Académique Documents
Professionnel Documents
Culture Documents
History
CVSS was first introduced in 2005 by NIAC. It is now owned and managed
by the international Forum for Incident Response and Security Teams
(FIRST). The Common Vulnerability Scoring System-Special Interest Group
supported by FIRST was responsible for the initial design of the CVSS
framework as well as testing and refining of formulas used in new CVSS
versions. The CVSS SIG is made up of representatives from a broad range of
industry sectors.
What is CVSS?
Le CVSS (Common Vulnerability Scoring System) est le système de notation standard utilisé
pour estimer la criticité des vulnérabilités présentes dans les applications logicielles. Il offre un
moyen de standardiser l'évaluation de ces vulnérabilités, facilitant ainsi la priorisation et la
résolution pour les professionnels de la sécurité
Les métriques de base produisent un score variant de 0,0 à 10,0, pouvant ensuite être modifié
en évaluant les métriques temporelles et environnementales
(https://www.first.org/cvss/v3-1/cvss-v31-specification_r1.pdf)
(https://securitylab.disi.unitn.it/lib/exe/fetch.php?
media=teaching:seceng:material:cvss-v30-examples.pdf )
1. métrique de base
Vecteur d'attaque( Attack Vector (AV))
ماذا احتاج لكي اصل للجهاز
Cette métrique reflète le contexte par lequel l'exploitation d'une vulnérabilité est possible. Sa
valeur sera plus élevée si l'attaquant peut être plus éloigné pour exploiter le composant
vulnérable. L'hypothèse est que le nombre d'attaquants potentiels pour une vulnérabilité
pouvant être exploitée depuis un réseau est supérieur au nombre d'attaquants potentiels
pouvant exploiter une vulnérabilité nécessitant un accès physique à un appareil.
Cette métrique mesure la probabilité que la vulnérabilité soit attaquée, et est généralement
basée sur l'état actuel des techniques d'exploitation, la disponibilité du code d'exploitation,
ou encore l'exploitation active "en conditions réelles".
d'impact et d'exploitabilité. Donc, d'abord, nous devons déterminer la valeur de ces paramètres,
Après avoir déterminé tous ces paramètres, le score de base peut être
Else,
If porté inchangé => [Base Score = Roundup (Minimum
[(Impact + Exploitability), 10)]]
If porté change [Base Score = Roundup (Minimum
[1.08 *(Impact + Exploitability), 10)]]
d'Impact Modifié (MISS), l'Impact Modifié et l'Exploitabilité Modifiée, toutes définies ci-
dessous :
ModifiedAvailability) ], 0.915)
ModifiedImpact =
ModifiedPrivilegesRequired × ModifiedUserInteraction
Note that the exponent at the end of the ModifiedImpact sub-formula is 13, which differs
from CVSS v3.0. See the User Guide for more details of this change.
EnvironmentalScore =
SCORE CVSS : Après avoir déterminé le score de base, nous vérifions le niveau de gravité
mentionné ci-dessous :
V3.0
Non 0.0_0.0
base s'est limité à un simple clic. Jetons un coup d'œil à la façon d'installer ce
calculateur ci-dessous –
Depuis sa création, le CVSS a subi plusieurs révisions pour répondre à l'évolution des besoins en
cybersécurité et améliorer sa précision et son applicabilité. Les principales versions du CVSS
comprennent CVSS v1 (2005), CVSS v2 (2007) et CVSS v3 (2015), la dernière version étant CVSS
v3.1 (2019)
CVSS v1, la première itération, a établi une base pour évaluer les vulnérabilités. Cependant, elle
présentait des limitations en termes de granularité et de précision, ce qui a conduit au
développement du CVSS v2.
CVSS v3.1, la dernière version, s'appuie sur les bases du CVSS v3 en introduisant des mises à
jour mineures et des clarifications pour améliorer sa convivialité et son efficacité
CVSS v4
Exemple de calculator CVSS v3 :
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:L/
UI:R/S:U/C:L/I:H/A:H