Qu’est-ce que le Common Vulnerability Scoring System (CVSS) ?

Le système CVSS (Common Vulnerability Scoring System) est un cadre largement répandu qui est utilisé pour classer et évaluer les vulnérabilités logicielles.
 

Grâce à ce framework, les entreprises peuvent calculer un score CVSS, qui est une valeur numérique qui représente la gravité d’une vulnérabilité. Les caractéristiques d’une vulnérabilité contribuant au score CVSS sont représentées dans une chaîne de texte appelée chaîne vectorielle CVSS.

Il y a eu plusieurs versions de CVSS depuis 2005. La version la plus récente, CVSS v4.0, est sortie en 2022. C’est le groupe à but non lucratif FIRST.org, Inc., acronyme de Forum of Incident Response and Security Teams, qui gère ce framework.

Le CVSS est un outil important pour la gestion des vulnérabilités. Il sert à découvrir, hiérarchiser et résoudre les failles de sécurité dans l’infrastructure informatique et les logiciels d’une entreprise. Identifier et résoudre les erreurs et les faiblesses en matière de cybersécurité, telles que les erreurs de configuration des pare-feu et les bogues non corrigés, est un aspect crucial pour garantir la fonctionnalité complète de l’infrastructure informatique et des logiciels.

Les mesures de résolution peuvent inclure :

• Remédiation : s’assurer qu’une vulnérabilité ne peut plus être exploitée.
  
• Atténuation : rendre une vulnérabilité plus difficile à exploiter tout en réduisant l’impact potentiel de son exploitation.
  
• Acceptation : ne pas intervenir sur une vulnérabilité existante si son exploitation est peu probable ou a peu de chances de provoquer des dommages.

Compte tenu de la complexité des systèmes informatiques actuels et du grand nombre de vulnérabilités et de cybermenaces, il peut être difficile pour les responsables informatiques de déterminer les problèmes à résoudre et les ordres de priorité.

C’est là que le CVSS s’avère précieux : il fournit aux responsables informatiques une approche sur l’ensemble du système pour évaluer la gravité d’une vulnérabilité. Ainsi, ils peuvent résoudre les vulnérabilités sur la base de critères de priorité et de planification pour les systèmes affectés.¹

Les scores CVSS peuvent être incorporés dans les évaluations des risques, mais une évaluation CVSS seule ne remplacera pas une évaluation complète des risques, selon FIRST.org. Les guides d’utilisation du CVSS recommandent que les évaluations complètes doivent inclure des facteurs qui ne relèvent pas du champ d’application du CVSS.²

À l’origine, le CVSS est un projet de recherche commandé par le National Infrastructure Advisory Council (NIAC) en 2003. À l’époque, l’environnement des évaluations de vulnérabilité des logiciels était très hétérogène : les prestataires de sécurité informatique et les groupes à but non lucratif utilisaient des procédures et des indicateurs disparates, ce qui donnait lieu à un ensemble de systèmes de notation uniques, souvent propriétaires et incompatibles entre eux.³ Cette incohérence rendait difficile la collaboration entre les équipes de sécurité des différentes entreprises.⁴

Les chercheurs du NIAC ont créé le CVSS pour standardiser les évaluations des vulnérabilités. Ils l’ont conçu comme un système ouvert susceptible d’être personnalisé et adopté par différents systèmes et environnements informatiques.⁵

Le CVSS v4.0 comprend 4 groupes d’indicateurs.⁶

• Base
• Traque
• Données environnementales
• Complémentaire

Ces groupes d’indicateurs représentent différentes caractéristiques et qualités de vulnérabilités logicielles. Dans le framework CVSS v4.0, les groupes peuvent être décrits comme suit :

Les indicateurs de base représentent les qualités intrinsèques des vulnérabilités qui sont constantes dans tous les environnements des utilisateurs et au fil du temps. Les indicateurs de base se composent de 2 ensembles, les indicateurs d’exploitabilité et d’impact.

Les indicateurs d’exploitabilité indiquent la facilité avec laquelle une vulnérabilité peut être exploitée avec succès. Exemples d’indicateurs d’exploitabilité :

• Mesure du degré d’interaction utilisateur dont un attaquant a besoin pour exploiter une vulnérabilité
  
  
  
• Si un attaquant peut accéder à un système localement ou à distance (« vecteur d’attaque »)
  
  
• Le niveau de privilèges dont un attaquant a besoin pour réussir (« privilèges requis »)
  
  
• Si des conditions spécifiques ou des connaissances avancées sont nécessaires pour mener à bien une attaque (« complexité de l’attaque »)

