CVSS v4.0 : Nouveautés et Avantages

Nouvelle version de CVSS – v4.0

Nous avions évoqué le sujet des CVE dans un précédent article, vous permettant de découvrir ce système pour suivre les dernières vulnérabilités. Le système de score nommé Common Vulnerability Scoring System (CVSS) vient d’avoir une mise à jour. CVSS v4.0 apporte plusieurs mises à jour importantes visant à affiner le système de scoring afin de mieux s’aligner sur les besoins modernes en matière de cybersécurité.

En bref, la mise à jour vers CVSS v4.0 apporte une granularité plus fine et une meilleure transparence dans l’évaluation des vulnérabilités. Avec une nouvelle nomenclature, des métriques de Base supplémentaires, et un groupe de métriques supplémentaires, cette version offre une représentation plus précise des risques associés aux vulnérabilités. Elle simplifie également la notation tout en capturant un contexte de risque supplémentaire, rendant l’évaluation des vulnérabilités plus pertinente pour les environnements modernes. En outre, l’accent mis sur la sécurité opérationnelle et industrielle souligne l’engagement à évaluer les impacts dans un spectre plus large, rendant CVSS v4.0 un outil plus robuste et adapté aux défis actuels de la cybersécurité.

Voici un résumé plus détaillé des changements apportés à CVSS v4.0 :

  1. Renforcement du Concept :
    • L’idée que le CVSS ne concerne pas uniquement le score de Base a été renforcée​. C’est une amélioration bienvenue, car elle rappelle aux utilisateurs que l’évaluation des vulnérabilités est une tâche multidimensionnelle et ne se limite pas à un score !
  2. Nouvelle Nomenclature :
    • Une nouvelle convention de nommage a été introduite pour désigner diverses combinaisons des métriques de Base, de Menace, et Environnementales, abrégées respectivement en CVSS-B, CVSS-BT, CVSS-BE, et CVSS-BTE​. La nouvelle nomenclature rend le système plus expressif et structuré, facilitant la compréhension des scores et la communication entre les parties prenantes.
  3. Granularité Plus Fine :
    • Des métriques de Base supplémentaires et des valeurs ont été ajoutées, comme la nouvelle métrique de Base ‘Exigences d’Attaque (AT)’, et les nouvelles valeurs de métrique de Base pour ‘Interaction Utilisateur (UI)’: Passive (P) et Active (A)​. L’ajout de nouvelles métriques et valeurs de Base offre une meilleure précision dans l’évaluation, ce qui est crucial pour une analyse de risque plus nuancée.
  4. Divulgation Améliorée des Métriques d’Impact :
    • La métrique ‘Portée’ a été retirée et remplacée par des évaluations explicites de l’impact sur les Systèmes Vulnérables, notés respectivement VC, VI, VA, et SC, SI, SA​. La divulgation améliorée des métriques d’impact permet une évaluation plus transparente des vulnérabilités, ce qui est bénéfique pour une meilleure compréhension et gestion des risques.
  5. Renommage du Groupe de Métriques Temporelles :
    • Le groupe de métriques Temporelles a été renommé en groupe de métriques de Menace. Des métriques comme ‘Niveau de Remédiation (RL)’ et ‘Confiance du Rapport (RC)’ ont été retirées, tandis que la ‘Maturité du Code d’Exploitation’ a été renommée en ‘Maturité d’Exploitation (E)’ avec des valeurs plus claires​. Renommer le groupe de métriques temporelles en groupe de métriques de menace clarifie le focus sur la nature actuelle et potentielle de la menace.
  6. Nouveau Groupe de Métriques Supplémentaires :
    • Un nouveau groupe de métriques supplémentaires a été introduit pour transmettre des attributs extrinsèques supplémentaires d’une vulnérabilité qui n’affectent pas le score final CVSS-BTE. Cela inclut des métriques comme la Sécurité (S), Automatisable (A), Récupération (R), Densité de Valeur (V), Effort de Réponse à la Vulnérabilité (RE), et Urgence du Fournisseur (U). L’introduction de ce groupe offre une perspective plus large sur les vulnérabilités, abordant des aspects qui n’étaient pas couverts auparavant.
  7. Focus Additionnel sur OT/ICS/Sécurité :
    • Une attention accrue a été accordée à la Technologie Opérationnelle (OT), aux Systèmes de Contrôle Industriel (ICS), et à la sécurité avec l’introduction de métriques d’évaluation de la sécurité évaluées par le consommateur et le fournisseur​. L’attention accrue sur ces domaines montre une prise de conscience de l’évolution des environnements technologiques et de la nécessité d’adapter les évaluations en conséquence.
  8. Scores de Sévérité de Haute Fidélité :
    • La norme mise à jour vise à fournir des scores de sévérité de haute fidélité, capturant un contexte de risque supplémentaire, simplifiant la notation, et étendant l’applicabilité aux environnements modernes​. Les scores de sévérité de haute fidélité promettent une évaluation plus réaliste des risques, ce qui est crucial pour une meilleure prise de décision en matière de sécurité.
  9. Métriques Supplémentaires :
    • L’introduction de métriques supplémentaires, et un focus accru sur l’effet de la sécurité sur une vulnérabilité ont été notés, avec une clarté et une granularité accrues pour l’évaluation des vulnérabilités​.

Cette mise à jour complète dans CVSS v4.0 reflète une avancée notable dans l’évaluation des vulnérabilités, en faisant un jalon substantiel pour l’industrie de la gestion des vulnérabilités​.

Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :

Faire un don : https://www.paypal.com/donate/?hosted_button_id=DJBF7C54L273C

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Retour en haut