Introduction à la méthode de scoring CVSS

Aujourd’hui, les directions informatiques doivent identifier et mesurer les vulnérabilités sur des plateformes matérielles et logicielles très variées. Elles doivent prioriser ces vulnérabilités et adresser en premier lieu celles qui posent les plus grands risques. Mais dès lors que les vulnérabilités à corriger sont trop nombreuses et évaluées selon des échelles différentes, comment transformer ces montagnes de données en critères de décision. Le système de notation CVSS est un cadre ouvert créé par l’administration américaine pour adresser ce problème. CVSS offre les avantages suivants :

• Normalisation du score des Vulnérabilités : Lorsqu’une organisation standardise la notation des vulnérabilités sur toutes ses plateformes logicielles et matérielles, elle peut tirer profit d’une politique unifiée de gestion des vulnérabilités. Cette politique peut être semblable à un contrat de service (SLA) qui indique sous quel délai une vulnérabilité quelconque doit être validée et corrigée.

• Ouverture : Les utilisateurs peuvent être troublés quand une note arbitraire est attribuée à une vulnérabilité. Se posent souvent les questions suivantes : « pourquoi cette note ? » « quels sont les critères qui conduisent à cette note ? » « En quoi cette vulnérabilité est elle différente de celle publiée hier ? ». Avec CVSS tout le monde a accès aux caractéristiques utilisées pour attribuer la note.

 

• Priorisation du risque : Lorsque la note environnementale est calculée, la vulnérabilité est intégrée à son contexte. Ainsi, la note de la vulnérabilité est alors représentative du niveau de risque réel qu’elle représente pour l’entité. Les utilisateurs savent alors évaluer l’importance relative des vulnérabilités les unes par rapport aux autres.