Les indicateurs représentent les résultats d’un exploit réussi, l’impact sur un système vulnérable (tel qu’une application logicielle ou un système d’exploitation) et les impacts en aval sur d’autres systèmes. Voici quelques exemples d’indicateurs d’impact :

• Mesures de perte de confidentialité, telles que l’accès à des informations restreintes
  
  
• Perte d’intégrité, par exemple lorsque l’attaquant modifie les données du système
  
  
• L’impact sur la disponibilité, c’est-à-dire si une attaque réduit les performances d’un système ou refuse l’accès à des utilisateurs légitimes

Les indicateurs de menace représentent les caractéristiques de vulnérabilité qui évoluent au fil du temps. La maturité d’exploitation est le principal indicateur de cette catégorie. Elle mesure la probabilité qu’une vulnérabilité spécifique soit exploitée.

La disponibilité des codes d’exploitation, l’état des techniques d’exploitation et les cas réels d’attaques déterminent la valeur des indicateurs attribuée à la mesure de la maturité de l’exploitation. Ces valeurs sont notamment les suivantes :

• « Attaqué » (signifie que des attaques ont été signalées pour cette vulnérabilité)
  
  
• « Preuve de concept » (indique que des codes d’exploitation sont disponibles mais qu’aucune attaque n’a été signalée)
  
  
• « Non signalé » (cela indique aucun code d’exploit de preuve de concept connu ni aucune tentative d’exploiter la vulnérabilité)

Si le renseignement disponible sur les menaces n’est pas assez fiable pour déterminer la maturité de l’exploit, une valeur par défaut, à savoir « non défini », est utilisée.

Le groupe d’indicateurs environnementaux représente les caractéristiques de vulnérabilité propres à l’environnement de l’utilisateur. Comme le groupe d’indicateurs de base, le groupe environnemental inclut la confidentialité, l’intégrité et la disponibilité, chaque indicateur se voyant attribuer une valeur reflétant l’importance de l’actif vulnérable dans l’entreprise. Cela contraste avec l’orientation intrinsèque des indicateurs de base.

En outre, grâce au groupe d’indicateurs environnementaux, les analystes peuvent remplacer divers indicateurs de base originaux par des indicateurs de base modifiés si la situation dans un environnement spécifique suggère qu’une valeur différente est nécessaire.

Imaginons un scénario dans lequel la configuration par défaut d’une application nécessite une authentification autorisant l’accès, mais où les administrateurs n’ont pas besoin d’une authentification pour accéder à cet environnement hébergeant l’application. Dans ce cas, la valeur de base d’origine de la vulnérabilité « privilèges requis » de l’application est « élevée », ce qui signifie qu’un niveau élevé de privilèges est requis pour y accéder. Cependant, la valeur modifiée « privilèges requis » serait « aucun », car les attaquants pourraient théoriquement exploiter la vulnérabilité en simulant un rôle d’administrateur.

Le groupe d’indicateurs supplémentaires fournit des informations supplémentaires sur les caractéristiques extrinsèques des vulnérabilités, en se concentrant sur des questions allant au-delà de la sévérité technique. Voici quelques exemples d’indicateurs supplémentaires :

• « Automatisable » (si un attaquant peut automatiser les étapes de l’attaque pour atteindre plusieurs cibles)
  
  
• « Sécurité » (possibilité qu’un humain puisse être affecté à la suite de l’exploitation d’une vulnérabilité)
  
  
• « Récupération » (efficacité de la récupération d’un système après une attaque)

Les versions CVSS varient en fonction des indicateurs qu’elles incluent. Par exemple, le groupe d’indicateurs Supplémentaires est un ajout relativement récent à CVSS. Les versions antérieures de CVSS (CVSS v1, CVSS v2, CVSS v3 et CVSS v3.1) n’incluaient pas cet ensemble d’indicateurs.

Cependant, les anciennes versions de CVSS incluaient d’autres indicateurs, tels que le « niveau de confiance des rapports » et le « niveau de résolution », qui faisaient partie d’un groupe d’indicateurs appelés indicateurs temporels. La catégorie d’indicateurs de menace du CVSS v4.0 a remplacé les indicateurs temporels des anciennes versions.

CVSS v4.0 est également considéré comme ayant une plus grande granularité dans ses indicateurs de base, ce qui assure une évaluation plus précise des vulnérabilités.

