FAQ

Oui, il existe un calculateur officiel du score CVSS proposé par le Forum des standards FIRST, qui maintient le standard CVSS. Il est accessible en ligne à l’adresse : https://www.first.org/cvss/calculator.

Ce calculateur permet de composer un vecteur en sélectionnant les métriques pertinentes, puis de calculer automatiquement les scores (base, temporel, environnemental).

Oui, un score CVSS peut évoluer au fil du temps, surtout si de nouvelles informations apparaissent. Par exemple, un exploit public, un contournement de correctif ou une preuve d’exploitation active peuvent amener les analystes à réviser le score temporel ou même le vecteur de base si une erreur d’évaluation initiale est détectée.

De plus, des outils automatisés comme ceux de la NVD mettent à jour régulièrement les scores CVSS selon les données de terrain et les publications. Il est donc recommandé aux entreprises de revalider périodiquement leurs analyses, notamment pour les vulnérabilités critiques.

Le CVSS se décompose en trois sous-scores :

• Score de base : évalue la gravité intrinsèque de la vulnérabilité, indépendamment de tout contexte. Il est généralement public.
• Score temporel : ajuste la note en fonction de facteurs comme la disponibilité d’un exploit ou d’un correctif. Il reflète la maturité de la menace.
• Score environnemental : permet aux organisations d’adapter l’évaluation à leur propre contexte (importance de l’actif, exposition, impact métier). Il est personnalisé à chaque entreprise.

En combinant ces trois couches, le modèle CVSS devient un outil plus souple qui permet d’affiner les priorités de traitement selon la réalité du terrain.

Le score CVSS mesure la gravité intrinsèque d’une vulnérabilité, mais pas son exploitation réelle, ni sa pertinence dans un environnement donné. Par exemple, une faille peut avoir un score élevé, mais être peu exploitable dans votre infrastructure, ou au contraire, une faille moyenne peut cibler un système critique non segmenté.

Pour une évaluation plus précise du risque, il est important d’intégrer des indicateurs complémentaires, comme :

• Le score EPSS (probabilité d’exploitation réelle)
• L’appartenance à la liste KEV (exploitation confirmée)
• Le contexte métier ou technique de l’environnement touché

Ainsi, le CVSS doit être vu comme un indicateur de gravité, et non une mesure complète du risque.

L’échelle CVSS va de 0.0 à 10.0, et chaque plage de valeur est associée à un niveau de gravité :

• 0.0 : Aucune gravité
• 0.1 à 3.9 : Faible (Low)
• 4.0 à 6.9 : Moyenne (Medium)
• 7.0 à 8.9 : Élevée (High)
• 9.0 à 10.0 : Critique (Critical)

Cette classification permet aux organisations de filtrer les vulnérabilités par gravité, mais elle ne tient pas compte du contexte spécifique à chaque entreprise. C’est pourquoi d’autres critères, comme l’exploitation active ou les actifs concernés, doivent compléter cette évaluation.

Le score CVSS (Common Vulnerability Scoring System) mesure la gravité d’une vulnérabilité en lui attribuant une note de 0 à 10, où 10 représente une faille extrêmement critique. Il est conçu pour fournir une évaluation standardisée et objective des vulnérabilités, afin que les organisations puissent les comparer entre elles et prioriser leurs traitements.

Ce score prend en compte plusieurs aspects : la facilité d’exploitation, les effets potentiels sur la confidentialité, l’intégrité et la disponibilité, ainsi que les conditions nécessaires à l’attaque. En résumé, le CVSS aide à quantifier le niveau de danger inhérent d’une faille de sécurité.