Cette ann\u00e9e marque le 20\u1d49\u00a0anniversaire du syst\u00e8me commun d\u2019\u00e9valuation des vuln\u00e9rabilit\u00e9s (CVSS), qui est devenu une norme largement accept\u00e9e pour d\u00e9crire les vuln\u00e9rabilit\u00e9s des logiciels. Malgr\u00e9 des d\u00e9cennies d\u2019utilisation et quatre g\u00e9n\u00e9rations de la norme (qui en est aujourd\u2019hui \u00e0 la version\u00a04.0), les r\u00e8gles de notation du syst\u00e8me CVSS continuent d\u2019\u00eatre utilis\u00e9es \u00e0 mauvais escient, et le syst\u00e8me lui-m\u00eame fait l\u2019objet d\u2019un intense d\u00e9bat. Que devez-vous donc savoir sur le syst\u00e8me CVSS pour prot\u00e9ger efficacement votre parc informatique\u00a0?<\/p>\n
Selon ses d\u00e9veloppeurs<\/a>, le syst\u00e8me CVSS est un outil permettant de d\u00e9crire les caract\u00e9ristiques et la gravit\u00e9 des vuln\u00e9rabilit\u00e9s des logiciels. La maintenance du syst\u00e8me CVSS est assur\u00e9e par le Forum of Incident Response and Security Teams (FIRST). Il a \u00e9t\u00e9 cr\u00e9\u00e9 pour amener les experts \u00e0 parler un langage commun \u00e0 propos des vuln\u00e9rabilit\u00e9s et pour faciliter le traitement automatique des donn\u00e9es sur les failles logicielles. Presque toutes les vuln\u00e9rabilit\u00e9s publi\u00e9es dans les principaux registres de vuln\u00e9rabilit\u00e9s tels que CVE<\/a>, EUVD<\/a> ou CNNVD<\/a> comprennent une \u00e9valuation du niveau de gravit\u00e9 selon l\u2019\u00e9chelle CVSS.<\/p>\n Une \u00e9valuation se compose g\u00e9n\u00e9ralement de deux parties principales\u00a0:<\/p>\n Voici un exemple utilisant la vuln\u00e9rabilit\u00e9 tr\u00e8s grave et activement exploit\u00e9e CVE-2021-44228 (Log4Shell)\u00a0: Base Score 10.0 (CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:C\/C:H\/I:H\/A:H)<\/strong><\/p>\n D\u00e9composons la situation\u00a0: le vecteur d\u2019attaque est bas\u00e9 sur le r\u00e9seau, la complexit\u00e9 de l\u2019attaque est faible, les privil\u00e8ges requis sont nuls, l\u2019interaction avec l\u2019utilisateur n\u2019est pas n\u00e9cessaire, la port\u00e9e indique que la vuln\u00e9rabilit\u00e9 touche d\u2019autres composants du syst\u00e8me, et l\u2019impact sur la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9 et la disponibilit\u00e9 est \u00e9lev\u00e9. Des descriptions d\u00e9taill\u00e9es de chaque composant sont disponibles dans les sp\u00e9cifications CVSS\u00a03.1<\/a> et CVSS\u00a04.0<\/a>.<\/p>\n Un \u00e9l\u00e9ment essentiel du syst\u00e8me CVSS est sa m\u00e9thodologie de notation, \u00e9galement connue sous le nom de calculateur, et disponible pour les versions 4.0<\/a> et 3.1<\/a>. En renseignant toutes les composantes du vecteur, vous obtenez automatiquement un score de criticit\u00e9 num\u00e9rique.<\/p>\n La m\u00e9thodologie originale de calcul du CVSS comprenait trois groupes de mesures\u00a0: de base<\/strong>, temporelle<\/strong> et environnementale<\/strong>. Le premier groupe couvre les caract\u00e9ristiques fondamentales et immuables d\u2019une vuln\u00e9rabilit\u00e9 et constitue la base du calcul du score de base CVSS. Le deuxi\u00e8me groupe comprend des caract\u00e9ristiques qui peuvent changer au fil du temps, comme la disponibilit\u00e9 de codes d\u2019exploitation publi\u00e9s. Le troisi\u00e8me groupe est con\u00e7u pour un usage interne \u00e0 l\u2019organisation afin de tenir compte de facteurs propres au contexte, comme la port\u00e9e de l\u2019application vuln\u00e9rable ou la pr\u00e9sence de contr\u00f4les de s\u00e9curit\u00e9 d\u2019att\u00e9nuation dans l\u2019infrastructure de l\u2019organisation. Dans le syst\u00e8me CVSS 4.0, les mesures temporelles sont devenues des mesures de menace<\/strong>, et un nouveau groupe de mesures suppl\u00e9mentaires<\/strong> a \u00e9t\u00e9 introduit.