Retour d'expérience : pourquoi CVSS 4.0 change vraiment la donne
Le Common Vulnerability Scoring System (CVSS) est une méthode standardisée permettant de mesurer la sévérité d’une vulnérabilité informatique. Il attribue un score compris entre 0 (faible) et 10 (critique), basé sur plusieurs critères techniques tels que la complexité d’exploitation, l’impact sur la confidentialité, l’intégrité ou la disponibilité des systèmes.
En novembre 2023, la version CVSS 4.0 a été publiée, avec pour objectif à long terme de remplacer les versions 3.0 et 3.1, encore largement utilisées dans l’industrie. Cette nouvelle version introduit plusieurs évolutions majeures : meilleure contextualisation, prise en compte de l’exploitation active, et granularité renforcée dans l’analyse des vulnérabilités.
Cependant, son adoption reste timide. Sa sortie s’est faite dans une relative discrétion, accompagnée de retours critiques ou peu enthousiastes. Malgré cela, nous avons fait le choix de l’expérimenter concrètement, en l’intégrant à un projet pilote, afin d’évaluer ses apports sur le terrain.
Les changements
Hausse du nombre de critères
Concrètement, CVSS 3.1 s’appuie sur 22 éléments, tandis que CVSS 4.0 en intègre 32. Sur le papier, cette évolution semble apporter plus de précision et de granularité dans l’évaluation des vulnérabilités. Mais d’un point de vue opérationnel, cette richesse supplémentaire complexifie considérablement l’analyse.
L’un des principes fondamentaux dans les métiers de l’ingénierie reste le fameux principe KISS : Keep It Simple, Stupid — autrement dit : plus c’est simple, mieux c’est.
Avec CVSS 4.0, on s’en éloigne quelque peu. L’évaluation devient plus longue, plus exigeante, et parfois moins intuitive pour les équipes opérationnelles.
Il est toutefois possible de pallier cette complexité, comme nous le verrons dans la suite de ce billet.
Catégorie d'évaluation
Les indicateurs sont classés en plusieurs catégories qui diffèrent entre les deux versions du CVSS. Ces catégories structurent l’analyse en regroupant les métriques selon leur nature et leur rôle dans le calcul du score.
Catégories de CVSS 3.1 :
| Catégorie | Type | Description |
|---|---|---|
| Base Metrics | Technique | Évalue les caractéristiques fondamentales de la vulnérabilité. |
| Threat Metrics | Contextuelle | Indique si la vulnérabilité est activement exploitée ou non. |
| Environmental | Organisationnelle | Ajuste le score selon l’environnement spécifique de l’organisation. |
Catégories de CVSS 4.0
| Catégorie | Type | Description |
|---|---|---|
| Base Metrics | Technique | Décrit les caractéristiques intrinsèques de la vulnérabilité. |
| Threat Metrics | Contextuelle | Indique si la vulnérabilité est activement exploitée ou non. |
| Environmental Metrics | Organisationnelle | Ajuste le score en fonction du contexte local de l'organisation. |
| Supplemental Metrics | Complémentaire | Fournit des informations additionnelles sur la valeur ou l’automatisation. |
Analyse des catégories
Base Metrics
La catégorie des Base Metrics a évolué avec CVSS 4.0 pour offrir une description plus fine de la vulnérabilité intrinsèque.
Un nouveau champ, Attack Requirements (AT), a été introduit. Il décrit les conditions spécifiques qui doivent être réunies au sein de l’environnement de la cible pour qu’une vulnérabilité soit exploitable. Cela permet de mieux refléter certaines situations où une attaque ne peut réussir que si des éléments particuliers (ex : un module optionnel ou une configuration spécifique) sont présents.
La métrique Attack Complexity (AC) a également été clarifiée. Elle se concentre désormais uniquement sur la difficulté technique de l’attaque elle-même, indépendamment des conditions environnementales, désormais décrites par AT.
Enfin, CVSS 4.0 introduit les Subsequent System Impact Metrics, qui permettent d’évaluer les effets secondaires potentiels sur d'autres composants du système ou de l'infrastructure. Elles ajoutent une dimension plus systémique à l’évaluation de l’impact d’une vulnérabilité. C’est ici, selon moi, la plus grande force de CVSS 4.0 : elle permet de segmenter et de mieux comprendre l’impact d’une faille sur l’environnement global du système attaqué.
