Les équipes de sécurité informatique font face chaque jour à des dizaines, voire des centaines de vulnérabilités nouvellement identifiées. Sans un système de référence commun, il serait impossible de distinguer une faille anodine d’une brèche critique pouvant compromettre l’ensemble d’un système d’information. C’est précisément pour répondre à ce besoin que le Common Vulnerability Scoring System, plus connu sous l’acronyme CVSS, s’est imposé comme l’étalon universel de la notation des vulnérabilités en cybersécurité. Adopté par les professionnels du secteur, des équipes DevSecOps aux responsables de la sécurité des systèmes d’information, ce système offre un langage commun pour évaluer, comparer et prioriser les risques. Comprendre son fonctionnement, ses forces et ses limites est devenu une compétence indispensable pour quiconque s’implique dans la protection des infrastructures numériques.
Qu’est-ce que le score CVSS ?
Une définition claire d’un outil de référence
Le score CVSS est un système standardisé d’évaluation de la gravité des vulnérabilités informatiques. Il attribue à chaque faille de sécurité un score numérique compris entre 0 et 10, où 10 représente la menace la plus critique possible. Ce score est associé aux Common Vulnerabilities and Exposures (CVE), des identifiants uniques attribués à chaque vulnérabilité connue publiquement. Ainsi, lorsqu’une CVE est publiée, un score CVSS l’accompagne pour indiquer immédiatement son niveau de dangerosité.
À quoi sert concrètement ce score ?
Le score CVSS remplit plusieurs fonctions essentielles dans la gestion de la sécurité informatique :
- Prioriser les correctifs : une vulnérabilité notée 9,8 comme la CVE-2022-48196 exige une intervention immédiate, tandis qu’une faille à 3,5 peut attendre le prochain cycle de mise à jour.
- Communiquer efficacement : le score fournit un référentiel commun entre les équipes techniques, les directions et les partenaires externes.
- Automatiser les processus : les outils de gestion des vulnérabilités intègrent le CVSS pour déclencher des alertes ou des workflows automatiques selon des seuils définis.
- Comparer les risques : il permet de mettre en perspective des vulnérabilités affectant des technologies différentes.
Les grandes catégories de scores
Le CVSS classe les vulnérabilités en plusieurs niveaux de gravité, chacun correspondant à un niveau d’urgence différent :
| Plage de score | Niveau de gravité | Urgence recommandée |
|---|---|---|
| 0,0 | Aucune | Surveillance passive |
| 0,1 – 3,9 | Faible | Correction planifiée |
| 4,0 – 6,9 | Modérée | Correction dans le cycle normal |
| 7,0 – 8,9 | Élevée | Correction prioritaire |
| 9,0 – 10,0 | Critique | Correction immédiate |
Ces catégories constituent la base du langage partagé entre toutes les parties prenantes de la cybersécurité, qu’il s’agisse d’éditeurs de logiciels, d’organismes gouvernementaux ou d’entreprises privées. Elles posent le cadre général, mais c’est la méthodologie sous-jacente qui détermine la précision et la fiabilité de chaque score.
Comprendre la méthodologie de notation CVSS
Les trois groupes de mesures
Le calcul d’un score CVSS ne repose pas sur un critère unique mais sur trois groupes de mesures distincts, chacun apportant une dimension différente à l’évaluation d’une vulnérabilité :
- Les mesures de base : elles évaluent les caractéristiques intrinsèques et permanentes de la vulnérabilité, indépendamment du contexte ou du temps.
- Les mesures temporelles : elles prennent en compte l’état actuel de la vulnérabilité, notamment la disponibilité d’un exploit public ou d’un correctif officiel.
- Les mesures environnementales : elles permettent d’adapter le score au contexte spécifique d’une organisation, en tenant compte de l’importance des actifs concernés.