<\/p>\n Voici comment les mesures sont interconnect\u00e9es. Les \u00e9diteurs de logiciels ou les entreprises de cybers\u00e9curit\u00e9 \u00e9valuent g\u00e9n\u00e9ralement le niveau de criticit\u00e9 de base d\u2019une vuln\u00e9rabilit\u00e9 (appel\u00e9 \u00a0\u00bb\u00a0CVSS-B\u00a0\u00a0\u00bb dans la sp\u00e9cification\u00a04.0). Ils fournissent \u00e9galement souvent une \u00e9valuation relative \u00e0 la disponibilit\u00e9 et \u00e0 la divulgation publique d\u2019un exploit (CVSS-BT dans la version\u00a04.0 et temporelle dans la version\u00a03.1). Cette \u00e9valuation est un score de base modifi\u00e9\u00a0; CVSS-B peut donc \u00eatre sup\u00e9rieur ou inf\u00e9rieur \u00e0 CVSS-BT. Quant au score environnemental (CVSS-BTE), il est calcul\u00e9 au sein d\u2019une organisation donn\u00e9e \u00e0 partir de CVSS-BT, avec des ajustements effectu\u00e9s selon les conditions sp\u00e9cifiques d\u2019utilisation du logiciel vuln\u00e9rable.<\/p>\n Les deux premi\u00e8res versions du syst\u00e8me CVSS, publi\u00e9es en 2005 et 2007, sont \u00e0 peine utilis\u00e9es aujourd\u2019hui. M\u00eame si vous pouvez encore trouver d\u2019anciens scores CVSS pour des vuln\u00e9rabilit\u00e9s modernes, CVSS\u00a03.1 (2019) et CVSS 4.0 (2023) sont les syst\u00e8mes de notation les plus courants. Cependant, de nombreux \u00e9diteurs de logiciels et registres de vuln\u00e9rabilit\u00e9s ne sont pas press\u00e9s d\u2019adopter la version\u00a04.0 et continuent \u00e0 fournir des scores CVSS\u00a03.1.<\/p>\n L\u2019id\u00e9e centrale derri\u00e8re la premi\u00e8re version du syst\u00e8me CVSS \u00e9tait de quantifier la gravit\u00e9 des vuln\u00e9rabilit\u00e9s \u00e0 l\u2019aide d\u2019un syst\u00e8me de scores, avec une distinction initiale entre les mesures de base, temporelles et environnementales. \u00c0 ce stade, les descriptions textuelles ont \u00e9t\u00e9 formalis\u00e9es de mani\u00e8re approximative et les trois groupes de mesures ont \u00e9t\u00e9 calcul\u00e9s ind\u00e9pendamment.<\/p>\n Le syst\u00e8me CVSS\u00a02.0 a introduit une cha\u00eene de vecteurs normalis\u00e9e et une nouvelle logique\u00a0: un score de base obligatoire et immuable, un score temporel calcul\u00e9 \u00e0 partir du score de base mais tenant compte de facteurs changeants, et un score environnemental utilis\u00e9 au sein d\u2019organisations et de conditions particuli\u00e8res, d\u00e9riv\u00e9 soit du score de base, soit du score temporel.<\/p>\n Dans les versions\u00a03.0 et 3.1, le concept de port\u00e9e (impact sur d\u2019autres composants du syst\u00e8me) a \u00e9t\u00e9 ajout\u00e9. Ces versions ont \u00e9galement d\u00e9fini plus pr\u00e9cis\u00e9ment les param\u00e8tres li\u00e9s aux privil\u00e8ges requis et \u00e0 l\u2019interaction avec l\u2019utilisateur, et ont g\u00e9n\u00e9ralis\u00e9 et affin\u00e9 les valeurs de nombreux param\u00e8tres. Plus important encore, ces versions ont tent\u00e9 de consolider le fait que le syst\u00e8me CVSS mesure la gravit\u00e9 d\u2019une vuln\u00e9rabilit\u00e9, et non les risques qu\u2019elle engendre.<\/p>\n Dans la version\u00a04.0, les cr\u00e9ateurs ont cherch\u00e9 \u00e0 rendre la mesure CVSS plus utile pour les \u00e9valuations au niveau de l\u2019entreprise de l\u2019impact des vuln\u00e9rabilit\u00e9s sur les risques. Il ne s\u2019agit toutefois pas encore d\u2019une mesure du risque. La complexit\u00e9 de l\u2019attaque a \u00e9t\u00e9 divis\u00e9e en deux modules distincts\u00a0: les exigences de l\u2019attaque et la complexit\u00e9 de l\u2019attaque. Cette distinction met en \u00e9vidence la diff\u00e9rence entre la difficult\u00e9 technique inh\u00e9rente \u00e0 une attaque et les facteurs ou conditions externes n\u00e9cessaires \u00e0 sa r\u00e9ussite. Concr\u00e8tement, cela signifie qu\u2019une faille qui requiert une configuration sp\u00e9cifique et non standard sur le produit vuln\u00e9rable pour \u00eatre exploit\u00e9e devra satisfaire \u00e0 des conditions d\u2019attaque plus strictes et, par cons\u00e9quent, obtiendra un score CVSS global plus faible.