{"id":22997,"date":"2025-08-01T16:54:22","date_gmt":"2025-08-01T14:54:22","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22997"},"modified":"2025-08-01T16:55:37","modified_gmt":"2025-08-01T14:55:37","slug":"cvss-rbvm-vulnerability-management","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cvss-rbvm-vulnerability-management\/22997\/","title":{"rendered":"Du CVSS au RBVM : enfin une priorisation des vuln\u00e9rabilit\u00e9s efficace"},"content":{"rendered":"

Lorsqu\u2019on d\u00e9couvre le CVSS<\/u> (Common Vulnerability Scoring System), on peut facilement croire qu\u2019il s\u2019agit de l\u2019outil id\u00e9al pour trier et prioriser les vuln\u00e9rabilit\u00e9s. Un score plus \u00e9lev\u00e9 signifie forc\u00e9ment une vuln\u00e9rabilit\u00e9 plus critique, non\u00a0? Et pourtant, cette logique ne tient pas la route. Chaque ann\u00e9e, nous constatons une augmentation du nombre de vuln\u00e9rabilit\u00e9s pr\u00e9sentant des scores CVSS \u00e9lev\u00e9s. Les \u00e9quipes de s\u00e9curit\u00e9 ne sont tout simplement pas en mesure de corriger toutes ces failles \u00e0 temps, mais la grande majorit\u00e9 d\u2019entre elles ne sont jamais exploit\u00e9es dans des attaques r\u00e9elles. Pendant ce temps, les pirates informatiques exploitent r\u00e9guli\u00e8rement des vuln\u00e9rabilit\u00e9s moins visibles, mais \u00e0 faible score. Il existe \u00e9galement d\u2019autres pi\u00e8ges cach\u00e9s, allant de probl\u00e8mes purement techniques, comme des scores CVSS contradictoires, \u00e0 des probl\u00e8mes conceptuels, comme l\u2019absence de contexte commercial.<\/p>\n

Il ne s\u2019agit pas n\u00e9cessairement de lacunes du CVSS lui-m\u00eame. Cela met plut\u00f4t en \u00e9vidence la n\u00e9cessit\u00e9 d\u2019utiliser correctement cet outil, dans le cadre d\u2019un processus plus sophistiqu\u00e9 et plus complet de gestion des vuln\u00e9rabilit\u00e9s.<\/p>\n

Incoh\u00e9rences du syst\u00e8me CVSS<\/h2>\n

Avez-vous d\u00e9j\u00e0 remarqu\u00e9 qu\u2019une m\u00eame vuln\u00e9rabilit\u00e9 peut avoir des scores de gravit\u00e9 diff\u00e9rents selon la source disponible\u00a0? Un score attribu\u00e9 par le chercheur en cybers\u00e9curit\u00e9 qui a d\u00e9couvert la faille, un autre par le fournisseur du logiciel vuln\u00e9rable, et encore un autre par une base de donn\u00e9es nationale sur les vuln\u00e9rabilit\u00e9s\u00a0? Il ne s\u2019agit pas toujours d\u2019une simple erreur. Parfois, diff\u00e9rents experts peuvent \u00eatre en d\u00e9saccord sur le contexte d\u2019exploitation. Ils peuvent avoir des id\u00e9es diff\u00e9rentes sur les privil\u00e8ges avec lesquels une application vuln\u00e9rable fonctionne, ou sur le fait qu\u2019elle soit connect\u00e9e \u00e0 Internet ou non. Par exemple, un fournisseur peut fonder son \u00e9valuation sur ses meilleures pratiques recommand\u00e9es, tandis qu\u2019un chercheur en s\u00e9curit\u00e9 peut tenir compte de la mani\u00e8re dont les applications sont g\u00e9n\u00e9ralement configur\u00e9es dans les organisations r\u00e9elles. Un chercheur peut estimer que la complexit\u00e9 de l\u2019exploitation est \u00e9lev\u00e9e, tandis qu\u2019un autre la jugera faible. Ce genre de situation n\u2019est pas rare. Une \u00e9tude de 2023 r\u00e9alis\u00e9e par Vulncheck<\/a> a r\u00e9v\u00e9l\u00e9 que 20\u00a0% des vuln\u00e9rabilit\u00e9s r\u00e9pertori\u00e9es dans la base de donn\u00e9es nationale sur les vuln\u00e9rabilit\u00e9s (NVD) avaient deux scores CVSS3 provenant de sources diff\u00e9rentes, et que 56\u00a0% de ces scores \u00e9taient contradictoires.<\/p>\n

Erreurs courantes lors de l\u2019utilisation du syst\u00e8me CVSS<\/h2>\n

Depuis plus de dix ans, le forum FIRST<\/a> milite en faveur d\u2019une application correcte du CVSS sur le plan m\u00e9thodologique. Pourtant, les organisations qui utilisent les notes CVSS dans leurs processus de gestion des vuln\u00e9rabilit\u00e9s continuent de commettre des erreurs courantes\u00a0:<\/p>\n

