- Actualités
- >cybersécurité
FIRST annonce CVSS 4.0 – un nouveau système d’évaluation des vulnérabilités
- , Publié le 4 novembre 2023
- , à20 h 31 min
Le Forum of Incident Response and Security Teams (FIRST) a officiellement annoncé CVSS v4.0, la nouvelle génération de la norme Common Vulnerability Scoring System, plus de huit ans après la publication de CVSS v3.0 en juin 2015.
« Cette dernière version de CVSS 4.0 vise à fournir la plus grande fidélité d’évaluation des vulnérabilités pour l’industrie et le public », a déclaré FIRST dans un communiqué.
CVSS fournit essentiellement un moyen de capturer les principales caractéristiques techniques d’une vulnérabilité de sécurité et de produire un score numérique dénotant sa gravité. Ce score peut être traduit en différents niveaux, tels que faible, moyen, élevé et critique, afin d’aider les organisations à hiérarchiser leurs processus de gestion des vulnérabilités.
L’une des principales mises à jour de CVSS v3.1, publiée en juillet 2019, a été de souligner et de préciser que « CVSS est conçu pour mesurer la gravité d’une vulnérabilité et ne doit pas être utilisé seul pour évaluer le risque. »
CVSS v3.1 a également suscité des critiques pour un manque général de granularité dans l’échelle de notation et pour ne pas représenter adéquatement la santé, la sécurité humaine et les systèmes de contrôle industriels.
La dernière révision de la norme vise à combler certaines de ces lacunes en fournissant plusieurs mesures supplémentaires pour l’évaluation des vulnérabilités, telles que la sécurité (S), l’automatisabilité (A), la récupération (R), la densité de valeur (V), l’effort de réponse aux vulnérabilités (RE) et l’urgence du fournisseur (U). Il introduit également une nouvelle nomenclature pour énumérer les scores CVSS en utilisant une combinaison de notes de gravité de base (CVSS-B), de base + menace (CVSS-BT), de base + environnement (CVSS-BE), et de base + menace + environnement (CVSS-BTE).
L’idée, selon FIRST, est de « renforcer le concept selon lequel CVSS n’est pas seulement le score de base », ajoutant que « cette nomenclature devrait être utilisée partout où une valeur CVSS numérique est affichée ou communiquée ». « Le score de base CVSS doit être complété par une analyse de l’environnement (Environmental Metrics) et par des attributs susceptibles d’évoluer dans le temps (Threat Metrics).
