Score CVSS 3.1 et 4.0 : comprendre et prioriser la remédiation
Le CVSS (Common Vulnerability Scoring System) est le standard international pour évaluer la sévérité des vulnérabilités logicielles. Mais un score de 9.8 ne signifie pas nécessairement que vous devez tout arrêter pour patcher — il faut comprendre ce que mesure réellement le CVSS et comment le combiner avec d'autres données pour prioriser intelligemment.
CVSS 3.1 : les métriques en détail
Métriques de base (Base Score)
Le score de base évalue les caractéristiques intrinsèques d'une vulnérabilité :
- Attack Vector (AV) : Network (N) = accès depuis Internet, Adjacent (A) = réseau local, Local (L) = accès physique/session, Physical (P) = contact physique.
- Attack Complexity (AC) : Low (L) = reproductible facilement, High (H) = conditions spécifiques requises.
- Privileges Required (PR) : None (N) = aucun, Low (L) = utilisateur basique, High (H) = admin.
- User Interaction (UI) : None (N) = aucune action utilisateur, Required (R) = un utilisateur doit agir.
- Scope (S) : Unchanged (U) = impact limité au composant vulnérable, Changed (C) = impact sur d'autres composants.
- CIA Impact : Confidentiality, Integrity, Availability — chacun noté None/Low/High.
Une CVE avec AV:N/AC:L/PR:N/UI:N (réseau, faible complexité, sans authentification, sans interaction) et CIA High/High/High obtiendra un score critique proche de 10.
Métriques temporelles (Temporal Score)
Modulent le score de base en fonction de facteurs qui évoluent dans le temps :
- • Exploit Code Maturity (E) : Unproven / POC / Functional / High — existence d'un exploit public.
- • Remediation Level (RL) : Official Fix / Temporary Fix / Workaround / Unavailable.
- • Report Confidence (RC) : Unknown / Reasonable / Confirmed.
Métriques environnementales (Environmental Score)
Permettent d'adapter le score au contexte spécifique de votre organisation : importance du système affecté pour votre activité (Modified CIA), exigences de sécurité propres à votre secteur. Une CVE critique sur un système non exposé et non critique peut être traité en basse priorité dans votre contexte.
CVSS 4.0 : les nouveautés
CVSS 4.0 (publié en novembre 2023) introduit plusieurs améliorations majeures :
- Nomenclature des scores : CVSS-B (Base), CVSS-BT (Base + Threat), CVSS-BE (Base + Environmental), CVSS-BTE (complet).
- Threat Metrics : le score temporel devient "Threat Score" avec Exploit Maturity (Attacked / POC / Unreported).
- Métriques supplémentaires : Safety (impact sur la sécurité des personnes — ICS/OT), Automatable (possibilité d'automatiser l'exploitation — ver informatique).
- Provider et Consumer scores : l'éditeur fournit le score de base ; l'utilisateur l'affine avec les métriques environnementales.
- Granularité améliorée : 4 niveaux de CIA impact (None/Low/Medium/High) vs 3 en CVSS 3.1.
Les limites du CVSS et comment les dépasser
Le CVSS mesure la sévérité intrinsèque, pas le risque réel pour votre organisation. Une CVE CVSS 9.8 sur un logiciel que vous n'utilisez pas est un risque nul. Pour dépasser ces limites :
- EPSS (Exploit Prediction Scoring System) : ajoute la probabilité d'exploitation réelle dans les 30 jours. Disponible via l'API FIRST.org ou intégré dans Tenable/Qualys.
- KEV CISA : confirmation qu'une vulnérabilité est activement exploitée. C'est le signal d'alarme le plus fort, quel que soit le CVSS.
- Contexte d'exposition : une CVE sur un système exposé sur Internet est 10× plus urgente que sur un système interne.
- Criticité de l'actif : une CVE moyenne sur un serveur de paiement est plus prioritaire qu'une CVE critique sur un système de test.
Formule de priorisation recommandée
Score de priorité = (CVSS Base × EPSS × Exposition) + KEV_Bonus × Criticité_Actif
- • Exposition : 1 (interne), 2 (DMZ), 3 (exposé Internet)
- • KEV_Bonus : +2 si présent dans le catalogue KEV
- • Criticité_Actif : 1 (standard), 1.5 (important), 2 (critique)
- • Seuil d'urgence : score > 15 → patch sous 72h ; > 10 → sous 7 jours ; > 5 → sous 30 jours