La transition vers CVSS v4.0 – Ce que vous devez savoir
Le Forum of Incident Response and Security Teams (FIRST) a officiellement publié la version 4.0 du Common Vulnerability Scoring System (CVSS). Cette nouvelle version arrive quatre ans après la sortie de CVSS v3.1. Il marque une évolution significative dans la norme d’évaluation de la gravité des vulnérabilités de cybersécurité. Dans cet article de blog, nous allons explorer les principales différences entre CVSS v4.0 et son prédécesseur, en soulignant l’impact de ces changements sur l’évaluation et la gestion des vulnérabilités.
Comprendre CVSS
Le Common Vulnerability Scoring System est un cadre essentiel qui fournit un moyen standardisé d’évaluer la gravité des vulnérabilités de sécurité dans les logiciels. Son rôle principal est d’établir une méthode cohérente et objective d’évaluation de l’impact de la vulnérabilité. Pour ce faire, CVSS évalue les principaux attributs d’une vulnérabilité, notamment son exploitabilité, ses effets sur l’intégrité, la disponibilité et la confidentialité du système, ainsi que le niveau de privilèges requis pour l’exploitation. Ces facteurs sont combinés pour générer un score numérique qui reflète la gravité de la vulnérabilité. Ce score peut ensuite être utilisé pour guider et hiérarchiser les efforts de réponse et d’atténuation.
Limites de CVSS v3.1
CVSS v3.1 a été publié en juin 2019 et visait à clarifier et à affiner les directives de la version 3.0 plutôt que d’introduire des changements substantiels dans le système de notation lui-même. L’un de ses principaux défis était la complexité du système de notation, qui conduisait souvent à des interprétations erronées par les professionnels de la cybersécurité. Cette complexité a conduit différentes personnes ou organisations à attribuer des notes incohérentes aux mêmes problèmes de sécurité.
Un autre problème important était l’incapacité du système à prendre pleinement en compte le contexte spécifique d’une organisation. Des facteurs tels que l’environnement unique, l’infrastructure ou les impacts spécifiques d’une vulnérabilité n’ont pas toujours été correctement pris en compte dans la notation, ce qui a conduit à des scores qui ne correspondaient pas toujours aux risques réels dans certains scénarios. CVSS v3.1 a également eu du mal à évaluer efficacement certains types de vulnérabilités, en particulier celles liées aux appareils de technologie opérationnelle (OT) et d’Internet des objets (IoT).
Ces défis ont mis en évidence la nécessité d’un système de notation plus adaptable et plus adapté au contexte. Cela a conduit au développement de CVSS v4.0, qui visait à pallier ces lacunes et à fournir une évaluation plus complète et pertinente des vulnérabilités.
Figure 1 : CVSS v3.1 par rapport à CVSS v4.0. Crédit à Patrick Garrity
Nouveautés de CVSS v4.0
CVSS v4.0 n’est pas seulement une mise à jour incrémentielle. Il s’agit d’une refonte complète conçue pour relever les défis et les limites de CVSS v3.1. Voici les principales mises à jour :
- CVSS v4.0 vise à réduire les incohérences dans les évaluations des vulnérabilités, qui étaient courantes dans les versions précédentes où différents évaluateurs pouvaient interpréter différemment l’impact d’une vulnérabilité, ce qui conduisait à des scores variables. En fournissant des lignes directrices plus claires, la nouvelle version vise à éliminer ces ambiguïtés, assurant ainsi une approche plus uniforme et cohérente de la notation entre les différents évaluateurs.
- CVSS v4.0 améliore les détails de ses métriques de base, ce qui permet une évaluation plus précise des vulnérabilités. Contrairement à CVSS v3.1, par exemple, où une vulnérabilité peut simplement être classée comme « faible » en termes d’exploitabilité, CVSS v4.0 offre une analyse plus approfondie. Il décompose les vulnérabilités en sous-catégories plus spécifiques, telles que la complexité de l’exploit et le niveau d’interaction utilisateur nécessaire. Cette approche permet d’obtenir une évaluation plus nuancée et plus précise de chaque vulnérabilité.
