Le Forum des équipes de réponse aux incidents et de sécurité (FIRST) a officiellement annoncé CVSS v4.0la nouvelle génération de la norme Common Vulnerability Scoring System, plus de huit ans après la sortie de CVSS v3.0 en juin 2015.
« Cette dernière version de CVSS4.0 cherche à fournir la plus haute fidélité d’évaluation de la vulnérabilité à la fois à l’industrie et au public, » FIRST dit dans un rapport.
CVSS fournit essentiellement un moyen de capturer les principales caractéristiques techniques d’une vulnérabilité de sécurité et de produire un score numérique indiquant sa gravité. Le score peut être traduit en différents niveaux, tels que faible, moyen, élevé et critique, pour aider les organisations à prioriser leurs processus de gestion des vulnérabilités.
L’une des principales mises à jour de CVSS v3.1, libéré en juillet 2019, c’était souligner et clarifier que « le CVSS est conçu pour mesurer la gravité d’une vulnérabilité et ne doit pas être utilisé seul pour évaluer le risque ».
CVSS v3.1 a également suscité des critiques pour un manque général de granularité dans l’échelle de notation et pour ne pas avoir représenté de manière adéquate les systèmes de santé, de sécurité humaine et de contrôle industriel.
Le Dernière revision à la norme vise à combler certaines de ces lacunes en fournissant plusieurs mesures supplémentaires pour l’évaluation de la vulnérabilité, telles que la sécurité (S), l’automatisation (A), la récupération (R), la densité de valeur (V), l’effort de réponse à la vulnérabilité (RE) et Urgence du fournisseur (U).
Il lance également une nouvelle nomenclature pour énumérer les scores CVSS en utilisant une combinaison de base (CVSS-B), base + menace (CVSS-BT), base + environnement (CVSS-BE) et base + menace + environnement (CVSS-BTE). cotes de gravité.
L’idée, D’ABORD ditvise à « renforcer le concept selon lequel CVSS n’est pas seulement le score de base », ajoutant « cette nomenclature doit être utilisée partout où une valeur numérique CVSS est affichée ou communiquée ».
« Le score de base CVSS doit être complété par une analyse de l’environnement (mesures environnementales) et par des attributs susceptibles de changer au fil du temps (mesures des menaces) », note-t-il en outre.