Êtes-vous un étudiant de l'EPFL à la recherche d'un projet de semestre?
Travaillez avec nous sur des projets en science des données et en visualisation, et déployez votre projet sous forme d'application sur GraphSearch.
Concept
Common Vulnerability Scoring System
Résumé
Dans le domaine de la sécurité informatique, Common Vulnerability Scoring System (CVSS) est un système d'évaluation standardisé de la criticité des vulnérabilités selon des critères objectifs et mesurables. Cette évaluation est constituée de 3 mesures appelées métriques : la métrique de base, la métrique temporelle et la métrique environnementale. Le score final est compris entre 0 et 10, 10 correspondant aux vulnérabilités les plus critiques.
La version actuelle de CVSS (CVSSv3.1) a été publiée en Juin 2019.
Le CVSS est construit à partir de la métrique de base qui nous donne une évaluation du CVSS de base qui sera ensuite pondérée avec la métrique temporelle puis avec la métrique environnementale. Ces trois métriques se définissent comme suit :
la métrique de base est unique et immuable, elle se base sur les qualités intrinsèques de la vulnérabilité.
la métrique temporelle est unique mais peut évoluer au cours du temps.
la métrique environnementale est multiple et évolue en fonction de l'environnement informatique. Elle dépend du système informatique dans lequel elle est présente.
Le vecteur d'accès (Access Vector (AV)) définit comment une vulnérabilité peut être exploitée.
La complexité d'accès (Access Complexity (AC)) définit le niveau de difficulté d'exploiter la vulnérabilité découverte.
La métrique d'authentification (Authentication (Au)) définit le nombre de fois qu'un attaquant doit s'authentifier sur la cible dans le but d'exploiter la vulnérabilité. Ceci fait référence spécifiquement au nombre de fois qu'une authentification est nécessaire une fois que l'accès au système a été obtenu. Ça n'inclut pas, par exemple, l'authentification au réseau utilisé pour accéder au système vulnérable. Pour des vulnérabilités exploitables localement, cette valeur ne devrait seulement être fixée à Unique ou Multiple si une authentification est nécessaire après avoir accédé au système.
La métrique de confidentialité (Confidentiality (C)) définit l'impact sur la confidentialité des données sur ou traités par le système.
Source officielle
À propos de ce résultat
Cette page est générée automatiquement et peut contenir des informations qui ne sont pas correctes, complètes, à jour ou pertinentes par rapport à votre recherche. Il en va de même pour toutes les autres pages de ce site. Veillez à vérifier les informations auprès des sources officielles de l'EPFL.