CVSS (Common Vulnerability Scoring System)

CVSS évalue les vulnérabilités via trois groupes de métriques : Base (propriétés intrinsèques comme le vecteur d'attaque, la complexité, les privilèges requis, l'impact CIA), Temporel/Menace (maturité de l'exploit, remédiation) et Environnemental (ajusté au déploiement). Le score Base, exprimé en nombre et en chaîne vectorielle, est ce que publie la plupart des fiches CVE. CVSS v3.1 domine aujourd'hui et la v4.0 affine les métriques pour l'IoT et la gravité supplémentaire. Les scores doivent être combinés au contexte métier, à la criticité de l'actif et aux signaux EPSS ou KEV : un CVSS élevé n'implique pas toujours un risque réel élevé, et un faible CVSS peut être critique dans un environnement donné.