Support technique
Documentation
Connexion
Nous contacter
- CVE fournit des identifiants uniques pour les vulnérabilités, ce qui facilite le suivi et la communication entre les plateformes.
- Le CVSS attribue des notes numériques aux vulnérabilités, ce qui permet de les classer par ordre de priorité en fonction de leur gravité.
- CVE et CVSS permettent aux administrateurs Linux d'identifier, d'évaluer et d'atténuer efficacement les risques.
Qu'il s'agisse d'utilisateurs individuels ou de grandes organisations, le risque de cyberattaques est omniprésent. Pour réduire efficacement ces risques, il est essentiel de comprendre les concepts fondamentaux des scores CVE et CVSS.
CVE signifie Common Vulnerabilities and Exposures (vulnérabilités et expositions communes). En termes simples, il s'agit d'une vulnérabilité de sécurité divulguée publiquement dans un logiciel spécifique. Le CVSS (Common Vulnerability Scoring System), quant à lui, est un cadre normalisé permettant d'évaluer la gravité d'une vulnérabilité.
Cet article explore CVE et CVSS, expliquant ce qu'ils sont et comment ils aident à la gestion des vulnérabilités.
Qu'est-ce qu'un CVE ?
Un CVE (Common Vulnerability and Exposure) est un identifiant unique attribué aux vulnérabilités logicielles connues du public. Ce système de dénomination aide les chercheurs en sécurité, les vendeurs et les administrateurs de systèmes à référencer et à suivre facilement des vulnérabilités spécifiques. Le système CVE a vu le jour à MITRE en 1999 avec le lancement de la liste CVE contenant seulement 321 enregistrements.
En 2024, plus de 25 000 nouvelles vulnérabilités ont été divulguées en une seule année - une trajectoire de croissance stupéfiante qui souligne le rôle essentiel que jouent les CVE dans la gestion des vulnérabilités. En l'absence d'un système d'identification normalisé, il est pratiquement impossible de les distinguer et de les suivre efficacement. Toutefois, il est important de noter que toutes les vulnérabilités ne sont pas assorties d'un CVE.
Comment les CVE sont-ils attribués ?
Les CVE sont attribués par les autorités de numérotation CVE (CNA)un groupe chargé de coordonner l'attribution d'identifiants uniques aux vulnérabilités connues du public. Les CNA travaillent en étroite collaboration avec des chercheurs en sécurité, des fournisseurs et d'autres parties prenantes pour identifier et documenter les vulnérabilités.
Un identifiant CVE est une chaîne de texte unique au format CVE-année-nombre. Par exemple, CVE-2014-0160 fait référence à la tristement célèbre vulnérabilité Heartbleed. Le "2014" indique l'année où le CVE a été rendu public, tandis que "0160" est le numéro unique attribué à la vulnérabilité cette année-là. Ces numéros sont réinitialisés chaque année.
Une entrée CVE peut être attribuée mais ne pas être divulguée immédiatement. Ce retard est souvent intentionnel, car il laisse au vendeur ou au développeur du logiciel le temps de publier un correctif. Lorsque les informations CVE sont rendues publiques, le correctif ou la mesure d'atténuation est généralement prêt à être déployé, ce qui réduit le risque pour les utilisateurs finaux.
Qu'est-ce que CVSS ?
Le système commun de notation des vulnérabilités (CVSS) est un cadre normalisé permettant d'évaluer la gravité des vulnérabilités. Géré par le Forum of Incident Response and Security Teams (FIRST)CVSS attribue une note numérique à une vulnérabilité, indiquant sa gravité. Cela aide les organisations à classer les vulnérabilités par ordre de priorité en fonction de leur score CVSS et à se concentrer d'abord sur les menaces les plus critiques.
Le système de notation CVSS
Les scores CVSS vont de 0,0 à 10,0, les scores les plus élevés indiquant des vulnérabilités plus graves. Le système de notation CVSS évalue les vulnérabilités sur la base de trois groupes de mesures clés :
Score de base : Ce score représente les propriétés inhérentes d'une vulnérabilité qui sont constantes dans le temps et dans les différents environnements. Il comprend des facteurs tels que la complexité de l'attaque, les privilèges requis, l'interaction avec l'utilisateur et l'impact potentiel.
Score temporel : Ce score tient compte de facteurs qui peuvent évoluer dans le temps, tels que la disponibilité des correctifs, la maturité des codes d'exploitation et la mesure de la confiance dans les rapports.
