comme moyen, un score de 7,0 à 8,9 comme haut et un score de 9,0 à 10,0 comme critique.
Par exemple, une vulnérabilité d’exécution de code à distance avec une faible complexité d’attaque et un impact élevé sur la disponibilité peut recevoir une note supérieure à 9,0. Cette note critique indique qu’il est nécessaire de prendre des mesures correctives immédiates.
Versions de CVSS
Depuis son introduction en 2005, le système commun d’évaluation des vulnérabilités a fait l’objet de plusieurs révisions majeures, chacune destinée à combler les lacunes des versions précédentes et à s’adapter aux menaces modernes en matière de cybersécurité.
CVSS v1 était la version initiale, développée comme une preuve de concept pour créer un langage commun pour l’évaluation des vulnérabilités. Elle a introduit l’idée de métriques de base, temporelle et environnementale, mais n’a pas été largement adoptée en dehors des communautés de recherche et de normalisation.
CVSS v2, publiée en 2007, a été la première version à être largement adoptée. Elle a établi une notation standardisée et a permis aux fournisseurs de sécurité, aux chercheurs et aux entreprises d’utiliser une échelle de gravité commune. Cependant, la v2 manquait de nuance dans la représentation de scénarios d’attaque complexes. Par exemple, elle peinait à faire la différence entre les attaques locales et les attaques à distance, et son score ne correspondait souvent pas aux risques réels auxquels les organisations étaient confrontées.
La version 3 du CVSS, introduite en 2015, a permis de remédier à bon nombre de ces limitations. Elle a élargi la métrique de base afin de mieux saisir la manière dont les vulnérabilités peuvent être exploitées, a affiné les exigences en matière de privilèges et les mesures de l’interaction avec l’utilisateur, et a clarifié la manière d’évaluer l’impact sur la confidentialité, l’intégrité et la disponibilité. Ces changements ont rendu les scores plus représentatifs des conditions réelles et ont amélioré leur utilité pour l’établissement des priorités.
CVSS v3.1, publiée en 2019, n’a pas modifié la formule sous-jacente, mais s’est concentrée sur l’amélioration de la clarté et de la cohérence. La mise à jour a permis de normaliser la terminologie, de réduire les ambiguïtés dans l’interprétation des métriques und de fournir de meilleures orientations pour l’application des scores. Ce perfectionnement a permis d’aligner les pratiques des fournisseurs, des agences gouvernementales et des entreprises, garantissant ainsi une utilisation plus cohérente du CVSS à grande échelle.
Se penchant sur l’avenir, le groupe d’intérêt spécial (SIG) CVSS au sein de FIRST continue d’affiner le cadre afin de refléter les nouveaux défis, notamment les vulnérabilités des applications cloud native, des environnements conteneurisés et des chaînes d’approvisionnement modernes. Ces développements sont particulièrement utiles lorsqu’ils sont combinés à des méthodes telles que l’analyse de la composition des logiciels (SCA) qui offrent une meilleure visibilité des risques associés aux composants open source et aux composants tiers. Chaque révision renforce la fiabilité du système et garantit qu’il reste pertinent dans le paysage actuel de la cybersécurité, qui évolue rapidement.
Limites du CVSS
Bien que le CVSS soit un outil précieux, il a ses limites. Les scores peuvent simplifier à l’extrême des vulnérabilités complexes et ne peuvent pas toujours refléter le contexte unique d’une organisation. Dans certains cas, un score CVSS élevé peut représenter un risque réel faible si le composant concerné est rarement utilisé.
Pour combler ces lacunes, les équipes de sécurité complètent souvent le CVSS par d’autres méthodes, telles que le renseignement sur les menaces, l’analyse de l’impact métier et l’analyse de la composition logicielle (SCA). Ces approches fournissent un contexte supplémentaire, en particulier lorsqu’il s’agit de gérer les risques liés aux logiciels open source et aux composants tiers.
CVSS vs EPSS : gravité ou probabilité
La principale différence entre ces deux systèmes réside dans ce qu’ils sont censés mesurer.