<\/p>\n La mesure de port\u00e9e, souvent mal comprise, qui offrait simplement les options \u00ab\u00a0oui\u00a0\u00bb ou \u00ab\u00a0non\u00a0\u00bb pour \u00ab\u00a0l\u2019impact sur d\u2019autres composants\u00a0\u00bb, a \u00e9t\u00e9 remplac\u00e9e. Les d\u00e9veloppeurs ont introduit le concept plus clair de \u00a0\u00bb syst\u00e8mes ult\u00e9rieurs \u00ab\u00a0, qui pr\u00e9cise d\u00e9sormais quel aspect de leur fonctionnement est concern\u00e9 par la vuln\u00e9rabilit\u00e9. De plus, une s\u00e9rie d\u2019indicateurs compl\u00e9mentaires ont \u00e9t\u00e9 ajout\u00e9s, comme l\u2019automatisation d\u2019une faille et l\u2019impact de son exploitation sur la s\u00e9curit\u00e9 physique des personnes. Les formules elles-m\u00eames ont \u00e9galement fait l\u2019objet de nombreuses r\u00e9visions. L\u2019influence de divers composants sur le score num\u00e9rique de menace a \u00e9t\u00e9 r\u00e9\u00e9valu\u00e9e \u00e0 partir d\u2019une base de donn\u00e9es exhaustive sur les vuln\u00e9rabilit\u00e9s et les donn\u00e9es d\u2019exploitation r\u00e9elles.<\/p>\n Pour les professionnels de la cybers\u00e9curit\u00e9, le syst\u00e8me CVSS\u00a04.0 vise \u00e0 \u00eatre plus pratique et mieux adapt\u00e9 aux r\u00e9alit\u00e9s actuelles. Nous sommes confront\u00e9s \u00e0 des dizaines de milliers de vuln\u00e9rabilit\u00e9s, dont beaucoup obtiennent un score CVSS \u00e9lev\u00e9. Cela conduit souvent \u00e0 ce qu\u2019elles soient automatiquement signal\u00e9es pour une correction imm\u00e9diate dans de nombreuses organisations. Le probl\u00e8me, c\u2019est que ces listes ne cessent de s\u2019allonger et que le d\u00e9lai moyen pour corriger une vuln\u00e9rabilit\u00e9 avoisine d\u00e9sormais les sept mois<\/a>.<\/p>\n Lorsque les vuln\u00e9rabilit\u00e9s sont r\u00e9\u00e9valu\u00e9es de CVSS\u00a03.1 \u00e0 CVSS\u00a04.0<\/a>, le score de base pour les d\u00e9fauts dont la gravit\u00e9 est comprise entre 4,0 et 9,0 a tendance \u00e0 augmenter l\u00e9g\u00e8rement. Toutefois, pour les vuln\u00e9rabilit\u00e9s qui \u00e9taient consid\u00e9r\u00e9es comme tr\u00e8s graves dans le syst\u00e8me CVSS\u00a03.1, le score reste souvent inchang\u00e9, voire diminue. Plus important encore, alors que les mesures temporelles n\u2019avaient auparavant que peu d\u2019impact sur l\u2019\u00e9valuation num\u00e9rique d\u2019une vuln\u00e9rabilit\u00e9, l\u2019influence des mesures de menace et d\u2019environnement est d\u00e9sormais beaucoup plus marqu\u00e9e. Orange Cyberdefense a r\u00e9alis\u00e9 une \u00e9tude<\/a> pour illustrer ce propos. Imaginons qu\u2019une entreprise suive 8\u00a0000\u00a0vuln\u00e9rabilit\u00e9s et que ses \u00e9quipes informatiques et de s\u00e9curit\u00e9 soient tenues de corriger tous les d\u00e9fauts dont le score CVSS de base est sup\u00e9rieur \u00e0\u00a08 dans un d\u00e9lai donn\u00e9. Quel pourcentage de ces 8\u00a0000\u00a0vuln\u00e9rabilit\u00e9s r\u00e9elles entrerait dans cette cat\u00e9gorie \u2013 avec ou sans prise en compte de l\u2019exposition de l\u2019exploit au public (ajustement temporel\/menace)\u00a0? Selon l\u2019\u00e9tude, le syst\u00e8me CVSS\u00a04.0, dans sa version de base, attribue un score d\u2019au moins\u00a08 \u00e0 un plus grand pourcentage de vuln\u00e9rabilit\u00e9s (33\u00a0% contre 18\u00a0% dans la version\u00a03.1). Toutefois, si l\u2019on tient compte de la disponibilit\u00e9 des exploits, ce chiffre diminue consid\u00e9rablement, ce qui r\u00e9duit le nombre de failles r\u00e9ellement critiques \u00e0 traiter en priorit\u00e9 (8\u00a0% contre 10\u00a0%).