Différents types de scores CVSS reflètent les différents groupes d’indicateurs pris en compte dans l’évaluation d’une vulnérabilité :

• Le CVSS-B fait référence aux scores de base du CVSS
  
  
• CVSS-BE fait référence aux scores de base et environnementaux
  
  
• CVSS-BT fait référence aux scores CVSS de base et des menaces
  
  
• CVSS-BTE fait référence aux scores CVSS de base, des menaces et environnementaux⁷

Tous les scores vont de 0 à 10, 0 étant la note de sévérité la plus faible et 10 la plus élevée. Les indicateurs supplémentaires n’affectent pas les scores CVSS, mais peuvent être inclus dans les chaînes vectorielles CVSS v4.0.

Différentes entités peuvent donner la priorité à différents groupes d’indicateurs et scores. Par exemple, les éditeurs de logiciels mentionnent souvent les scores de base de leurs produits, tandis que les associations de consommateurs peuvent s’appuyer sur des indicateurs de menace et d’environnement pour indiquer l’impact potentiel d’une vulnérabilité dans leurs environnements.⁸

Les chaînes vectorielles CVSS sont des représentations textuelles lisibles par machine d’un groupe d’indicateurs CVSS à propos d’une vulnérabilité. Les différentes abréviations dans les chaînes vectorielles correspondent à des valeurs d’indicateurs spécifiques, ce qui permet de contextualiser le score CVSS de cette vulnérabilité.⁹

Par exemple, une vulnérabilité dont la valeur « vecteur d’attaque » est « L » (pour « local ») aurait « AV:L » dans sa chaîne vectorielle. Si cette vulnérabilité nécessitait qu’un attaquant dispose d’un niveau de privilège élevé pour l’exploiter avec succès, la valeur « privilèges requis » serait « H » (pour « élevé » (high), et sa chaîne vectorielle inclurait « PR:H ».

Dans une chaîne vectorielle, chaque valeur est séparée par une barre oblique (« / ») et doit être répertoriée dans un ordre prescrit, tel que spécifié par le cadre des exigences CVSS. Les différentes valeurs des groupes d’indicateurs de base, de menace et d’environnement peuvent être combinées dans 15 millions de chaînes vectorielles distinctes.¹⁰

Le CVSS peut être utile pour évaluer des types spécifiques de vulnérabilités de cybersécurité souvent découvertes dans les applications d’IA, notamment l’empoisonnement de modèles, le déni de service ou la divulgation d’informations. Cependant, le CVSS peut être moins utile pour des vulnérabilités associées à l’IA, notamment pour des questions de biais, d’éthique ou de droit, selon FIRST.org. Ces vulnérabilités concernent l’inférence, l’inversion de modèle et l’injection d’invites.¹¹

Le CVSS est un framework destiné à l’évaluation des vulnérabilités alors que CVE (une abréviation de Common Vulnerabilities and Exposures) est un glossaire de vulnérabilités de cybersécurité ayant fait l’objet d’une divulgation publique. Les vulnérabilités incluses dans le programme CVE se voient attribuer des identifiants uniques appelés ID CVE. Le programme est géré par la société à but non lucratif MITRE et sponsorisé par le Département de la sécurité intérieure des États-Unis.

La gravité des vulnérabilités cataloguées par le programme CVE peut être évaluée à l’aide du cadre des exigences CVSS. Cependant, dans le cas de vulnérabilités publiées par CVE, les entreprises CVE peuvent choisir de renoncer à faire leurs propres calculs et de s’appuyer plutôt sur les scores CVSS fournis par la National Vulnerability Database (NVD ou Base de données nationale des vulnérabilités). La NVD est un référentiel de normes de données de gestion des vulnérabilités publié par le National Institute of Standards and Technology (NIST). La NVD héberge une base de données en ligne consultable des vulnérabilités identifiées par CVE, associée à des informations supplémentaires, notamment les scores CVSS de base et les chaînes vectorielles.

Les organisations peuvent utiliser des calculateurs en ligne pour déterminer plusieurs types de scores CVSS, y compris les scores CVSS basés sur les anciennes versions de CVSS. Les calculateurs CVSS sont disponibles sur les sites Web CVSS et NVD. La documentation CVSS recommande aux entreprises d’utiliser l’automatisation pour rechercher les menaces afin de renseigner la partie de l’évaluation relative aux indicateurs de la menace et de l’environnement.¹²

Les entreprises peuvent également profiter d’outils et de plateformes de gestion des vulnérabilités qui intègrent des évaluations CVSS. Les principales solutions logicielles d’évaluation des vulnérabilités référencent les scores CVSS entre autres facteurs déterminants, notamment les éléments de conformité de référence, les guides de sécurité des éditeurs et les recherches des secteurs. Ces solutions peuvent également inclure des fonctionnalités alimentées par l’IA telles que la découverte automatisée et en temps réel des données, qui peuvent aider à améliorer la réponse aux incidents d’une entreprise et la gestion de la confidentialité.