Culture NumériqueSécurité

Qu’est-ce que le score des vulnérabilités CVSS ?

Hey ! Bonjour à toutes et tous ! Nous nous retrouvons ensemble pour un nouvel article qui cette fois-ci ne va pas vous faire la présentation des vulnérabilités de la semaine, mais du score CVSS plus particulièrement.

Effectivement, dans la majorité des articles du CERT-FR, je vous indique que telle faille ou telle vulnérabilité possède un score CVSSv3 de tel niveau. Néanmoins, à quoi correspond réellement ce score et qui définit le niveau des alertes ? Bien, nous allons voir ça ensemble dans l’article qui suit !

Le score CVSS

L’origine

Le score CVSS pour Common Vulnerability Scoring System est un système permettant de calculer une note évaluant les différentes caractéristiques, la criticité et une chaîne de caractères (un vecteur) d’une vulnérabilité. La première version de CVSS a vu le jour en février 2005, et CVSS version 2.0 a été lancée officiellement en juin 2007. La version 3.0 de CVSS est disponible depuis le 28 mai 2015 et c’est cette dernière qui est actuellement utilisée, et ce de façon internationale.

Les critères de calcul du score

L’établissement d’un score CVSS résulte en permanence d’un calcul qui est sur la base de trois critères qui possèdent eux-mêmes leurs propres notes ainsi que vecteurs. Les critères sont les suivants :

  • Le critère Base : évalue l’impact maximum théorique de la vulnérabilité.

  • Le critère Temporel : représente les caractéristiques temporelles d’une vulnérabilité qui peuvent évoluer au cours du temps (mise à disposition de correctifs, présence d’exploit, etc.). Celui-ci pondère également le critère Base.

  • Le critère Environnemental : représente les caractéristiques d’une vulnérabilité en fonction de l’environnement (type d’actif ou utilisateur concerné par exemple) et des conséquences qui pourraient découler de l’exploitation de cette vulnérabilité. Celui-ci pondère le critère Temporel à son tour.

Il faut savoir également qu’en l’absence de données permettant d’établir les critères Temporel et/ou Environnemental, ces deux critères sont caractérisés comme étant « Non défini » et ils auront un impact sur le score CVSS de la même façon que si le critère était défini au niveau le plus élevé.

L’outil de calcul du score

Le site FIRST met à disposition le calculateur officiel afin d’obtenir le score CVSSv3 qu’utilise par exemple le CERT-FR ou bien encore son équivalent aux États-Unis, le NVD.

Conclusion

Nous voici à la fin de cet article sur l’établissement du score CVSSv3, maintenant vous savez comment est défini ce score sur les différentes alertes du CERT-FR.

J’espère que celui-ci vous aura été utile et à très vite dans de futurs articles ! Alors, pour ne rien louper, n’hésitez pas à vous inscrire à la newsletter de Tech2Tech.


Des questions, des remarques ou tout simplement, envie d’échanger sur le sujet de l’article ? L’espace commentaires est là pour ça !

Puisque vous êtes encore là...

...Si cet article vous a aidé ou informé, laissez-moi vous demander une petite faveur. Nombreux d'entre vous utilise AdBlock sur tech2tech. Alors n'hésitez pas à désactiver AdBlock sur ce site ou bien à faire un don pour m'aider à couvrir les frais autour du site.

Si chacun de ceux qui ont lu et apprécié cet article participe, le futur de tech2tech ne pourra être que meilleur. Merci à vous !.

FAIRE UN DON
Source
FIRST ImprovingSecurity Together

Kevin ENGEL

Administrateur Système et Réseau de formation dont cinq années au service de nombreux clients de tout type au sein d'une SSII en tant que technicien de support. De 2020 à 2021, j'ai fait la création d'une autoentreprise, qui n'a pas eu de suite favorable. Actuellement, je suis responsable support technique au sein d'une entreprise prestataire de services informatique (modèle MSP).J'apprécie également partager mes connaissances ainsi que porter assistance quand je le peux sur des problématiques techniques, mais aussi apprendre de nouvelles choses au quotidien.

Articles similaires

Bouton retour en haut de la page