- Dans la version précédente de CVSS, les métriques temporelles étaient complexes et nécessitaient souvent des jugements subjectifs concernant la fiabilité du code d’exploitation et la confiance dans les rapports de vulnérabilité. Dans CVSS v4.0, ces métriques, qui reflètent les aspects d’une vulnérabilité qui évoluent au fil du temps, ont été rationalisées. Ils sont désormais regroupés dans la catégorie Menace, en mettant l’accent sur la mesure de maturité des exploits. Cette restructuration simplifie le processus d’évaluation de la vulnérabilité et réduit le recours à des évaluations subjectives.
- CVSS v4.0 adopte une nomenclature de notation claire et explicite qui comprend des combinaisons de score de base (CVSS-B), de score de base + menace (CVSS-BT), de score de base + score environnemental (CVSS-BE) et score de base + menace + environnement (CVSS-BTE). Ce nouveau système résout le problème de l’utilisation exclusive de la note de base du CVSS pour l’évaluation des risques. Il contribue à améliorer l’efficacité des évaluations des risques en tenant compte des exigences de sécurité spécifiques des différents environnements et de la présence de contrôles compensatoires.
- Dans la nouvelle version, CVSS élargit son champ d’application pour couvrir plus efficacement les environnements de technologie opérationnelle (OT), les systèmes de contrôle industriels et les appareils de l’Internet des objets (IoT). Cette expansion de l’applicabilité est en grande partie due à l’introduction d’une nouvelle mesure de sécurité. Cette mesure évalue spécifiquement l’impact potentiel sur la sécurité physique humaine si une vulnérabilité est exploitée, en mettant en évidence les conséquences réelles des failles de sécurité dans ces environnements.
- CVSS v4.0 introduit le nouveau groupe de métriques supplémentaires, qui offre des informations plus approfondies sur diverses caractéristiques supplémentaires d’une vulnérabilité. Ces caractéristiques n’altèrent pas le score CVSS-BTE final, mais restent essentielles pour une évaluation complète. Les mesures supplémentaires incluses sont les suivantes :
- Sécurité : cette mesure évalue le risque potentiel pour la sécurité physique humaine si la vulnérabilité est exploitée.
- Automatisable : il évalue la faisabilité de l’automatisation du processus d’exploitation de la vulnérabilité sur plusieurs cibles.
- Récupération : Cette mesure se concentre sur l’évaluation de la résilience d’un système et de sa capacité à se rétablir après l’exploitation.
- Densité de valeur : elle mesure l’importance ou la valeur de la ressource affectée par la vulnérabilité.
- Effort de réponse aux vulnérabilités : cette mesure estime la quantité de ressources et d’efforts nécessaires pour traiter et corriger la vulnérabilité.
- Urgence du fournisseur : il s’agit notamment d’une évaluation supplémentaire fournie par le fournisseur, axée sur l’urgence de remédier à la vulnérabilité.
La dernière version du cadre CVSS souligne l’importance d’une évaluation complète qui va au-delà des indicateurs de base. Il souligne la nécessité d’intégrer à la fois les mesures de menace et les mesures contextuelles, qui sont essentielles pour évaluer avec précision la probabilité qu’une vulnérabilité soit exploitée et comprendre l’étendue de son impact potentiel sur un environnement particulier. Pour déterminer avec précision la gravité d’une vulnérabilité dans chaque scénario unique, il est recommandé de prendre en compte toutes les mesures pertinentes.
Implications pour l’industrie
On s’attend à ce que CVSS v.4.0 influence considérablement les professionnels de la cybersécurité en résolvant les principaux problèmes et limitations de la version 3.1 actuelle. Grâce à sa clarté, sa flexibilité et sa représentation plus précise des risques réels, CVSS v.4.0 est conçu pour aider les organisations à hiérarchiser plus efficacement les vulnérabilités et à allouer des ressources d’atténuation. Cependant, il est important de noter que l’adaptation à cette nouvelle norme peut nécessiter à la fois du temps et des ressources pour ajuster les systèmes et former le personnel.
En savoir plus sur le système CVSS (Common Vulnerability Scoring System) dans l'EP3 de la série Youtube LinuxTalk with TuxCare.