Aller au contenu
FortaRisks
Retour au glossaireThreat intelligence

CVSS

Le CVSS (Common Vulnerability Scoring System) est le standard ouvert qui attribue à une vulnérabilité une note de gravité de 0 à 10. Il décompose la sévérité en critères objectifs (vecteur d'attaque, complexité, impact) pour comparer les failles sur une échelle commune, indépendamment de l'éditeur.

Mis à jour le 2 juillet 2026

Qu'est-ce que le CVSS ?

Le CVSS, ou Common Vulnerability Scoring System, est un cadre ouvert maintenu par le FIRST (Forum of Incident Response and Security Teams). Il fournit une méthode standardisée pour évaluer la gravité d'une vulnérabilité et la résumer en un score numérique de 0 à 10, accompagné d'un vecteur qui détaille comment ce score a été obtenu.

Le score se construit à partir de plusieurs groupes de métriques : les métriques de base (caractéristiques intrinsèques de la faille), temporelles (évolution dans le temps) et environnementales (adaptation à votre contexte). En pratique, c'est le plus souvent le score de base qui est publié et utilisé.

Pourquoi c'est important pour votre organisation

Le CVSS offre un langage commun pour parler de gravité. Il permet de comparer des vulnérabilités très différentes sur une même échelle et de fixer des règles simples, par exemple traiter en priorité tout ce qui dépasse un certain seuil.

Sa force est aussi sa limite : il mesure une gravité potentielle, pas le risque réel pour votre organisation. Une faille critique sur un système isolé et sans exposition peut être moins urgente qu'une faille moyenne sur un serveur exposé et activement attaqué.

Bien utiliser le CVSS

  • Comme point de départ, pas comme verdict final de priorisation.
  • Exploiter les métriques environnementales pour refléter votre contexte réel.
  • Croiser avec l'EPSS pour intégrer la probabilité d'exploitation.
  • Vérifier le catalogue CISA KEV pour repérer l'exploitation avérée.

Où les organisations pèchent le plus souvent

Le piège le plus répandu est de traiter le score de base comme une consigne absolue et de corriger mécaniquement toutes les failles « critiques » d'abord. Cette approche ignore le contexte et la probabilité d'exploitation, disperse les efforts et laisse ouvertes des failles moins bien notées mais réellement dangereuses.

Questions fréquentes

Que signifient les niveaux du score CVSS ?

Le score va de 0 à 10 et se traduit en niveaux : faible (0,1 à 3,9), moyen (4,0 à 6,9), élevé (7,0 à 8,9) et critique (9,0 à 10,0). Ces seuils aident à trier, mais un score élevé ne signifie pas qu'une faille est réellement exploitée : c'est une mesure de gravité potentielle, pas de probabilité.

Faut-il prioriser les correctifs uniquement selon le CVSS ?

Non. Le CVSS mesure la gravité intrinsèque, mais pas la probabilité d'exploitation. Une priorisation robuste combine le CVSS avec l'EPSS (probabilité d'exploitation) et le catalogue CISA KEV (exploitation avérée), ainsi qu'avec le contexte de votre environnement via les métriques environnementales du CVSS.

Ressources liées

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.