Le vecteur d’attaque, métrique centrale
Parmi les métriques de base, le vecteur d’attaque (AV) est l’une des plus déterminantes. Il classe la vulnérabilité selon la proximité nécessaire à un attaquant pour l’exploiter :
- Réseau (N) : la faille peut être exploitée à distance via internet, sans interaction physique ni accès local — c’est la catégorie la plus dangereuse.
- Adjacent (A) : l’attaquant doit se trouver sur le même réseau local ou segment réseau.
- Local (L) : un accès direct au système est requis, par exemple via une session ouverte.
- Physique (P) : l’exploitation nécessite un accès physique à la machine.
Les autres métriques de base essentielles
Au-delà du vecteur d’attaque, plusieurs autres métriques entrent dans le calcul du score de base :
- La complexité d’attaque (AC) : faible ou élevée, selon les conditions nécessaires à l’exploitation.
- Les privilèges requis (PR) : aucun, bas ou élevé, selon le niveau d’accès préalable nécessaire.
- L’interaction utilisateur (UI) : indique si un utilisateur doit réaliser une action pour déclencher la vulnérabilité.
- La portée (S) : détermine si l’exploitation peut affecter des composants au-delà du système vulnérable initial.
- Les impacts sur la confidentialité, l’intégrité et la disponibilité (CIA) : chacun noté comme nul, partiel ou complet.
C’est la combinaison de toutes ces métriques qui produit le score final, via une formule mathématique précise définie par le FIRST (Forum of Incident Response and Security Teams), l’organisme qui maintient le standard CVSS.
Cette rigueur méthodologique a conduit à plusieurs révisions du système au fil du temps, chacune cherchant à affiner la précision des évaluations face à des menaces toujours plus sophistiquées.
L’évolution du système CVSS et ses versions
Des origines à la maturité du standard
Le CVSS n’est pas apparu sous sa forme actuelle du premier coup. Son développement a suivi une trajectoire progressive, dictée par les besoins croissants de la communauté de la cybersécurité :
- CVSS v1 : première version expérimentale, elle posait les bases conceptuelles du système mais manquait de rigueur formelle et de reproductibilité.
- CVSS v2 : publiée pour apporter plus de précision, elle a été largement adoptée mais critiquée pour ses limites dans la représentation des vulnérabilités modernes.
- CVSS v3.0 puis v3.1 : ces versions ont introduit des améliorations majeures, notamment la métrique de portée (Scope) et une meilleure granularité des impacts.
- CVSS v4.0 : la version la plus récente, elle apporte des groupes de métriques supplémentaires et une nomenclature plus fine pour répondre aux réalités des environnements cloud, OT et IoT.
Ce que CVSS 3.1 a changé
La version 3.1 a représenté une clarification et une consolidation plutôt qu’une révolution. Elle a précisé les définitions de plusieurs métriques pour réduire les ambiguïtés d’interprétation entre analystes. Elle a également amélioré la cohérence des guides d’évaluation, rendant les scores plus reproductibles d’un évaluateur à l’autre. C’est cette version qui reste la plus utilisée en production dans de nombreuses organisations.
L’arrivée de CVSS 4.0
CVSS 4.0 marque une évolution significative avec l’introduction de nouveaux groupes de métriques :
- Les métriques supplémentaires : elles permettent de qualifier des aspects comme la sécurité des systèmes automatisés ou l’impact sur la vie privée.
- Une nomenclature de scores enrichie : les scores peuvent désormais être qualifiés par des suffixes indiquant quels groupes de métriques ont été utilisés dans le calcul.
- Une meilleure prise en compte des environnements OT/ICS : les systèmes industriels et critiques bénéficient d’une représentation plus fidèle de leurs risques spécifiques.
Ces évolutions continues témoignent de la volonté de l’écosystème de la cybersécurité d’adapter ses outils à la réalité d’un paysage de menaces en perpétuelle transformation.
Pour tirer pleinement parti de ces versions, encore faut-il comprendre en détail le mécanisme de calcul propre à CVSS 3.x, qui reste la référence opérationnelle pour la grande majorité des équipes de sécurité.