    \n
  1. Utilisation du score CVSS de base comme indicateur de risque principal. Le CVSS mesure la gravit\u00e9 d\u2019une vuln\u00e9rabilit\u00e9, et non le moment o\u00f9 elle sera exploit\u00e9e ou l\u2019impact potentiel de son exploitation sur l\u2019organisation attaqu\u00e9e. Dans certains cas, une vuln\u00e9rabilit\u00e9 grave est inoffensive dans l\u2019environnement d\u2019une entreprise donn\u00e9e parce qu\u2019elle r\u00e9side dans des syst\u00e8mes insignifiants et isol\u00e9s. \u00c0 l\u2019inverse, une attaque par ransomware \u00e0 grande \u00e9chelle peut commencer par une vuln\u00e9rabilit\u00e9 de fuite d\u2019informations \u00e0 premi\u00e8re vue inoffensive, avec un score CVSS de 6.<\/li>\n
  2. Utilisation du score CVSS de base sans tenir compte des facteurs de menace, temporels ou environnementaux. La disponibilit\u00e9 de correctifs, d\u2019exploits publics et de mesures compensatoires d\u00e9termine dans une large mesure le degr\u00e9 d\u2019urgence et la mani\u00e8re dont une vuln\u00e9rabilit\u00e9 doit \u00eatre trait\u00e9e.<\/li>\n
  3. Focalisation uniquement sur les vuln\u00e9rabilit\u00e9s sup\u00e9rieures \u00e0 un certain score. Cette approche est parfois impos\u00e9e par les autorit\u00e9s gouvernementales ou les organismes de r\u00e9glementation du secteur (\u00ab\u00a0rem\u00e9dier aux vuln\u00e9rabilit\u00e9s dont le score CVSS est sup\u00e9rieur \u00e0 8 dans un d\u00e9lai d\u2019un mois\u00a0\u00bb). Par cons\u00e9quent, les \u00e9quipes charg\u00e9es de la cybers\u00e9curit\u00e9 sont confront\u00e9es \u00e0 une charge de travail en constante augmentation qui, en r\u00e9alit\u00e9, ne prot\u00e8ge pas davantage leur infrastructure. Le nombre de vuln\u00e9rabilit\u00e9s identifi\u00e9es chaque ann\u00e9e avec un score CVSS \u00e9lev\u00e9 a augment\u00e9 rapidement au cours des dix derni\u00e8res ann\u00e9es<\/a>.<\/li>\n
  4. Utilisation du CVSS pour \u00e9valuer la probabilit\u00e9 d\u2019exploitation. Ces mesures sont peu corr\u00e9l\u00e9es\u00a0: seules 17\u00a0% des vuln\u00e9rabilit\u00e9s critiques<\/a> sont r\u00e9ellement exploit\u00e9es lors d\u2019attaques.<\/li>\n
  5. Utilisation uniquement de la notation CVSS. La cha\u00eene de vecteurs normalis\u00e9e a \u00e9t\u00e9 introduite dans le CVSS afin que les \u00e9quipes de d\u00e9fense puissent comprendre les d\u00e9tails d\u2019une vuln\u00e9rabilit\u00e9 et calculer ind\u00e9pendamment son importance au sein de leur propre organisation. Le syst\u00e8me CVSS\u00a04.0 a \u00e9t\u00e9 sp\u00e9cialement r\u00e9vis\u00e9 pour faciliter la prise en compte du contexte commercial \u00e0 l\u2019aide de mesures suppl\u00e9mentaires. Tout effort de gestion de la vuln\u00e9rabilit\u00e9 reposant uniquement sur une notation num\u00e9rique sera en grande partie inefficace.<\/li>\n
  6. Non-prise en compte de sources d\u2019informations suppl\u00e9mentaires. Il ne suffit pas de s\u2019appuyer sur une seule base de donn\u00e9es de vuln\u00e9rabilit\u00e9s et d\u2019analyser uniquement le CVSS. L\u2019absence de donn\u00e9es sur les correctifs, les preuves de concept fonctionnelles et les exemples d\u2019exploitation r\u00e9els rend difficile la prise de d\u00e9cision quant \u00e0 la mani\u00e8re de traiter les vuln\u00e9rabilit\u00e9s.<\/li>\n<\/ol>\n

    Les angles morts du CVSS face aux vuln\u00e9rabilit\u00e9s<\/h2>\n

    Le CVSS est la norme industrielle utilis\u00e9e pour d\u00e9crire la gravit\u00e9 d\u2019une vuln\u00e9rabilit\u00e9, les conditions dans lesquelles elle peut \u00eatre exploit\u00e9e et son impact potentiel sur un syst\u00e8me vuln\u00e9rable. Cependant, au-del\u00e0 de cette description (et du score de base CVSS), bien des aspects passent \u00e0 la trappe\u00a0:<\/p>\n