Sentibee
Le Brief/Guide

CVE, CVSS, EPSS, tout un jargon !

Lorsqu'on met le pied dans la cyber, on est vite assaillis d'acronymes en tous genres. Démystifions ceux de l'univers des vulnérabilités.

Mickaël Walter
Plane Cockpit

Photo by Arie Wubben on Unsplash

Il est facile de se sentir perdu lorsqu'on commence la gestion des vulnérabilités et du déploiement de ses correctifs. Le domaine est vaste et son vocabulaire suffit à lui seul à faire peur même aux plus courageux des débutants. Petit tour d'horizon pour bien démarrer.

Les acteurs des vulnérabilités

Commençons par déterminer qui sont les parties prenantes. Comprendre quels sont les intérêts de chacun est primordial pour saisir l'essence des normes.

On peut diviser les intervenants dans plusieurs catégories non-exclusives :

  • Les découvreurs de vulnérabilités,
  • Les éditeurs logiciels (et de matériels),
  • Les utilisateurs et leurs équipes informatiques,
  • Les équipes de réponse à incident,
  • Les intermédiaires.

Ces différents acteurs ont besoin de se coordonner. Le découvreur d'une vulnérabilité a besoin de la communiquer et les éditeurs ainsi que les utilisateurs ont besoin de les connaître pour les corriger.

C'est pourquoi, plusieurs initiatives de coordination ont vu le jour et ont été créées par des intermédiaires tels que des associations afin de fournir des outils. Ceux-ci se sont depuis imposés comme standards de facto.

Common Vulnerabilities and Exposures

C'est la base de référence.

Le programme CVE permet de tenir une base de données de vulnérabilités alimentée par les CVE Numbering Authority (CNA). Les CNA peuvent être toutes sortes d'organisations telles que des éditeurs ou des acteurs nationaux. Ce sont eux qui déclarent à la communauté l'existence d'une vulnérabilité au travers du programme.

La base de données en elle-même est entretenue par le MITRE (une association américaine) sponsorisé à cette fin par le gouvernement des Etats-Unis.

Site web : https://www.cve.org

National Vulnerability Database

On voit souvent le NVD mentionné dans les informations relatives aux vulnérabilités. Au point de parfois faire la confusion avec le programme CVE.

Son objectif est de fournir une base d'autorité pour les organisations américaines. Il est d'ailleurs maintenu par l'organisme américain de normalisation (le NIST).

C'est une source intéressante car elle enrichit le contenu qu'on peut trouver dans les enregistrements CVE. Mais l'équipe dédiée a de plus en plus de mal à suivre le rythme effréné.

Site web : https://nvd.nist.gov

Common Vulnerability Scoring System

Un enregistrement CVE est un rapport sur une vulnérabilité. Mais il est souvent écrit en termes techniques qui ne permettent pas de comprendre précisément les enjeux.

Le CVSS intervient pour donner une évaluation de la criticité des vulnérabilités sous la forme d'un score allant de 0.0 à 10 (peu critique à très critique). Il tient compte de nombreux facteurs au sein de 3 métriques majeures :

  • La métrique de base,
  • La métrique temporelle,
  • La métrique environnementale.

La première évalue la criticité intrinsèque de la vulnérabilité : la partie purement technique. La deuxième évalue la criticité au regard de ce qu'il se passe sur le terrain, comme par exemple l'exploitation active de la vulnérabilité par des acteurs malveillants. La dernière métrique permet à tout un chacun de tenir compte de son environnement propre.

Les métriques temporelles et environnementales sont en général assez complexes à entretenir. Les enregistrements CVE contiennent la plupart du temps le score de base uniquement. Malheureusement, celui-ci est insuffisant à la plupart des cas d'usages.

Chez Sentibee, nous allons au-delà du score de criticité pour vous proposer la priorité de correction d'une vulnérabilité. Nous tenons compte de tous les facteurs avec une approche issue de notre expérience en réponse à incident.

Contactez-nous pour en discuter !

Le CVSS est un outil maintenu par le FIRST, un consortium d'équipes de réponse à incident.

Accéder au calculateur de score.

Exploit Prediction Scoring System

L'EPSS est un autre outil du FIRST. Il permet d'évaluer la probabilité qu'une vulnérabilité soit exploitée dans les 30 prochains jours. Un score proche de 1 est la garantie qu'une vulnérabilité attire beaucoup l'attention des acteurs malveillants !

L'EPSS est, contrairement au CVSS, un score très dynamique qui peut changer plusieurs fois par jour. Il permet d'approfondir l'évaluation de la priorité d'une correction au-delà de la simple criticité intrinsèque à la vulnérabilité.

On peut trouver de très beaux résumés sur leur site. On peut d'ailleurs constater que toutes les vulnérabilités ne se valent pas.

Conclusion

Nous n'avons pu qu'égratigner la surface de l'ensemble des outils à notre disposition pour évaluer une vulnérabilité qui passe dans notre processus de veille.

Chez Sentibee, nous utilisons tous ces outils et les combinons pour réduire les données à une information claire centrée résolution pour votre environnement propre.

C'est dans ce cadre que nous déterminons le BeeScore. Un score orienté priorité, personnalisé et qui tient compte de tout l'environnement. Il s'agit non pas d'un autre score de criticité mais bien d'un outil qui vous permet directement de prendre une décision.

Même si ces acronymes ne cachent finalement rien de mystique, bien les utiliser est un métier !

Partager

Restez informé

Recevez nos derniers articles et analyses directement dans votre boîte mail.