Comment fonctionne la notation CVSS 3.x ?
Le calcul du score de base
Le score de base CVSS 3.x est calculé à partir des métriques intrinsèques de la vulnérabilité. La formule combine deux sous-scores : l’exploitabilité et l’impact. L’exploitabilité mesure la facilité avec laquelle un attaquant peut exploiter la faille, tandis que l’impact mesure les conséquences sur la confidentialité, l’intégrité et la disponibilité du système cible. La métrique de portée joue un rôle particulier : si une vulnérabilité peut affecter des composants au-delà du système initialement compromis, le score est calculé différemment, ce qui peut significativement augmenter sa valeur finale.
L’ajustement temporel
Le score temporel affine le score de base en intégrant des informations qui évoluent dans le temps :
- La maturité du code d’exploitation (E) : un exploit public et fonctionnel augmente le risque réel.
- Le niveau de remédiation (RL) : l’existence d’un correctif officiel réduit l’urgence.
- La confiance dans le rapport (RC) : une vulnérabilité confirmée par le fabricant est traitée différemment d’un signalement non vérifié.
Ces facteurs permettent de moduler dynamiquement la priorité accordée à une vulnérabilité au fur et à mesure que la situation évolue.
La personnalisation environnementale
Le score environnemental est l’outil le plus puissant pour adapter le CVSS à la réalité d’une organisation. Il permet de pondérer l’importance des actifs concernés et de modifier les métriques de base selon le contexte propre à l’entreprise. Par exemple, une vulnérabilité affectant un serveur de base de données contenant des données sensibles sera traitée plus sévèrement qu’une faille identique sur un serveur de test isolé. Cette personnalisation est ce qui transforme le CVSS d’un simple score générique en un véritable outil de gestion des risques adapté.
Cette capacité d’adaptation est précisément l’un des arguments les plus solides en faveur de l’adoption du CVSS par les entreprises, quelles que soient leur taille et leur secteur d’activité.
Avantages du score CVSS pour les entreprises
Un langage universel pour la sécurité
L’un des atouts majeurs du CVSS est de fournir un référentiel commun et objectif compris par toutes les parties prenantes. Les équipes techniques, les directions générales, les auditeurs et les partenaires externes peuvent tous s’appuyer sur le même score pour prendre des décisions éclairées. Cette standardisation réduit les malentendus et facilite la communication des risques à des interlocuteurs non techniques.
Une meilleure allocation des ressources
Face à un volume croissant de vulnérabilités, les équipes de sécurité ne peuvent pas tout traiter simultanément. Le CVSS permet de prioriser rationnellement les efforts de remédiation :
- Les vulnérabilités critiques (score ≥ 9,0) mobilisent immédiatement les ressources disponibles.
- Les failles de gravité élevée (7,0 – 8,9) sont intégrées dans les cycles de correction prioritaires.
- Les vulnérabilités modérées et faibles sont planifiées dans les maintenances régulières.
Cette hiérarchisation évite le gaspillage de ressources sur des failles mineures au détriment de brèches critiques.
Une intégration dans les processus DevSecOps
Le CVSS s’intègre naturellement dans les pipelines DevSecOps modernes. Les outils d’analyse de composition logicielle (SCA) et les scanners de vulnérabilités utilisent les scores CVSS pour bloquer automatiquement les déploiements lorsqu’une dépendance présente une vulnérabilité au-delà d’un seuil défini. Cette automatisation renforce la sécurité sans ralentir les cycles de développement.
Malgré ces avantages indéniables, le CVSS n’est pas exempt de critiques, et il est essentiel d’en connaître les limites pour l’utiliser de manière éclairée.
