CVSS (Common Vulnerability Scoring System)
Qu'est-ce que CVSS (Common Vulnerability Scoring System) ?
CVSS (Common Vulnerability Scoring System)Cadre ouvert, maintenu par le FIRST, qui produit un score de gravité 0–10 pour une vulnérabilité selon ses caractéristiques d'exploitation et son impact.
CVSS évalue les vulnérabilités via trois groupes de métriques : Base (propriétés intrinsèques comme le vecteur d'attaque, la complexité, les privilèges requis, l'impact CIA), Temporel/Menace (maturité de l'exploit, remédiation) et Environnemental (ajusté au déploiement). Le score Base, exprimé en nombre et en chaîne vectorielle, est ce que publie la plupart des fiches CVE. CVSS v3.1 domine aujourd'hui et la v4.0 affine les métriques pour l'IoT et la gravité supplémentaire. Les scores doivent être combinés au contexte métier, à la criticité de l'actif et aux signaux EPSS ou KEV : un CVSS élevé n'implique pas toujours un risque réel élevé, et un faible CVSS peut être critique dans un environnement donné.
● Exemples
- 01
CVE-2021-44228 (Log4Shell) : CVSS v3.1 Base 10.0 (Critique).
- 02
CVE-2014-0160 (Heartbleed) : CVSS v2 Base 5.0 (Moyenne).
● Questions fréquentes
Qu'est-ce que CVSS (Common Vulnerability Scoring System) ?
Cadre ouvert, maintenu par le FIRST, qui produit un score de gravité 0–10 pour une vulnérabilité selon ses caractéristiques d'exploitation et son impact. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie CVSS (Common Vulnerability Scoring System) ?
Cadre ouvert, maintenu par le FIRST, qui produit un score de gravité 0–10 pour une vulnérabilité selon ses caractéristiques d'exploitation et son impact.
Comment se défendre contre CVSS (Common Vulnerability Scoring System) ?
Les défenses contre CVSS (Common Vulnerability Scoring System) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de CVSS (Common Vulnerability Scoring System) ?
Noms alternatifs courants : Score CVSS.