Définition du CVSS
CVSS, ou Common Vulnerability Scoring System, est un cadre normalisé par l'industrie qui calcule le score numérique de vulnérabilités spécifiques en fonction de leurs caractéristiques et propriétés. Le système de notation peut ensuite refléter l'expression numérique dans une représentation qualitative (faible, moyen, élevé ou critique) pour aider à évaluer et à hiérarchiser les processus de gestion de la vulnérabilité.
En développement depuis 2005, il s'agit d'un cadre de mesure standard bien conçu pour les individus, les organisations, les industries ou les gouvernements qui ont besoin de résultats précis et cohérents en matière de vulnérabilité.
Pourquoi le CVSS est-il utile ?
- Le système fournit une mesure cohérente des scores de vulnérabilité. Dans le passé, les entreprises ou les organisations utilisaient leurs propres méthodes pour calculer le score de vulnérabilité d'un logiciel. Cela a conduit à la nécessité de normaliser et de simplifier un système permettant aux administrateurs de systèmes de déterminer avec précision l'impact et la gravité des vulnérabilités dans différents environnements informatiques.
- Un cadre ouvert permet aux organisations d'accéder aux paramètres utilisés pour calculer l'indicateur de vulnérabilité et de comprendre comment la mesure fonctionne. La connaissance du système permet aux équipes de sécurité d'évaluer l'impact des vulnérabilités et de décider quelles vulnérabilités doivent être corrigées en priorité.
- Le CVSS permet de mieux comprendre les risques de vulnérabilité de l'organisation. Il permet aux développeurs de systèmes d'appliquer des tests de sécurité pendant le développement afin d'éliminer ou d'atténuer les vulnérabilités connues.
