Evaluation de la gravité des vulnérabilités : la nouvelle norme CVSS 4.0 est disponible !
Reconnue au niveau international, le Forum of Incident Response and Security Teams (FIRST) a officiellement publié la nouvelle version de son système de score permettant d'évaluer la criticité d'une vulnérabilité. 8 ans après CVSS 3.0, la version CVSS 4.0 vient d'être officialisée !
Si vous lisez régulièrement les articles sur IT-Connect, vous avez surement remarqué que nous faisons très souvent référence au score CVSS d'une vulnérabilité. En effet, le score CVSS est pratique pour évaluer la gravité des vulnérabilités puisque ce score tient compte de l'exploitabilité, de l'impact sur la confidentialité, l'intégrité, ainsi que les privilèges requis pour exploiter la vulnérabilité. Plus la note est élevée, plus la vulnérabilité est grave. Ainsi, il est plus facile d'identifier les failles de sécurité critiques.
"La note numérique peut être représentée sous la forme d'une évaluation qualitative de la gravité (faible, moyenne, élevée et critique) afin d'aider les organisations à évaluer correctement et à hiérarchiser leurs processus de gestion des vulnérabilités et à préparer leurs défenses contre les cyber-attaques.", peut-on lire sur le site du FIRST.
Sur son site, le FIRST a mis en ligne un article qui résume les changements apportés au sein de CVSS 4.0. Vous pouvez retrouver cet article à cette adresse. Il y a aussi ce PDF qui revient en détail sur CVSS 4.0 et qui a été utilisé en juin dernier lorsque le FIRST a dévoilé CVSS 4.0 lors d'une conférence qui s'est déroulée à Montréal, au Canada.
Cette nouvelle version devrait permettre d'être plus précise et elle répond mieux aux menaces actuelles. Pour cela, le FIRST a introduit de nouvelles métriques permettant de calculer le score, notamment l'automatisabilité (wormable), la restauration (recovery), l'effort à fournir en réponse aux vulnérabilités et le niveau d'urgence pour le fournisseur. La métrique de base est également scindée en deux métriques : la complexité de l'attaque (Attack Complexity) et les prérequis pour mener l'attaque (Attack Requirements).
Il est à noter que CVSS ne se limite pas à la note de base. Avec la version 4.0, CVSS adopte une nouvelle nomenclature que voici :
- CVSS-B : Score de base CVSS
- CVSS-BT : Score de base CVSS + Threat Score
- CVSS-BE : Score de base CVSS + Environmental Score
- CVSS-BTE : Score de base CVSS + Threat Score + Environmental Score
Le score CVSS est vraiment un indicateur clé utilisé par certaines applications et les professionnels de l'informatique, don c'est important qu'il soit actualisé pour suivre l'évolution des menaces.