- CVSS (gravité) : se concentre sur les caractéristiques inhérentes d’une vulnérabilité ; l’ampleur des dégâts qu’elle pourrait causer si elle était exploitée avec succès. Il répond à la question : « Quelle est la gravité de la situation? »
- EPSS (probabilité) : utilise un modèle d’apprentissage automatique basé sur les données afin d’évaluer la probabilité d’exploitation réelle d’une vulnérabilité dans un délai de 30 jours. Il répond à la question : « Quelle est la probabilité que cela se produise ? »
Comparaison des éléments clés
| Fonctionnalité | CVSS | EPSS |
|---|---|---|
| Objectif principal | Mesure la gravité technique | Prévision de la probabilité d’exploitation |
| Fourchette de scores | De 0,0 à 10,0 | De 0 à 1 (0 % à 100 %) |
| Fréquence de mise à jour | Statique (sauf si une nouvelle version est publiée) | Dynamique (mise à jour quotidienne) |
| Source des données | Spécifications techniques de la faille | Télémétrie des menaces dans le monde réel et ML |
Pourquoi utiliser les deux ?
Se reposer uniquement sur le CVSS peut conduire à une « fatigue liée aux vulnérabilités », car de nombreuses vulnérabilités notées Critiques (9,0+) ne sont en réalité jamais ciblées par des attaquants. À l’inverse, certaines vulnérabilités de gravité moyenne peuvent faire l’objet d’une attaque active et nécessiter une attention urgente.
En combinant ces scores, les entreprises peuvent classer les vulnérabilités dans une matrice à quatre quadrants afin de prendre des décisions plus judicieuses en matière de correctifs :
- CVSS élevé + EPSS élevé : action immédiate. Il s’agit de failles dangereuses que les attaquants tentent activement d’exploiter.
- CVSS élevé + EPSS faible : Suivi. Ces vulnérabilités sont théoriquement dangereuses, mais il n’existe pas de preuves actuelles de leur exploitation dans le monde réel.
- CVSS faible + EPSS élevé : Enquêter. Elles peuvent faire partie d’une chaîne d’attaques où les attaquants utilisent des failles mineures pour s’implanter.
- CVSS faible + EPSS faible : Déprioriser. Elles présentent le moins de risques immédiats pour l’organisation.
CVSS et JFrog
Les scores CVSS servent de base à l’établissement des priorités. Ils aident les équipes à déterminer les vulnérabilités à corriger en priorité, à communiquer l’urgence aux parties prenantes de l’entreprise et à intégrer les résultats dans des systèmes automatisés de gestion des vulnérabilités. Lorsqu’il est mis en contexte avec les priorités de l’organisation, le CVSS permet de passer de l’application réactive de correctifs à des stratégies de sécurité structurées et proactives.
Bien que le CVSS soit une norme industrielle, sa pleine valeur est réalisée lorsqu’elle est intégrée dans les workflows DevSecOps modernes. JFrog Xray, qui fait partie de la plateforme JFrog, s’appuie sur la notation CVSS pour identifier et hiérarchiser les vulnérabilités dans l’ensemble de la chaîne d’approvisionnement logicielle. JFrog dispose également d’une équipe de recherche en sécurité composée d’ingénieurs et de chercheurs en sécurité qui s’engagent à faire progresser la sécurité des logiciels par la découverte, l’analyse et l’exposition de nouvelles vulnérabilités et méthodes d’attaque. Découvrez ici nos analyses CVE les plus récentes.
En combinant les données CVSS avec des métadonnées riches, l’analyse des dépendances et l’application des politiques, JFrog permet aux équipes de transformer les scores bruts en décisions de sécurité exploitables. Cette intégration aide les entreprises à gérer les vulnérabilités à grande échelle, à maintenir la conformité et à intégrer la sécurité tout au long du cycle de vie du développement logiciel. Avec JFrog, le CVSS dépasse le simple score pour devenir un levier de sécurité fiable, automatisée et adaptée aux exigences des entreprises.
Pour plus d’informations, veuillez consulter notre site web, organisez une visite virtuelle ou organisez une démonstration individuelle à votre convenance.
