Les crises politiques se multiplient un peu partout dans le monde, les organisations malveillantes sont plus organisées que jamais et disposent de fonds importants. Face à ces menaces les entreprises se protègent de mieux en mieux.
Dans ce contexte, il est impératif de disposer d’un outil fiable pour évaluer le niveau de risque associé aux vulnérabilités découvertes. Le CVSS (Common Vulnerability Scoring System) s’impose comme une norme incontournable dans l’évaluation de ces risques, permettant aux organisations de prioriser leurs efforts de sécurité de manière efficace.
Comprendre le système CVSS
Origines et objectifs du CVSS
Le Common Vulnerability Scoring System, ou CVSS, a vu le jour pour répondre à un besoin crucial dans le domaine de la cybersécurité : fournir une méthode standardisée pour évaluer la gravité des vulnérabilités des systèmes informatiques, notamment utile en cas d’audit de sécurité informatique. Avant sa création, les entreprises et les professionnels de la sécurité devaient naviguer à travers divers systèmes d’évaluation, souvent incompatibles et disparates, rendant la communication et la priorisation des menaces complexes et inefficaces.
CVSS est essentiel pour accompagner la liste CVE (Common Vulnerabilities and Exposures), qui répertorie les vulnérabilités connues. La principale ambition du CVSS est d’offrir une approche uniforme et reproductible pour évaluer ces vulnérabilités. Cela permet non seulement d’harmoniser la communication autour des risques en cybersécurité, mais aussi de faciliter la prise de décision pour les responsables de la sécurité. En standardisant ces évaluations, le CVSS aide les organisations à mieux comprendre la nature et l’urgence des menaces qui pèsent sur leurs infrastructures numériques.
Structure et catégories de notation
Il est structuré en plusieurs catégories de notation qui permettent d’établir un score global allant de 0 à 10, indiquant le niveau de risque associé à une vulnérabilité donnée. Les catégories se divisent en trois groupes principaux : les indicateurs de base, les indicateurs temporels et les indicateurs environnementaux. Chacune de ces catégories joue un rôle essentiel dans la détermination de la gravité et de l’impact potentiel d’une vulnérabilité.
| Catégorie | Description | Exemple d’Indicateur |
|---|---|---|
| Indicateurs de Base | Evalue l’exploitabilité et l’impact direct d’une vulnérabilité. Ces indicateurs sont constants dans le temps. | Accès Réseau: Local, Adjacent, Réseau; Impact: Confidentiel, Intégrité, Disponibilité |
| Indicateurs Temporels | Prend en compte l’évolution de la menace au fil du temps, incluant des facteurs comme la disponibilité des correctifs ou la sophistication des codes d’exploitation. | Maturité du Code: Preuve de Concept, Actif; Disponibilité du Correctif: Disponible, Non Disponible |
| Indicateurs Environnementaux | Adapte le score aux contextes spécifiques des réseaux et systèmes affectés, tenant compte de l’importance des actifs touchés pour une organisation donnée. | Ajustement du Modèle: Personnalisé selon l’environnement organisationnel spécifique |
Les indicateurs de base se concentrent sur des éléments tels que l’accès réseau requis pour exploiter la vulnérabilité et son impact sur la confidentialité, l’intégrité et la disponibilité des systèmes concernés. Les indicateurs temporels évaluent la dynamique de la menace, par exemple si un correctif est disponible ou s’il existe un code d’exploitation fonctionnel. Enfin, les indicateurs environnementaux considèrent comment une vulnérabilité pourrait affecter spécifiquement une organisation en fonction de sa configuration unique et de ses priorités stratégiques.
Rôle de la liste CVE dans l’évaluation CVSS
La liste des Common Vulnerabilities and Exposures (CVE) joue un rôle clé dans le cadre du système CVSS. Elle sert de référentiel centralisé et exhaustif des vulnérabilités documentées à travers le monde. Chaque entrée CVE est associée à un identifiant unique, facilitant ainsi le suivi et la gestion des failles. Cette liste publique des vulnérabilités est organisée par identifiants, dates et descriptions et est gérée par MITRE et la National Vulnerability Database (NVD).
