19 juin 2023

CVSS 4.0 ce qu’il faut savoir

La cybersécurité est un domaine en constante évolution. Pour rester à jour et protéger efficacement nos systèmes, il est indispensable de comprendre les outils à notre disposition. L’un de ces outils est le Système Commun de Notation des Vulnérabilités, ou CVSS. Dans cet article, nous allons explorer la nouvelle version de cet important standard : le CVSS 4.0. Que change-t-il par rapport aux versions précédentes ? Quelles sont ses nouvelles fonctionnalités ? Pourquoi est-il pertinent pour les professionnels de la sécurité ? Plongeons ensemble dans le monde du CVSS 4.0.

Introduction au CVSS 4.0

Qu'est-ce que le CVSS ?

Le Common Vulnerability Scoring System (CVSS) est un outil gratuit et ouvert qui fournit une méthode standard pour évaluer la gravité des vulnérabilités de sécurité informatique. Il offre une évaluation quantitative de l’impact potentiel des vulnérabilités, permettant aux organisations de mieux prioriser leurs efforts de remédiation. Les versions précédentes du CVSS ont servi de référence pour évaluer les vulnérabilités, allant des failles du système d’exploitation aux problèmes spécifiques d’une application.

Pourquoi une nouvelle version est-elle nécessaire ?

Le paysage de la cybersécurité évolue constamment, avec de nouvelles menaces qui émergent et des techniques d’attaque qui se développent. La version précédente du CVSS, bien qu’utile, ne pouvait pas prendre en compte tous ces changements dynamiques. Par conséquent, une nouvelle version était nécessaire pour améliorer l’exactitude et la pertinence de l’évaluation des vulnérabilités, répondre aux nouvelles exigences de l’écosystème de la cybersécurité et offrir une évaluation plus complète et approfondie des risques de sécurité.

Présentation des nouveautés du CVSS 4.0

Renforcement du concept que le CVSS n'est pas juste le score de base

Le CVSS 4.0 renforce l’idée que le système d’évaluation n’est pas uniquement basé sur le score de base. De nouvelles terminologies ont été introduites pour identifier différentes combinaisons de scores, y compris le score de base (CVSS-B), le score de base plus le score de menace (CVSS-BT), le score de base plus le score environnemental (CVSS-BE), et une combinaison des trois (CVSS-BTE). Cette modification permet une évaluation plus précise et adaptée aux différents contextes d’une organisation.

Granularité plus fine grâce à l'ajout de nouvelles métriques et valeurs de base

De nouvelles métriques ont été introduites pour offrir une granularité plus fine dans l’évaluation. Par exemple, une nouvelle métrique « Exigences d’attaque » (AT) a été ajoutée pour évaluer les exigences nécessaires pour qu’une attaque réussisse. De plus, de nouvelles valeurs pour l’interaction utilisateur (UI) ont été ajoutées, y compris Passive (P) et Active (A), permettant une évaluation plus précise du niveau d’interaction requis pour exploiter une vulnérabilité.

Divulgation améliorée des métriques d'impact

L’une des modifications notables de CVSS v4.0 est le retrait de la métrique « Portée ». Cette modification vise à améliorer la précision de la façon dont les impacts sont évalués et communiqués.

Portée (Scope) retirée

Le CVSS 4.0 met l’accent sur une divulgation améliorée des métriques d’impact. La métrique « Scope » a été retirée et une évaluation explicite de l’impact sur le système vulnérable (VC, VI, VA) et les systèmes subséquents (SC, SI, SA) a été introduite. Cela fournit une image plus claire de l’impact potentiel d’une vulnérabilité sur le système concerné et sur d’autres systèmes.

Évaluation explicite de l'impact

La version 4.0 du CVSS introduit une évaluation explicite de l’impact sur le système vulnérable (VC, VI, VA) et les systèmes subséquents (SC, SI, SA). Cette approche permet une meilleure compréhension des conséquences potentielles d’une vulnérabilité spécifique.

