Qu'est-ce que le CVSS ?
Le CVSS, ou Common Vulnerability Scoring System, est un cadre ouvert maintenu par le FIRST (Forum of Incident Response and Security Teams). Il fournit une méthode standardisée pour évaluer la gravité d'une vulnérabilité et la résumer en un score numérique de 0 à 10, accompagné d'un vecteur qui détaille comment ce score a été obtenu.
Le score se construit à partir de plusieurs groupes de métriques : les métriques de base (caractéristiques intrinsèques de la faille), temporelles (évolution dans le temps) et environnementales (adaptation à votre contexte). En pratique, c'est le plus souvent le score de base qui est publié et utilisé.
Pourquoi c'est important pour votre organisation
Le CVSS offre un langage commun pour parler de gravité. Il permet de comparer des vulnérabilités très différentes sur une même échelle et de fixer des règles simples, par exemple traiter en priorité tout ce qui dépasse un certain seuil.
Sa force est aussi sa limite : il mesure une gravité potentielle, pas le risque réel pour votre organisation. Une faille critique sur un système isolé et sans exposition peut être moins urgente qu'une faille moyenne sur un serveur exposé et activement attaqué.
Bien utiliser le CVSS
- Comme point de départ, pas comme verdict final de priorisation.
- Exploiter les métriques environnementales pour refléter votre contexte réel.
- Croiser avec l'EPSS pour intégrer la probabilité d'exploitation.
- Vérifier le catalogue CISA KEV pour repérer l'exploitation avérée.
Où les organisations pèchent le plus souvent
Le piège le plus répandu est de traiter le score de base comme une consigne absolue et de corriger mécaniquement toutes les failles « critiques » d'abord. Cette approche ignore le contexte et la probabilité d'exploitation, disperse les efforts et laisse ouvertes des failles moins bien notées mais réellement dangereuses.