Le score CVSS (Common Vulnerability Scoring System) est devenu la référence mondiale pour quantifier la gravité d'une vulnérabilité de sécurité. Utilisé par le NIST, les éditeurs logiciels et les équipes sécurité du monde entier, il permet de prioriser les correctifs de façon objective.
Les niveaux de sévérité
| Score CVSS | Sévérité | Action recommandée |
|---|---|---|
| 9.0 – 10.0 | CRITICAL | Correctif immédiat (< 24h) |
| 7.0 – 8.9 | HIGH | Correctif urgent (< 7 jours) |
| 4.0 – 6.9 | MEDIUM | Planifier le correctif |
| 0.1 – 3.9 | LOW | Traiter selon les ressources disponibles |
Les trois axes d'évaluation (CVSS 3.1)
1. Vecteur d'exploitation (Base Score)
Le vecteur de base mesure les caractéristiques intrinsèques de la vulnérabilité :
- Attack Vector (AV) : Comment l'attaquant peut-il accéder à la cible ? Réseau (N), Adjacent (A), Local (L) ou Physique (P). Un accès réseau donne le score le plus élevé.
- Attack Complexity (AC) : L'attaque est-elle simple (L) ou complexe (H) à réaliser ?
- Privileges Required (PR) : Aucun (N), bas (L) ou élevé (H) ?
- User Interaction (UI) : L'attaque nécessite-t-elle une action de la victime ?
2. Portée (Scope)
Le paramètre Scope (S) indique si la vulnérabilité peut affecter des composants au-delà du système ciblé. Une CVE capable de sortir d'un conteneur Docker pour compromettre l'hôte, par exemple, aura un scope Changed — ce qui augmente considérablement le score.
3. Impact (CIA)
L'impact est mesuré sur trois axes :
- Confidentiality (C) : Des données peuvent-elles être divulguées ?
- Integrity (I) : Des données peuvent-elles être modifiées ?
- Availability (A) : Le service peut-il être rendu indisponible ?
Exemple concret : Log4Shell (CVE-2021-44228)
CVSS 3.1 Score: 10.0 (CRITICAL)
Vector: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Traduction :
- AV:N → Exploitable à distance via internet
- AC:L → Très simple à exploiter (aucune condition particulière)
- PR:N → Aucun privilège requis
- UI:N → Aucune interaction de l'utilisateur
- S:C → Scope Changed — peut compromettre d'autres composants
- C:H / I:H / A:H → Impact total sur la confidentialité, l'intégrité et la disponibilité
Score parfait de 10.0 — le pire cas possible.
CVSS v2 vs v3.0 vs v3.1
La version 3.1 est la plus récente et la plus précise. Elle corrige certains comportements contre-intuitifs de la v3.0 et affine la granularité des scores. La v2, toujours présente sur les anciennes CVE, utilise une méthodologie différente — ses scores ne sont pas directement comparables aux scores v3.
Sur cveo.tech, chaque CVE affiche la version utilisée (v3.1, v3.0 ou v2) et le vecteur complet, pour une lecture transparente.
Limites du CVSS
Le CVSS est un excellent outil de priorisation, mais il a des limites :
- Il ne tient pas compte de votre contexte : un score 9.8 sur un service non exposé à internet est moins critique qu'un 7.0 directement accessible.
- Il ne mesure pas la probabilité d'exploitation : des métiques complémentaires comme le EPSS (Exploit Prediction Scoring System) permettent d'estimer si une CVE est activement exploitée dans la nature.
- Les scores peuvent évoluer : une CVE peut voir son score révisé à la hausse après analyse approfondie.
Conclusion
Comprendre le CVSS est essentiel pour prioriser efficacement votre veille sécurité. Utilisez-le comme point de départ, en le combinant avec la connaissance de votre exposition réelle.
Vous pouvez rechercher n'importe quelle CVE et consulter son score CVSS complet sur cveo.tech.