Le groupe de métriques temporelles a été renommé en groupe de métriques de menace

Simplification et clarification des métriques de Menace

Dans le but de rendre le système de notation plus facile à comprendre et à utiliser, les métriques de menace ont été simplifiées et clarifiées.

Retrait du niveau de Remédiation (RL) et de la Confiance du Rapport (RC)

Ces deux métriques, qui faisaient précédemment partie du groupe de métriques Temporelles, ont été retirées dans CVSS v4.0.

Renommage de "Maturité du Code d'Exploitation" en "Maturité de l'Exploitation"

Cette modification a pour but de rendre la terminologie plus claire et plus précise. Les valeurs de cette métrique ont également été clarifiées.

Nouveau groupe de métriques

CVSS v4.0 introduit un nouveau groupe de métriques supplémentaires pour véhiculer des attributs extrinsèques supplémentaires d’une vulnérabilité qui n’affectent pas le score final CVSS-BTE.

Sécurité (S)

Cette métrique supplémentaire évalue la sécurité intrinsèque d’un système ou d’un produit.

Automatisation (A)

La métrique d’automatisation indique si l’exploitation de la vulnérabilité peut être automatisée.

Récupération (R)

La métrique de récupération évalue la facilité avec laquelle un système ou un produit peut se rétablir après avoir été affecté par une vulnérabilité.

Densité de Valeur (V)

Cette métrique évalue la concentration de données sensibles ou précieuses qui pourraient être affectées par une vulnérabilité.

Effort de Réponse à la Vulnérabilité (RE)

Cette métrique évalue le niveau d’effort nécessaire pour répondre à une vulnérabilité spécifique.

Urgence du Fournisseur (U)

L’urgence du fournisseur mesure la rapidité avec laquelle le fournisseur réagit à une vulnérabilité.

Focus supplémentaire sur OT/ICS/Sécurité

Dans le cadre de la mise à jour vers la version 4.0, CVSS a également mis l’accent sur la technologie opérationnelle (OT), les systèmes de contrôle industriel (ICS) et la sécurité.

Sécurité évaluée par le consommateur (MSI:S, MSA:S)

Un des changements notables est l’introduction de la « sécurité évaluée par le consommateur », qui est indiquée par les métriques MSI:S et MSA:S. Cette nouvelle caractéristique permet aux utilisateurs finaux d’apporter leur propre évaluation de la sécurité, ce qui peut aider à une meilleure compréhension de la gravité réelle d’une vulnérabilité dans le contexte de leur propre environnement. C’est une reconnaissance de l’importance de l’expérience utilisateur dans l’évaluation de la sécurité, car chaque environnement est unique et peut être affecté différemment par la même vulnérabilité.

Sécurité évaluée par le fournisseur à travers la métrique de sécurité (S) supplémentaire

La sécurité évaluée par le fournisseur est une autre nouveauté de la version 4.0, qui est indiquée par la métrique supplémentaire de sécurité (S). Cette métrique est conçue pour permettre aux fournisseurs de logiciels de fournir leur propre évaluation de la sécurité d’une vulnérabilité dans le contexte de leurs produits. Cela peut donner aux utilisateurs finaux une perspective plus équilibrée sur la gravité d’une vulnérabilité, en tenant compte non seulement de leur propre évaluation, mais aussi de celle du fournisseur du logiciel.

Conclusion

La version 4.0 du CVSS apporte de nombreux changements et améliorations par rapport à la version précédente. La nouvelle version met un accent particulier sur l’implication de l’utilisateur final et du fournisseur de logiciel dans l’évaluation de la sécurité, reconnaissant ainsi que la gravité d’une vulnérabilité peut varier en fonction du contexte. De plus, les nouvelles métriques et la plus grande granularité de l’évaluation permettent une meilleure compréhension et une meilleure gestion des risques. Alors que le CVSS continue d’évoluer, il reste un outil essentiel pour la communauté de la cybersécurité pour évaluer et gérer les vulnérabilités de manière uniforme.