Score environnemental : Ce score reflète les caractéristiques spécifiques de l'environnement cible, telles que la présence de contrôles de sécurité, la valeur des actifs affectés et l'impact potentiel sur les objectifs de l'organisation.
Les scores CVSS sont utilisés pour classer les vulnérabilités par niveau de gravité :
- 0.0 : Aucun
- 0,1 - 3,9 : Faible
- 4.0 - 6.9 : Moyen
- 7.0 - 8.9 : élevé
- 9.0 - 10.0 : Critique
Ces scores sont souvent affichés à côté des entrées CVE dans des bases de données telles que la NVD, ce qui donne un aperçu rapide du niveau de risque. La base de données nationale sur les vulnérabilités (BNV) base de données nationale sur les vulnérabilités (NVD) est une base de données parrainée par le gouvernement américain qui fournit des informations détaillées sur les vulnérabilités connues du public. Elle comprend des descriptions des CVE, des vulnérabilités qui leur sont associées et des exploits potentiels.
L'importance des versions CVSS
Le système commun d'évaluation des vulnérabilités (Common Vulnerability Scoring System - CVSS) comporte plusieurs versions, dont la plus récente est la suivante CVSS 4.0. Contrairement à CVSS v2.0 et CVSS v3.x, il se compose de quatre groupes de mesures : Base, Menace, Environnement et Supplémentaire. Ces versions ont évolué au fil du temps pour améliorer la précision et la cohérence de l'évaluation des vulnérabilités. Par conséquent, la version du CVSS utilisée pour évaluer la vulnérabilité peut avoir un impact significatif sur le score attribué à une vulnérabilité.
Par exemple, une vulnérabilité peut recevoir une note de gravité "élevée" sous CVSS 3.0 mais seulement une note "moyenne" sous CVSS 2.0. C'est pourquoi il est important de préciser la version du CVSS chaque fois qu'un score est mentionné, faute de quoi il est impossible de l'interpréter correctement.
Les nouvelles versions du CVSS visent à réduire la subjectivité de la notation en affinant la méthodologie de calcul et en introduisant des lignes directrices plus claires. Toutefois, il peut subsister un certain degré de subjectivité dans la notation CVSS. Les analystes de la sécurité peuvent attribuer des poids différents aux facteurs contribuant à un score CVSS, ce qui peut entraîner des différences dans le score final d'un registre CVE à l'autre.
Pourquoi CVE et CVSS sont-ils importants pour les administrateurs Linux ?
Les systèmes d'exploitation Linux sont largement utilisés dans les environnements d'entreprise, ce qui en fait des cibles attrayantes pour les attaquants. Pour les administrateurs Linux et les équipes de sécurité, CVE et CVSS jouent un rôle crucial dans l'identification et l'évaluation des vulnérabilités. En combinant les identifiants CVE et les scores CVSS, ils peuvent efficacement hiérarchiser et traiter les vulnérabilités les plus critiques. Cela permet non seulement de rationaliser la gestion efficace des vulnérabilités, mais aussi de simplifier le respect des normes réglementaires et de sécurité.
Cependant, même avec le suivi des CVE et la hiérarchisation CVSS, l'un des plus grands défis pour les administrateurs Linux est d'appliquer les correctifs rapidement sans perturber les opérations. Les méthodes traditionnelles d'application des correctifs nécessitent souvent un redémarrage du système, ce qui entraîne des temps d'arrêt et des interruptions de service. Live patching relève ce défi en permettant le déploiement des correctifs du noyau sans redémarrer le système.
KernelCare Enterprise de TuxCare de TuxCare offre une solution automatisée de "live patching" pour les distributions Linux qui vous permet d'appliquer immédiatement les mises à jour de sécurité sans nécessiter de redémarrage. En éliminant les temps d'arrêt, KernelCare réduit considérablement la fenêtre d'exposition aux vulnérabilités et répond aux principales préoccupations opérationnelles tout en améliorant la sécurité et la conformité.
Réflexions finales
Les CVE constituent une méthode normalisée d'identification et de suivi des risques de sécurité, tandis que les CVSS offrent une notation numérique claire pour évaluer la gravité de ces vulnérabilités. La transparence et les informations exploitables offertes par les scores CVE et CVSS sont inestimables pour le maintien de la sécurité et de la conformité des systèmes. En tirant parti de ces cadres avec des outils de correction en temps réel tels que KernelCare Enterpriseles organisations peuvent réduire efficacement les risques, renforcer la sécurité et garantir la conformité aux normes industrielles.