Lorsqu’une vulnérabilité est identifiée et inscrite sur la liste CVE, elle est généralement accompagnée d’un score CVSS qui en décrit la gravité. Cette association permet aux professionnels de la sécurité de rapidement évaluer l’impact potentiel de nouvelles vulnérabilités découvertes et de prioriser les actions de remédiation basées sur des critères objectifs et standardisés.
Calcul et interprétation du score CVSS
Indicateurs de base : exploitabilité et impact
Les indicateurs de base du CVSS sont fondamentaux pour déterminer la gravité initiale d’une vulnérabilité. Ils se composent de plusieurs sous-indicateurs tels que l’accessibilité de la faille (réseau, local, physique), la complexité de l’attaque, et les privilèges requis pour l’exploitation. Ensemble, ces facteurs définissent l’exploitabilité d’une vulnérabilité.
En parallèle, l’impact d’une vulnérabilité est mesuré à travers ses effets potentiels sur la confidentialité, l’intégrité et la disponibilité des systèmes concernés. Une vulnérabilité qui compromet gravement ces aspects obtiendra un score de base plus élevé, indiquant une menace plus sérieuse qui nécessite une attention immédiate.
Les sous-indicateurs de l’exploitabilité sont :
- L’accessibilité de la faille
- La complexité de l’attaque
- Les privilèges requis pour l’exploitation
Les aspects de l’impact mesurés sont :
- La confidentialité
- L’intégrité
- La disponibilité
Indicateurs temporels : évolution et correctifs
Les indicateurs temporels prennent en compte la dynamique changeante des vulnérabilités au fil du temps. Ces indicateurs évaluent notamment la disponibilité de correctifs ou de solutions alternatives, la connaissance publique de la vulnérabilité, et la sophistication des codes d’exploitation disponibles.
Un facteur temporel important est la maturité des correctifs : une vulnérabilité pour laquelle un correctif fiable est disponible peut voir son score CVSS ajusté à la baisse, reflétant une réduction du risque. En revanche, si des codes d’exploitation efficaces sont largement disponibles, le score peut être augmenté pour indiquer une menace plus pressante.
Indicateurs environnementaux : adaptation aux contextes
Les indicateurs environnementaux du CVSS permettent d’adapter l’évaluation des vulnérabilités aux contextes spécifiques des organisations. En effet, le calcul du score CVSS repose sur trois catégories : les indicateurs de base (qui évaluent l’exploitabilité et l’impact potentiel), les indicateurs temporels (qui tiennent compte de l’évolution de la vulnérabilité, des correctifs disponibles et de la confiance dans les rapports), et enfin les indicateurs environnementaux, qui mesurent l’impact sur les actifs spécifiques d’une organisation.
Cette personnalisation est cruciale pour aligner les scores CVSS avec la réalité opérationnelle des entreprises. Par exemple, une vulnérabilité affectant un système critique pour une organisation donnée pourrait recevoir un score environnemental plus élevé, incitant à une réaction rapide et prioritaire par rapport à des vulnérabilités touchant des systèmes moins importants.
Limites et défis du système CVSS
Gravité vs. risque spécifique à l’environnement
Le système CVSS, bien qu’efficace pour évaluer la gravité des vulnérabilités, ne prend pas toujours en compte les risques spécifiques à un environnement donné. Par exemple, une vulnérabilité peut être jugée critique dans un contexte particulier, alors qu’elle est considérée de moindre importance dans un autre. Cette limitation est due au fait que le CVSS représente essentiellement la gravité et ne tient pas compte des risques environnementaux spécifiques.
Cette limitation souligne l’importance de combiner l’utilisation du CVSS avec une analyse contextuelle approfondie. Les organisations doivent évaluer les scores CVSS à la lumière de leur propre infrastructure, de leurs processus métiers et de leur tolérance au risque, afin de prendre des décisions éclairées sur la gestion des vulnérabilités. Les scores ne permettent pas toujours de prioriser efficacement les corrections, car les vulnérabilités jugées « critiques » peuvent ne pas être prioritaires dans un environnement spécifique.
