Qu'est-ce que le CVSS (Common Vulnerability Scoring System) ?
Le CVSS (Common Vulnerability Scoring System) est le standard international qui note la gravité d'une vulnérabilité sur une échelle de 0 à 10. Il combine le vecteur d'attaque, la complexité d'exploitation et l'impact sur la confidentialité, l'intégrité et la disponibilité, pour objectiver le risque et prioriser les corrections.
Comment fonctionne le score CVSS ?
Le CVSS évalue trois métriques : le vecteur d'attaque (réseau, adjacent, local, physique), la complexité de l'exploitation et l'impact sur la confidentialité, l'intégrité et la disponibilité. La version actuelle (CVSS v3.1) est maintenue par FIRST.
Échelle de sévérité CVSS
- Critique (9.0–10.0) : exploitation triviale, impact maximal — correction immédiate.
- Haute (7.0–8.9) : exploitation probable, impact significatif.
- Moyenne (4.0–6.9) : exploitation conditionnée, impact modéré.
- Basse (0.1–3.9) : exploitation difficile ou impact limité.
CVSS dans un rapport de pentest
Chez Laucked, chaque finding du rapport de pentest est classé avec un score CVSS v3.1 accompagné du vecteur complet. Cela permet aux équipes techniques de prioriser les corrections et aux dirigeants de mesurer le risque résiduel de manière objective.
Limites du CVSS
Le CVSS ne tient pas compte du contexte métier. Une faille à score moyen peut avoir un impact critique si elle touche un flux de paiement ou des données de santé. C'est pourquoi le pentest complète le scoring par une analyse d'impact contextuelle.
Exemple concret : IDOR sur une API REST
Une API REST expose GET /api/invoices/:id sans contrôle que l'ID appartient à l'utilisateur authentifié. Un client peut lire les factures des autres tenants.
Vecteur CVSS v3.1 : AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N → score 6.5 (Moyen).
Mais si ces factures contiennent des données de santé ou des coordonnées bancaires, l'analyse d'impact contextuelle du rapport Laucked requalifie le risque en Critique pour la direction, indépendamment du score brut.
CVSS v3.1 vs CVSS v4.0
La version 4.0 du CVSS (novembre 2023) introduit plusieurs améliorations majeures :
- Nouvelles métriques Supplemental : Safety, Automatable, Recovery — utile pour l'IoT/OT et le secteur santé
- Environmental metrics enrichies : meilleure prise en compte du contexte métier
- Threat metrics intégrées : probabilité d'exploitation (exploit code maturity, remediation level)
- Vecteurs attackés → Attack Requirements : plus fin que l'ancien Attack Complexity
En 2026, les rapports Laucked utilisent v3.1 par défaut pour compatibilité client (la plupart des outils SAST/DAST, SIEM et plateformes d'assurance cyber lisent encore v3.1), avec le score v4.0 fourni en complément sur demande.
FAQ CVSS
Un score CVSS Critique (9+) doit-il toujours être corrigé en priorité ?
Oui, sauf si la faille est non-atteignable dans votre contexte (réseau interne isolé, feature flag désactivé). Le pentest confirme l'atteignabilité avant de trancher.
Les assureurs cyber exigent-ils un score CVSS dans le rapport ?
Pas formellement, mais ils exigent une priorisation objective. CVSS est le standard de fait pour toutes les polices récentes (Axa, Hiscox, Beazley, Stoïk).
Peut-on contester un score CVSS attribué par un pentester ?
Oui. Le vecteur CVSS est transparent et reproductible. Si le contexte métier inverse le scoring, c'est documenté dans la section Impact du rapport.
CVSS s'applique-t-il aux failles de logique métier ?
Imparfaitement. Le CVSS est conçu pour des vulnérabilités techniques. Pour une faille de logique (race condition métier, workflow contourné), le score doit être ajusté avec le contexte — ce que Laucked fait systématiquement.