<\/p>\n Quelle est la diff\u00e9rence entre une vuln\u00e9rabilit\u00e9 \u00ab\u00a0critique\u00a0\u00bb et une vuln\u00e9rabilit\u00e9 tout simplement dangereuse ? Une description de gravit\u00e9 sous forme de texte fait partie de la sp\u00e9cification, mais elle n\u2019est pas toujours n\u00e9cessaire dans une description de vuln\u00e9rabilit\u00e9 :<\/p>\n Dans la pratique, de nombreux \u00e9diteurs de logiciels adoptent une approche cr\u00e9ative de ces descriptions textuelles. Ils peuvent modifier les noms ou incorporer leurs propres \u00e9valuations et facteurs non inclus dans le syst\u00e8me CVSS. Le Microsoft Patch Tuesday de juin, en particulier CVE-2025-33064<\/a> et CVE-2025-32710<\/a>, en est un bon exemple. Le premier est d\u00e9crit comme \u00ab\u00a0Important\u00a0\u00bb et le second comme \u00ab\u00a0Critique\u00a0\u00bb, mais leurs scores CVSS 3.1 sont respectivement de 8,8 et 8,1.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Nous d\u00e9crivons le syst\u00e8me Common Vulnerability Scoring System, ou syst\u00e8me commun d’\u00e9valuation des vuln\u00e9rabilit\u00e9s : \u00e0 quoi il sert, comment il est utilis\u00e9 dans la pratique et pourquoi le score de base n’est que le d\u00e9but, et non la fin, de l’\u00e9valuation des vuln\u00e9rabilit\u00e9s.<\/p>\n","protected":false},"author":2722,"featured_media":22980,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[87,4407,4544,3222,4201,322],"class_list":{"0":"post-22979","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-conseils","10":"tag-correctifs","11":"tag-cvss","12":"tag-rssi","13":"tag-strategie","14":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cvss-4-base-evolution\/22979\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cvss-4-base-evolution\/12577\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cvss-4-base-evolution\/28320\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cvss-4-base-evolution\/31157\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cvss-4-base-evolution\/29830\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cvss-4-base-evolution\/40086\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cvss-4-base-evolution\/13555\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cvss-4-base-evolution\/53825\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cvss-4-base-evolution\/24009\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cvss-4-base-evolution\/32432\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cvss-4-base-evolution\/29378\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22979","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=22979"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22979\/revisions"}],"predecessor-version":[{"id":22981,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22979\/revisions\/22981"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/22980"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=22979"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=22979"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=22979"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
L\u2019\u00e9volution du syst\u00e8me CVSS<\/h2>\n
Comment le syst\u00e8me CVSS\u00a04.0 transforme la hi\u00e9rarchisation des vuln\u00e9rabilit\u00e9s<\/h2>\n
Critique, \u00c9lev\u00e9 et toute valeur interm\u00e9diaire<\/h2>\n
\n