Priorisation des corrections
La priorisation des corrections constitue un défi majeur dans l’utilisation des scores CVSS. Bien que ces scores offrent une base solide pour évaluer la gravité des vulnérabilités, ils ne tiennent pas toujours compte de l’ordre de priorité des corrections nécessaires pour une organisation spécifique. L’utilisation conjointe des CVE et des scores CVSS permet de quantifier la criticité afin de prioriser les corrections, tout en offrant une compréhension approfondie des vulnérabilités grâce aux descriptions et solutions fournies.
Pour surmonter ce défi, il est conseillé d’intégrer les scores CVSS dans un cadre plus large de gestion des vulnérabilités, qui inclut également des facteurs tels que l’impact potentiel sur les opérations, les exigences réglementaires et la disponibilité des ressources pour appliquer les correctifs nécessaires.
Adaptation aux infrastructures spécifiques
Le système CVSS peut parfois manquer de finesse lorsqu’il s’agit de s’adapter aux infrastructures spécifiques des organisations. Les scores standardisés peuvent ne pas refléter avec précision la diversité et la complexité des environnements informatiques modernes, tels que les systèmes en cloud, les réseaux industriels, ou les infrastructures critiques. Il est crucial d’adapter la gestion des vulnérabilités à l’infrastructure spécifique et aux risques associés, en intégrant les facteurs externes au CVSS, comme les impacts financiers et la réputation, pour une gestion complète.
Pour pallier cette limite, il est essentiel d’enrichir l’analyse CVSS avec des évaluations de risques plus personnalisées, qui prennent en compte les spécificités techniques et organisationnelles de chaque infrastructure. Cela permet d’assurer que les mesures de sécurité mises en place sont réellement efficaces et adaptées aux besoins de l’entreprise.
Utilisation pratique des scores CVSS
Stratégies de remédiation selon le niveau de gravité
Une utilisation efficace des scores CVSS implique d’adapter les stratégies de remédiation en fonction du niveau de gravité attribué à chaque vulnérabilité.
| Niveau de Gravité | Score CVSS v3 | Délai de Remédiation |
|---|---|---|
| Critique | 9,0 – 10,0 | 10 jours |
| Élevé | 7,0 – 8,9 | 4 semaines |
| Moyen | 4,0 – 6,9 | 12 semaines |
| Faible | 0,1 – 3,9 | 25 semaines |
Pour les vulnérabilités de gravité moyenne ou faible, une approche plus nuancée peut être adoptée, incluant une surveillance accrue et des plans de correction à plus long terme. Cette approche permet d’optimiser les ressources et de concentrer les efforts sur les menaces les plus urgentes, tout en maintenant une vigilance continue sur l’ensemble des vulnérabilités.
Intégration avec les CVE pour une gestion efficace
L’intégration des scores CVSS avec les entrées CVE est essentielle pour une gestion efficace des vulnérabilités. En associant les scores aux identifiants CVE, les organisations peuvent suivre l’évolution des menaces et des correctifs de manière systématique et coordonnée. Cette approche permet de quantifier la criticité pour prioriser les corrections et de mieux comprendre les vulnérabilités grâce aux descriptions et solutions fournies, soutenant ainsi la gestion des correctifs.
Cette intégration facilite également la communication entre les équipes de sécurité, les développeurs et les responsables de la gestion des risques. Elle assure une compréhension commune des priorités et des actions à entreprendre, favorisant ainsi une réponse rapide et coordonnée aux incidents de sécurité.
Prise en compte des facteurs externes pour une gestion complète
Pour une gestion complète et efficace des vulnérabilités, il est crucial de prendre en compte les facteurs externes qui peuvent influencer la gravité et l’impact des menaces. Ces facteurs incluent les tendances émergentes en matière de cybermenaces, les changements réglementaires, et les évolutions technologiques. L’importance d’adapter la gestion des vulnérabilités à l’infrastructure spécifique et aux risques associés est soulignée, en intégrant les facteurs externes au CVSS, comme les impacts financiers et la réputation, pour une gestion complète.
