CVSS (Common Vulnerability Scoring System)
Le CVSS note la sévérité technique d’une vulnérabilité de 0 à 10 selon des métriques standardisées : vecteur d’attaque, privilèges requis, impact sur les données.
Le Common Vulnerability Scoring System, maintenu par le FIRST, attribue à chaque vulnérabilité un score de sévérité de 0 à 10, calculé à partir de métriques standardisées : le vecteur d’attaque (réseau ou local), la complexité de l’exploitation, les privilèges requis, l’interaction utilisateur nécessaire, et l’impact sur la confidentialité, l’intégrité et la disponibilité. Au-delà de 9, on parle de vulnérabilité critique. La version 4.0 du standard, publiée fin 2023, affine ces métriques, mais la 3.1 reste la plus répandue dans les bases publiques.
Le piège classique est de confondre sévérité et risque. Le CVSS mesure la gravité technique intrinsèque d’une faille, pas la probabilité qu’elle soit exploitée chez vous, ni la valeur de ce qu’elle expose : une CVSS 9.8 sur un serveur de test isolé peut peser moins qu’une 6.5 sur votre portail client. Trier sa liste de vulnérabilités par score décroissant, c’est traiter des dizaines de « critiques » théoriques pendant que la faille réellement exploitée attend son tour.
D’où les compléments devenus standards : l’EPSS estime la probabilité d’exploitation, et le catalogue KEV recense les failles dont l’exploitation est avérée. La bonne priorisation croise les trois, plus votre contexte.