Common Vulnerability Scoring System (CVSS)

🎯 Introduction

Le Common Vulnerability Scoring System (CVSS) est un standard de l'industrie permettant d’évaluer et de quantifier la sévérité des vulnérabilités. Il permet aux entreprises de prioriser efficacement les failles identifiées lors des audits de sécurité. Les scanners de vulnérabilités automatisés s’appuient sur CVSS, mais il est essentiel de comprendre la logique du score, notamment pour justifier des priorités ou calculer manuellement une note.

🧠 CVSS & DREAD

Outre CVSS, certains professionnels s’appuient sur le modèle DREAD, développé par Microsoft, pour évaluer les menaces :

Facteur
Description

Damage

Impact potentiel sur le système

Reproducibility

Facilité de reproduction de l’attaque

Exploitability

Simplicité d’exploitation de la faille

Affected Users

Nombre d'utilisateurs impactés

Discoverability

Facilité à découvrir la vulnérabilité

DREAD et CVSS sont parfois utilisés ensemble pour affiner les analyses de risque.

🧩 Structure du score CVSS

Le score CVSS est structuré en trois groupes de métriques :

1. 🧱 Base Metric Group

Évalue les caractéristiques fondamentales de la vulnérabilité.

📌 Exploitability Metrics

  • Attack Vector : Où l'attaque peut être lancée (réseau, local, etc.)

  • Attack Complexity : Complexité pour exécuter l’attaque

  • Privileges Required : Niveau de privilège nécessaire

  • User Interaction : L'interaction de l’utilisateur est-elle requise ?

📌 Impact Metrics (CIA Triad)

  • Confidentiality Impact : Risque pour la confidentialité des données

  • Integrity Impact : Possibilité de modification des données

  • Availability Impact : Potentiel de déni de service ou d’indisponibilité

2. ⏳ Temporal Metric Group

Mesure la maturité de l’exploit, la disponibilité de correctifs, et la fiabilité du rapport.

Métrique
Description

Exploit Code Maturity

Exploit fiable, PoC, ou inexistant ?

Remediation Level

Fix disponible ? Temporaire ? Officiel ?

Report Confidence

Degré de confiance dans la vulnérabilité signalée

3. 🏢 Environmental Metric Group

Évalue l’impact dans le contexte spécifique de l’organisation.

  • Confidentiality Requirement

  • Integrity Requirement

  • Availability Requirement

Ces valeurs peuvent être modifiées pour refléter la criticité propre à l’environnement audité (faible, moyenne, haute).

🧮 Exemple de Calcul CVSS

Prenons le cas de la vulnérabilité Print Spooler RCE (Windows) :

  • Score de base CVSS : 8.8

  • Facilement exploitable à distance

  • Impact élevé sur l’intégrité et la disponibilité

  • Pas d'interaction utilisateur requise

➡️ Un score élevé signifie que cette vulnérabilité doit être priorisée rapidement dans un plan de remédiation.

Le NVD (National Vulnerability Database) fournit un calculateur CVSS officiel accessible à tous.

🧠 Récapitulatif des concepts clés

Terme
Définition

Vulnerability

Failles techniques dans un système

Threat

Intention ou capacité malveillante d'exploiter une faille

Exploit

Code ou technique permettant l'exploitation

Risk

Combinaison de la menace, de la faille et de l’impact

La matrice de risque (probabilité x impact) aide à prioriser les failles :

Probabilité / Impact
Faible
Moyenne
Élevée

Faible

1 (faible)

2 (faible)

3 (moyen)

Moyenne

2 (faible)

3 (moyen)

4 (élevé)

Élevée

3 (moyen)

4 (élevé)

5 (critique)

PrécédentAssessment StandardsSuivantCommon Vulnerabilities and Exposures (CVE)

Mis à jour