Le Forum des équipes de réponse aux incidents et de sécurité (D'ABORD) a marqué une avancée significative en matière de cybersécurité avec la sortie officielle de CVSS v4.0, la dernière itération de la norme Common Vulnerability Scoring System. Ce dévoilement intervient huit ans après l'introduction de CVSS v3.0, représentant un moment charnière dans l’évolution des méthodologies d’évaluation des menaces.
CVSS: un aperçu
CVSS sert de cadre standardisé pour évaluer la gravité des vulnérabilités de sécurité logicielle. Il utilise des scores numériques ou des représentations qualitatives (faible, moyen, haute, et critique) basé sur des facteurs tels que l’exploitabilité, impact sur la confidentialité, intégrité, disponibilité, et privilèges requis. Plus le score est élevé, plus la vulnérabilité est grave.
L'un des principaux avantages du CVSS est son rôle dans la priorisation des réponses aux menaces de sécurité. Il fournit une méthode cohérente pour évaluer l’impact des vulnérabilités, faciliter la comparaison des risques entre différents systèmes et logiciels.
“La norme révisée offre une granularité plus fine dans les métriques de base pour les consommateurs, supprime l'ambiguïté de la notation en aval, simplifie les mesures des menaces, et améliore l'efficacité de l'évaluation des exigences de sécurité spécifiques à l'environnement ainsi que des contrôles compensatoires,” explique en PREMIER. Plus, CVSS v4.0 introduit plusieurs mesures supplémentaires pour l'évaluation des vulnérabilités, y compris Automatisable (vermifuge), La récupération (résilience), Densité de valeur, Effort de réponse aux vulnérabilités, et urgence du fournisseur.
Améliorations CVSS v4.0
Une amélioration notable dans CVSS v4.0 est son applicabilité élargie à la technologie opérationnelle (OT), Systèmes de contrôle industriels (ICS), et l'Internet des objets (IdO). Les mesures et valeurs de sécurité ont été intégrées dans les groupes de mesures supplémentaires et environnementales..
Présentation d'une nouvelle nomenclature, CVSS v4.0 propose désormais Base (CVSS-B), Base + Menace (CVSS-BT), Base + Environnemental (CVSS-BE), et socle + Menace + Environnemental (CVSS-BTE) cotes de gravité.
Chris Gibson, PDG de PREMIÈRE, reconnaît l'effort monumental derrière CVSS v4.0, soulignant son importance à une époque marquée par une recrudescence des cybermenaces. “Le système CVSS s'est développé rapidement au cours du passé 18 ans, chaque version s'appuyant sur nos capacités à nous défendre contre la cybercriminalité. Je suis immensément fier du CVSS-SIG pour le travail acharné et le dévouement qu'il a fallu pour produire la version 4.0,” il déclare.
Cette étape fait suite à l'engagement de FIRST envers l'amélioration continue des pratiques de cybersécurité.. L'année dernière, l'organisation a également introduit TLP 2.0, la dernière version de son Protocole des feux de circulation (TLP) standard, démontrant l'engagement de FIRST à faire progresser les stratégies de défense collaboratives face à l'évolution des cybermenaces.