Limites et critiques du système CVSS
Un score générique qui ignore le contexte métier
La principale critique adressée au CVSS est que le score de base ne tient pas compte du contexte opérationnel de l’organisation. Une vulnérabilité critique sur un système exposé à internet n’a pas le même impact qu’une faille identique sur un système isolé en réseau fermé. Sans personnalisation environnementale — souvent négligée faute de temps ou de ressources — le score peut conduire à des priorités inadaptées à la réalité du terrain.
Des métriques parfois difficiles à évaluer objectivement
L’attribution des valeurs à certaines métriques reste subjective et peut varier selon l’évaluateur :
- La complexité d’attaque peut être interprétée différemment selon l’expérience de l’analyste.
- L’interaction utilisateur n’est pas toujours clairement définie dans les rapports de vulnérabilité.
- La portée peut être difficile à déterminer sans une connaissance approfondie de l’architecture cible.
Ces ambiguïtés peuvent entraîner des scores différents pour une même vulnérabilité selon les sources, ce qui nuit à la cohérence du système.
Le CVSS ne mesure pas le risque réel d’exploitation
Le score CVSS évalue la gravité théorique d’une vulnérabilité, non la probabilité qu’elle soit effectivement exploitée. Une vulnérabilité avec un score de 9,5 peut ne jamais être ciblée par des attaquants, tandis qu’une faille à 5,0 peut être activement exploitée dans des campagnes malveillantes. C’est pourquoi de nombreux experts recommandent de compléter le CVSS avec d’autres indicateurs, comme l’Exploit Prediction Scoring System (EPSS), qui estime la probabilité d’exploitation à court terme.
Connaître ces limites ne diminue pas l’utilité du CVSS, mais invite à l’intégrer dans une approche plus globale de la gestion des vulnérabilités, ce que les praticiens de la cybersécurité font au quotidien.
Utilisations pratiques des scores CVSS en cybersécurité
La gestion des vulnérabilités et le patch management
Le cas d’usage le plus répandu du CVSS est la gestion des correctifs de sécurité. Les équipes de sécurité définissent des politiques de patch management basées sur les seuils CVSS : par exemple, tout correctif correspondant à une vulnérabilité de score supérieur à 9,0 doit être appliqué sous 24 heures, tandis que les correctifs pour des scores entre 7,0 et 8,9 sont déployés sous une semaine. Cette approche structurée permet de réduire la fenêtre d’exposition aux vulnérabilités les plus dangereuses.
L’intégration dans les outils de sécurité
Les scores CVSS sont nativement intégrés dans de nombreux outils professionnels de cybersécurité :
- Les scanners de vulnérabilités utilisent le CVSS pour classer et présenter leurs résultats.
- Les plateformes SIEM peuvent déclencher des alertes en fonction des seuils CVSS.
- Les outils de gestion des risques agrègent les scores pour produire des tableaux de bord de sécurité.
- Les bases de données de vulnérabilités comme la NVD (National Vulnerability Database) publient systématiquement les scores CVSS associés à chaque CVE.
Le CVSS dans les audits et la conformité
De nombreux référentiels de conformité et standards de sécurité font référence au CVSS pour définir les exigences de remédiation. Les audits de sécurité utilisent les scores CVSS pour évaluer la maturité de la gestion des vulnérabilités d’une organisation. Un score moyen élevé des vulnérabilités non corrigées peut constituer un signal d’alarme lors d’un audit, tandis qu’une politique de remédiation documentée et basée sur le CVSS témoigne d’une approche structurée et professionnelle de la sécurité.
Le score CVSS s’est imposé comme un pilier incontournable de la cybersécurité opérationnelle, non pas parce qu’il est parfait, mais parce qu’il offre un cadre commun, reproductible et évolutif pour faire face à la complexité croissante des menaces informatiques. Ses limites, bien documentées, invitent à le compléter plutôt qu’à le remplacer, en l’associant à d’autres indicateurs de risque pour bâtir une stratégie de sécurité réellement adaptée aux enjeux de chaque organisation. Maîtriser le CVSS, c’est finalement maîtriser le langage de la gestion des risques en cybersécurité.
