Pourquoi CVSS ?
Plusieurs autres modèles existent. Par exemple :
- STRIDE/DREAD de Microsoft
- TRIKE
- AS/NZS 4360:2004 Risk Management
- OCTAVE
Tous ces modèles sont intéressants et ont leurs propres avantages. Il n’y a pas de « bonnes » et de « mauvaises » méthodes, puisqu’il s’agit essentiellement d’évaluer les impacts et la probabilité d’occurrence de chaque vulnérabilité. Après avoir testé ces méthodes CheckMates a constaté que CVSS donnait les résultats les plus proches de ceux estimés par nos consultants et nos clients. De ce fait, nous avons retenu CVSS comme système de notation pour nos audits.
De plus, de nombreuses entités utilisent déjà CVSS, ce qui peut être très utile pour comparer. Ci-dessous quelques exemples :
- Fournisseurs d'alertes de sécurité : Des organisations à but non lucratif aussi bien que commerciales publient des alertes sécurité, en notant les failles au moyen de CVSS. Ces bulletins sont souvent bien fournis, et contiennent moult détails, informations techniques, et dates de découverte par exemple.
- Editeurs de logiciels : Certains d'entre eux fournissent les détails CVSS pour les vulnérabilités affectant leurs produits. Ceci leur permet de communiquer de manière objective sur ces problèmes, ce qui aide donc leurs clients à gérer leurs risques IT de manière efficace.
- Organisations utilisateur : de nombreuses organisations privées utilisent CVSS en interne pour gérer leur processus de gestion des vulnérabilités. Elles utilisent souvent des scanners de vulnérabilités, puis combinent les résultats avec CVSS de manière à obtenir des scores les plus contextuels possible, et résolvent les problèmes par ordre de priorité ainsi obtenu.
- Scanners de vulnérabilité : De nombreux scanners utilisent CVSS pour donner un score à chaque problème détecté.
- Gestion du risque : De nombreux cabinets spécialisés dans la gestion du risque IT se basent sur CVSS comme base de calcul pour déterminer le niveau de risque encouru par une entité analysée.
- Chercheurs : le Framework ouvert de CVSS permet aux chercheurs d'effectuer des analyses statistiques sur les vulnérabilités et leurs propriétés.