Qu’est ce que CVSS ?

CVSS est composée de trois groupes de métriques :

• Métriques intrinsèques
• Métriques temporelles
• Métriques contextuelles

Ces groupes de métriques sont décrits comme suit :

• Métriques intrinsèques : représentent les caractéristiques fondamentales d’une vulnérabilité qui sont constantes dans le temps et indépendantes du contexte utilisateur.
• Métriques temporelles : représente les caractéristiques qui évoluent dans le temps mais pas en fonction des environnements.
• Métriques contextuelles : représente les caractéristiques d’une vulnérabilité qui dépendent et sont propres à un environnement particulier.

L’objectif du groupe de base est de définir et communiquer les caractéristiques fondamentales d’une vulnérabilité. Cette approche objective de la qualification des vulnérabilités donne aux utilisateurs une représentation claire et intuitive de la vulnérabilité. Les utilisateurs peuvent alors s’appuyer sur les groupes temporels et environnementaux pour intégrer les données contextuelles qui vont refléter plus précisément le risque dans leur propre environnement. Cela permet de prendre des décisions éclairées sur le traitement des risques induits par les vulnérabilités.