FAQ

Oui, il existe un calculateur officiel du score CVSS proposé par le Forum des standards FIRST, qui maintient le standard CVSS. Il est accessible en ligne à l’adresse : https://www.first.org/cvss/calculator.

Ce calculateur permet de composer un vecteur en sélectionnant les métriques pertinentes, puis de calculer automatiquement les scores (base, temporel, environnemental).

Oui, un score CVSS peut évoluer au fil du temps, surtout si de nouvelles informations apparaissent. Par exemple, un exploit public, un contournement de correctif ou une preuve d’exploitation active peuvent amener les analystes à réviser le score temporel ou même le vecteur de base si une erreur d’évaluation initiale est détectée.

De plus, des outils automatisés comme ceux de la NVD mettent à jour régulièrement les scores CVSS selon les données de terrain et les publications. Il est donc recommandé aux entreprises de revalider périodiquement leurs analyses, notamment pour les vulnérabilités critiques.

Le CVSS se décompose en trois sous-scores :

• Score de base : évalue la gravité intrinsèque de la vulnérabilité, indépendamment de tout contexte. Il est généralement public.
• Score temporel : ajuste la note en fonction de facteurs comme la disponibilité d’un exploit ou d’un correctif. Il reflète la maturité de la menace.
• Score environnemental : permet aux organisations d’adapter l’évaluation à leur propre contexte (importance de l’actif, exposition, impact métier). Il est personnalisé à chaque entreprise.

En combinant ces trois couches, le modèle CVSS devient un outil plus souple qui permet d’affiner les priorités de traitement selon la réalité du terrain.

Le score CVSS mesure la gravité intrinsèque d’une vulnérabilité, mais pas son exploitation réelle, ni sa pertinence dans un environnement donné. Par exemple, une faille peut avoir un score élevé, mais être peu exploitable dans votre infrastructure, ou au contraire, une faille moyenne peut cibler un système critique non segmenté.

Pour une évaluation plus précise du risque, il est important d’intégrer des indicateurs complémentaires, comme :

• Le score EPSS (probabilité d’exploitation réelle)
• L’appartenance à la liste KEV (exploitation confirmée)
• Le contexte métier ou technique de l’environnement touché

Ainsi, le CVSS doit être vu comme un indicateur de gravité, et non une mesure complète du risque.

L’échelle CVSS va de 0.0 à 10.0, et chaque plage de valeur est associée à un niveau de gravité :

• 0.0 : Aucune gravité
• 0.1 à 3.9 : Faible (Low)
• 4.0 à 6.9 : Moyenne (Medium)
• 7.0 à 8.9 : Élevée (High)
• 9.0 à 10.0 : Critique (Critical)

Cette classification permet aux organisations de filtrer les vulnérabilités par gravité, mais elle ne tient pas compte du contexte spécifique à chaque entreprise. C’est pourquoi d’autres critères, comme l’exploitation active ou les actifs concernés, doivent compléter cette évaluation.

Le score CVSS (Common Vulnerability Scoring System) mesure la gravité d’une vulnérabilité en lui attribuant une note de 0 à 10, où 10 représente une faille extrêmement critique. Il est conçu pour fournir une évaluation standardisée et objective des vulnérabilités, afin que les organisations puissent les comparer entre elles et prioriser leurs traitements.

Ce score prend en compte plusieurs aspects : la facilité d’exploitation, les effets potentiels sur la confidentialité, l’intégrité et la disponibilité, ainsi que les conditions nécessaires à l’attaque. En résumé, le CVSS aide à quantifier le niveau de danger inhérent d’une faille de sécurité.

EPSS signifie Exploit Prediction Scoring System, ce qui se traduit par système de notation de prédiction d’exploitation. Il s’agit d’un modèle probabiliste qui attribue à chaque vulnérabilité (généralement identifiée par un identifiant CVE) une probabilité d’être exploitée dans les 30 jours suivant son observation.

L’objectif de l’EPSS est de compléter les autres systèmes d’évaluation (comme le CVSS) en ajoutant une couche dynamique et contextuelle basée sur des données réelles d’exploitation observées dans la nature. Il permet ainsi aux organisations de mieux prioriser leurs efforts de correction en se basant sur le risque d’exploitation réel.

L’EPSS complète le CVSS en apportant une dimension temporelle et comportementale à l’évaluation des vulnérabilités. Le CVSS mesure la gravité d’une faille sur la base de ses propriétés intrinsèques (impact, complexité, accessibilité), mais ne dit rien sur la probabilité réelle qu’elle soit exploitée. L’EPSS comble cette lacune en analysant des données issues du terrain, comme les tendances d’exploitation observées dans les honeypots, les moteurs de recherche de vulnérabilités, ou les flux de menace.

Cette complémentarité est précieuse pour la gestion des risques : une faille peut être critique selon le CVSS, mais non exploitée (score EPSS faible), ou au contraire apparaître bénigne en théorie, mais très utilisée dans des attaques automatisées. Utiliser les deux scores ensemble permet d’établir des priorités plus pertinentes et conformes à la réalité du terrain.

Non, l’EPSS ne remplace pas le CVSS : les deux systèmes sont complémentaires. Le CVSS donne une mesure structurelle de la gravité, utile pour comprendre l’impact potentiel d’une vulnérabilité. L’EPSS, quant à lui, fournit une mesure comportementale et prédictive, centrée sur la probabilité d’exploitation réelle.

Ensemble, ces deux scores permettent une évaluation plus fine du risque, à la fois sur le plan théorique et opérationnel. De nombreuses entreprises adoptent une approche hybride, par exemple en ne traitant que les vulnérabilités ayant à la fois un CVSS ≥ 7 et un EPSS ≥ 0.5, ou en utilisant des matrices de risques enrichies de ces deux indicateurs.