Retour à l'accueil

CVSS v4.0 : métriques de vulnérabilité pour l'IT

L'article décompose CVSS v4.0 : métriques de base, temporelles et contextuelles pour l'évaluation des CVE. Exemples de vulnérabilités réelles et règles de priorisation pour les spécialistes IT. Intégration dans DevSecOps.

Masterclass CVSS : évaluation des vulnérabilités v4.0
Advertisement 728x90

CVSS v4.0 : Métriques et évaluation des vulnérabilités pour développeurs

CVSS fournit un score standardisé de 0 à 10 pour évaluer les vulnérabilités. Le score de base reflète les qualités intrinsèques de la vulnérabilité, indépendamment de tout environnement spécifique. Le NVD publie ces scores pour les CVE publiques, et la version 4.0 affine les métriques pour plus de précision.

Les développeurs s'appuient sur CVSS pour prioriser les correctifs : les scores supérieurs à 7 exigent une action immédiate, surtout avec des exploits proof-of-concept disponibles. Se concentrer sur les vecteurs d'attaque et l'impact permet de distinguer les risques théoriques des menaces réelles.

Métriques de base : Le cœur de l'évaluation

Le groupe de base capture les attributs fixes d'une vulnérabilité.

Google AdInline article slot
  • Vecteur d'attaque (AV) : Réseau (N) — attaque à distance ; Adjacent (A) — réseau local ; Local (L) — accès direct ; Physique (P) — manipulation physique.
  • Complexité d'attaque (AC) : Faible — simple ; Élevée — nécessite des conditions comme un homme du milieu.
  • Privilèges requis (PR) : Aucun — sans authentification ; Faible — droits basiques ; Élevé — accès admin.
  • Interaction utilisateur (UI) : Aucune — entièrement automatisée ; Requise — clic utilisateur ou ouverture de fichier.

L'impact est évalué selon le triptyque CIA :

  • Confidentiel (C) : Aucun/Faible/Élevé — gravité de la fuite de données.
  • Intégrité (I) : Aucun/Faible/Élevé — potentiel de modification.
  • Disponibilité (A) : Aucun/Faible/Élevé — impact déni de service.

Exemple : CVE-2021-44228 (Log4Shell) avec AV:N/AC:L/PR:N/UI:N et Élevé sur tous les scores CIA obtient un parfait 10.0.

Métriques temporelles : Prise en compte de l'évolution des menaces

Les métriques temporelles ajustent le score de base en fonction des conditions actuelles.

Google AdInline article slot

| Métrique | Description | Impact sur le score |

|----------|-------------|---------------------|

| Maturité du code d'exploit (E) | Aucun/PoC/Élevé | Augmente avec le code disponible |

Google AdInline article slot

| Niveau de remédiation (RL) | Aucun/Contournement/Officiel | Diminue avec les correctifs |

| Confiance du rapport (RC) | Faible/Moyenne/Élevée | Baisse avec l'incertitude |

EternalBlue (CVE-2017-0144, base 8.1) est devenu critique après l'apparition d'exploits PoC dans WannaCry, grâce à un E élevé.

Métriques environnementales : Adaptation à votre configuration

Les métriques environnementales permettent d'ajuster les métriques de base (comme AV ou AC modifiés) pour votre environnement. Exigences supplémentaires :

  • Exigence de confidentialité (CR) : Élevée pour les données PCI DSS.
  • Exigence d'intégrité (IR) : Élevée pour les fichiers de configuration.
  • Exigence de disponibilité (AR) : Élevée pour les services critiques.

Dans un réseau air-gapped, AV:N passe à AV:L, réduisant le score de 2–3 points.

Échelle d'évaluation CVSS et règles de priorisation

| Plage | Niveau | Action |

|-------|--------|--------|

| 0 | Aucun | Ignorer |

| 0.1–3.9 | Faible | Surveiller |

| 4.0–6.9 | Moyen | Évaluer le contexte |

| 7.0–8.9 | Élevé | Corriger en urgence |

| 9.0–10.0 | Critique | Corriger immédiatement |

Règles pour les devs confirmés :

  • CVSS ≥9.0 + PoC = correctif prioritaire.
  • Tout score dans les composants inutilisés = les supprimer.
  • Valider les métriques modifiées dans vos pipelines CI/CD.

Exemples concrets

  • Log4Shell : RCE complète via les logs, base 10.0.
  • Follina (CVE-2022-30190) : 7.8, escaladé à Élevé avec des exploits APT.
  • CVE-2024-40711 (Veeam) : RCE par contournement d'auth, critique pour les sauvegardes.

Intégrez CVSS dans des scanners comme Trivy ou Dependency-Check.

Sources de données fiables

Pour vérifier les CVE :

  • cve.org — registre officiel.
  • NVD — détails CVSS, CWE, CPE.
  • Exploit-DB — exploits PoC.
  • OWASP — Top 10, Guide de tests.
  • PortSwigger Academy — labs d'attaques web.

Évitez les sources non vérifiées sensationnalistes.

Points clés

  • Le score de base est votre point de départ ; Temporelles et Environnementales le rendent concret.
  • Réseau + Aucun privilège + CIA Élevé = toujours ≥9.0.
  • Intégrez CVSS dans l'automatisation de scan des dépôts.
  • Vérifiez les PoC avant d'alerter.
  • En production, utilisez toujours les métriques modifiées.

— Editorial Team

Advertisement 728x90

Lire ensuite