Threat Metrics
La métrique Temporal Metrics a été remplacée par les Threat Metrics dans CVSS 4.0. Cette catégorie permet d’indiquer si une vulnérabilité est activement exploitée dans la nature, ou si des exploits sont disponibles publiquement.
Cependant, cette section reste à mon sens un peu "à l’aveugle". Il n’est pas toujours évident de savoir si une vulnérabilité est réellement exploitable et exploitée par des acteurs malveillants.
Environmental Metrics
La catégorie Environmental Metrics est censée permettre une adaptation du score en fonction du contexte spécifique de l’organisation. En théorie, cela permettrait de mieux évaluer le risque réel en tenant compte des priorités, de la criticité des systèmes ou des mesures compensatoires locales.
Mais dans la pratique, je trouve cette section peu utile. Lorsqu'on traite une vulnérabilité, on la replace naturellement dans le contexte de l’entreprise avant de prendre une décision. Deux approches sont généralement utilisées : soit un processus personnalisé de réévaluation avec ses propres critères, soit l’utilisation du score CVSS comme base, en ajustant directement les éléments de la Base Metrics.
C’est souvent dans cette dernière que les vrais changements apparaissent : par exemple, le vecteur d’attaque, les impacts sur la confidentialité ou l’intégrité peuvent varier selon l’implémentation dans le code de l’entreprise.
Supplemental Metrics
La section Supplemental Metrics fournit des informations complémentaires intéressantes, mais elles n’influencent pas le score final de la vulnérabilité. Pour cette raison, nous avons choisi de ne pas les intégrer directement dans notre processus de priorisation.
À la place, nous utilisons un système de métriques interne pour ajuster la priorité des tâches en fonction du contexte métier et technique. Cela nous permet de garder un processus d’analyse fluide et adapté à notre réalité opérationnelle.
Retour d'expérience
Le CVSS 4.0 est une évolution intéressante du système d'évaluation des vulnérabilités. Dans nos missions de pentest et d'accompagnement cybersécurité longue durée, comme pour CVSS 3.x, nous utilisons majoritairement la partie Base Metrics pour l'analyse initiale des vulnérabilités.
La séparation entre Attack Requirements et Attack Complexity apporte une granularité plus fine sur l'environnement nécessaire à l'exploitation d'une vulnérabilité. Cette clarification permet une modélisation plus juste lors de nos tests d'intrusion, où nous devons évaluer précisément la faisabilité d'exploitation dans le contexte spécifique du client.
Notre expérimentation lors de plusieurs pentests a montré qu'en se basant uniquement sur les Base Metrics, nous observons une légère tendance à la hausse des scores CVSS. Cette hausse est normalement compensée par les sections Threat Metrics et Environmental Metrics, mais ces dernières alourdissent significativement le processus d'analyse, pour un intérêt opérationnel que nous jugeons mineur dans la majorité des cas.
Le principal point positif qui justifie à nos yeux l'adoption de CVSS 4.0 est l'introduction des Subsequent System Impact Metrics. Elles permettent de véritablement affiner notre compréhension des impacts lors d'un pentest, en évaluant non seulement la cible directe mais aussi l'environnement plus large dans lequel elle s'inscrit. Grâce à cette approche plus systémique, nous obtenons une vision plus fidèle du risque réel pour l'entreprise.
Une amélioration possible pour le futur serait de prendre en compte les enchaînements de vulnérabilités. En situation de test d'intrusion, il est fréquent qu'une chaîne de vulnérabilités considérées individuellement comme "moyennes" puisse conduire à un accès critique au système. Le modèle CVSS actuel ne permet pas d'évaluer efficacement ce type de scénario d'attaque en plusieurs étapes, pourtant couramment observé lors de nos missions.
Conclusion
CVSS 4.0 représente une évolution significative du système d'évaluation des vulnérabilités. Les Subsequent System Impact Metrics constituent l'apport majeur, permettant lors d'un pentest d'évaluer non seulement l'impact direct d'une faille, mais aussi ses répercussions sur l'ensemble du système d'information.
Dans nos accompagnements cybersécurité longue durée, CVSS 4.0 nous permet d'établir avec nos clients une priorisation des remédiation basée sur une compréhension fine du risque réel. Cette approche systémique est particulièrement pertinente lors des tests d'intrusion, où nous devons présenter clairement l'impact potentiel de chaque vulnérabilité découverte pour aider à la prise de décision.
La cybersécurité vous fait perdre un temps fou ? Notre accompagnement sur le long terme vous redonne de l'oxygène.
Découvrez notre accompagnement