Qu'est-ce que le CVSS ?
Le CVSS (Common Vulnerability Scoring System) est le standard mondial qui note la gravité d'une vulnérabilité sur une échelle de 0 à 10. Maintenu par le FIRST, il produit un score, une sévérité qualitative et un « vecteur » reproductible. Il mesure la gravité intrinsèque d'une faille — pas sa probabilité d'exploitation ni son urgence.
La définition, en clair
Le CVSS attribue à chaque vulnérabilité un score de 0 à 10 et une sévérité (de « Faible » à « Critique »), à partir d'un ensemble de caractéristiques techniques résumées dans une chaîne appelée vecteur. C'est le langage commun de la gravité : le NVD, les éditeurs et les scanners s'y réfèrent pour hiérarchiser les failles.
Point clé : le CVSS décrit à quel point une faille est dangereuse en théorie, indépendamment du fait qu'elle soit réellement exploitée. C'est une mesure de gravité, pas de risque.
Les niveaux de sévérité
| Score CVSS | Sévérité |
|---|---|
| 0.0 | Aucune |
| 0.1 – 3.9 | Faible |
| 4.0 – 6.9 | Moyenne |
| 7.0 – 8.9 | Élevée |
| 9.0 – 10.0 | Critique |
Ces seuils sont valables pour le CVSS 3.x et 4.0. Le CVSS 2.0 n'avait que trois niveaux (pas de « Critique »).
Le vecteur : comment se construit le score
Le score de base découle de plusieurs métriques, encodées dans un vecteur du type CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Les principales :
- Vecteur d'attaque (AV) : réseau, adjacent, local ou physique ?
- Complexité (AC) : l'attaque est-elle facile ou conditionnée ?
- Privilèges requis (PR) et interaction utilisateur (UI) : faut-il un compte, ou un clic de la victime ?
- Impact sur la confidentialité (C), l'intégrité (I) et la disponibilité (A).
Vous pouvez construire ou décoder n'importe quel vecteur avec notre calculateur CVSS.
Base, temporel, environnemental
Le CVSS comporte trois groupes de métriques :
- Base : la gravité intrinsèque, stable dans le temps. C'est le score presque toujours publié.
- Temporel / menace : ajuste selon la maturité de l'exploit et la disponibilité d'un correctif.
- Environnemental : adapte le score à votre contexte (criticité de l'actif, mesures en place).
La plupart des bases de données n'affichent que le score de base : à vous d'affiner avec le contexte.
Les versions : 2.0, 3.0, 3.1 et 4.0
| Version | À retenir |
|---|---|
| 2.0 | Standard historique, métriques plus simples, pas de niveau « Critique ». |
| 3.0 / 3.1 | La plus répandue dans le NVD aujourd'hui. La 3.1 précise l'arrondi. |
| 4.0 | La plus récente : sépare l'impact sur le système vulnérable et les systèmes subséquents, ajoute les conditions d'attaque, supprime le Scope. |
Comparez les quatre dans le calculateur.
CVSS n'est pas l'urgence : ses limites
C'est l'erreur la plus courante : traiter le CVSS comme une file de priorité. Une vulnérabilité CVSS 9 jamais exploitée peut être moins urgente qu'une CVSS 6 déjà au catalogue KEV. Le CVSS :
- ne dit pas si la faille est réellement exploitée (c'est le rôle du KEV) ;
- ne dit pas la probabilité qu'elle le soit (c'est l'EPSS) ;
- ignore votre contexte si vous n'utilisez que la base.
Exemple : Log4Shell, CVSS 10
CVE-2021-44228 (Log4Shell) est notée 10/10 : exploitable à distance (AV:N), sans privilège ni interaction (PR:N/UI:N), avec un impact total sur la confidentialité, l'intégrité et la disponibilité. Ce score maximal, combiné à une exploitation massive observée, en a fait l'une des vulnérabilités les plus critiques de la décennie.
Comment l'utiliser pour prioriser
Le CVSS fixe le plafond de dégâts possible ; il faut le croiser avec la probabilité (EPSS) et l'exploitation avérée (KEV) pour décider quoi corriger d'abord. C'est exactement ce que fait TechWatchAlert : combiner CVSS, EPSS et KEV sur les CVE de votre parc.