Le Forum of Incident Response and Security Teams (FIRST) a officiellement publié CVSS v4.0, la prochaine génération de sa norme Common Vulnerability Scoring System, huit ans après CVSS v3.0, la version majeure précédente.

CVSS est un cadre standardisé pour évaluer la gravité des vulnérabilités de sécurité logicielle utilisé pour attribuer des scores numériques ou une représentation qualitative (telle que faible, moyenne, élevée et critique) en fonction de l’exploitabilité, de l’impact sur la confidentialité, l’intégrité, la disponibilité et les privilèges requis, avec des privilèges plus élevés. des scores dénotant des vulnérabilités plus graves.

Il permet de prioriser les réponses aux menaces de sécurité car il fournit un moyen cohérent d’évaluer l’impact des vulnérabilités et de comparer les risques sur différents systèmes et logiciels.

« La norme révisée offre une granularité plus fine dans les mesures de base pour les consommateurs, supprime l’ambiguïté des scores en aval, simplifie les mesures des menaces et améliore l’efficacité de l’évaluation des exigences de sécurité spécifiques à l’environnement ainsi que des contrôles compensatoires », a déclaré FIRST.

« En outre, plusieurs mesures supplémentaires pour l’évaluation des vulnérabilités ont été ajoutées, notamment l’automatisation (versable), la récupération (résilience), la densité de valeur, l’effort de réponse aux vulnérabilités et l’urgence du fournisseur.

« Une amélioration clé de CVSS v4.0 est également l’applicabilité supplémentaire à OT/ICS/IoT, avec des mesures et des valeurs de sécurité ajoutées aux groupes de mesures supplémentaires et environnementales. »

Cette dernière version ajoute également une nouvelle nomenclature, avec les évaluations de gravité Base (CVSS-B), Base + Menace (CVSS-BT), Base + Environnement (CVSS-BE) et Base + Menace + Environnement (CVSS-BTE).

​La liste complète de toutes les modifications apportées avec la norme CVSS v4.0, y compris une granularité plus fine grâce à de nouvelles métriques/valeurs de base et de meilleures métriques d’impact, est disponible. ici.

D’ABORD dévoilé CVSS 4.0 en juin, lors de sa 35e conférence annuelle à Montréal, Canada, en tant que « révolution dans le secteur du cyberespace », 18 ans après la sortie de CVSS version 1 en février 2005.

« Le système CVSS s’est développé rapidement au cours des 18 dernières années, chaque version s’appuyant sur nos capacités à nous défendre contre la cybercriminalité. Je suis immensément fier du CVSS-SIG pour le travail acharné et le dévouement qu’il a fallu pour produire la version 4.0. Et cela arrive à point nommé alors que nous continuons de constater une augmentation significative des menaces à travers le monde », dit Chris Gibson, PDG de FIRST.

« En tant qu’organisation composée de membres, notre objectif est de responsabiliser nos membres et le secteur, en faisant preuve de leadership et en nous assurant que nous nous engageons à améliorer continuellement la façon dont nous travaillons ensemble pour défendre les personnes du monde entier contre les cyberattaques.

L’année dernière, FIRST a également publié TLP 2.0, la dernière version de sa norme Traffic Light Protocol (TLP) utilisée dans la communauté des équipes de réponse aux incidents de sécurité informatique (CSIRT) lors du partage d’informations sensibles.