LAUCKED
ConnexionDemander un diagnostic
← Blog/17 avril 20265 min de lecture

Score CVSS : comprendre la notation des vulnérabilités

Le CVSS (Common Vulnerability Scoring System) est le standard international de notation des vulnérabilités informatiques. Utilisé par les pentesters, les éditeurs et les équipes sécurité, il attribue un score de 0 à 10 à chaque faille découverte pour objectiver sa sévérité et prioriser les corrections.

R
Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

17 avril 2026·5 min de lecture·Fondateurs·LinkedIn

Comment fonctionne le score CVSS ?

Le CVSS évalue trois métriques : le vecteur d’attaque (réseau, adjacent, local, physique), la complexité de l’exploitation et l’impact sur la confidentialité, l’intégrité et la disponibilité. La version actuelle (CVSS v3.1) est maintenue par FIRST.

Échelle de sévérité CVSS

  • Critique (9.0–10.0) : exploitation triviale, impact maximal — correction immédiate.
  • Haute (7.0–8.9) : exploitation probable, impact significatif.
  • Moyenne (4.0–6.9) : exploitation conditionnée, impact modéré.
  • Basse (0.1–3.9) : exploitation difficile ou impact limité.

CVSS dans un rapport de pentest

Chez Laucked, chaque finding du rapport de pentest est classé avec un score CVSS v3.1 accompagné du vecteur complet. Cela permet aux équipes techniques de prioriser les corrections et aux dirigeants de mesurer le risque résiduel de manière objective.

Limites du CVSS

Le CVSS ne tient pas compte du contexte métier. Une faille à score moyen peut avoir un impact critique si elle touche un flux de paiement ou des données de santé. C’est pourquoi le pentest complète le scoring par une analyse d’impact contextuelle.

Exemple concret : IDOR sur une API REST

Une API REST expose GET /api/invoices/:id sans contrôle que l'ID appartient à l'utilisateur authentifié. Un client peut lire les factures des autres tenants.

Vecteur CVSS v3.1 : AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N → score 6.5 (Moyen).

Mais si ces factures contiennent des données de santé ou des coordonnées bancaires, l'analyse d'impact contextuelle du rapport Laucked requalifie le risque en Critique pour la direction, indépendamment du score brut.

CVSS v3.1 vs CVSS v4.0

La version 4.0 du CVSS (novembre 2023) introduit plusieurs améliorations majeures :

  • Nouvelles métriques Supplemental : Safety, Automatable, Recovery — utile pour l'IoT/OT et le secteur santé
  • Environmental metrics enrichies : meilleure prise en compte du contexte métier
  • Threat metrics intégrées : probabilité d'exploitation (exploit code maturity, remediation level)
  • Vecteurs attackés → Attack Requirements : plus fin que l'ancien Attack Complexity

En 2026, les rapports Laucked utilisent v3.1 par défaut pour compatibilité client (la plupart des outils SAST/DAST, SIEM et plateformes d'assurance cyber lisent encore v3.1), avec le score v4.0 fourni en complément sur demande.

FAQ CVSS

Un score CVSS Critique (9+) doit-il toujours être corrigé en priorité ?

Oui, sauf si la faille est non-atteignable dans votre contexte (réseau interne isolé, feature flag désactivé). Le pentest confirme l'atteignabilité avant de trancher.

Les assureurs cyber exigent-ils un score CVSS dans le rapport ?

Pas formellement, mais ils exigent une priorisation objective. CVSS est le standard de fait pour toutes les polices récentes (Axa, Hiscox, Beazley, Stoïk).

Peut-on contester un score CVSS attribué par un pentester ?

Oui. Le vecteur CVSS est transparent et reproductible. Si le contexte métier inverse le scoring, c'est documenté dans la section Impact du rapport.

CVSS s'applique-t-il aux failles de logique métier ?

Imparfaitement. Le CVSS est conçu pour des vulnérabilités techniques. Pour une faille de logique (race condition métier, workflow contourné), le score doit être ajusté avec le contexte — ce que Laucked fait systématiquement.

Articles liés

  • → OWASP Top 10 2021 — les 10 risques web les plus critiques
  • → IDOR — la faille d'autorisation la plus courante en SaaS
  • → Injection SQL — comprendre et prévenir cette vulnérabilité critique
  • → Rapport de pentest — exemple complet et guide de lecture
  • → Déroulement & livrables d'un pentest Laucked

Besoin d'un pentest ?

Chez Laucked, nous testons vos applications web, API et intégrations sensibles avec une méthodologie OWASP/PTES. Diagnostic de surface gratuit, rapport sous 48-72h.

Demander un diagnostic gratuit
LAUCKED

Diagnostic de surface, pentest expert et Guard pour les PME exposées au web, aux API et aux intégrations sensibles.

Bât. Gamma, 11 Bd Déodat de Séverac

31770 Colomiers (Toulouse)

+33 7 43 58 07 38
6 certifications et qualifications →

Produit

  • Pentest PME
  • Pentest Toulouse
  • Pentest Lyon
  • Pentest Bordeaux
  • Pentest Marseille
  • Pentest Montpellier
  • Pentest Nantes
  • Conformité
  • Méthodologie
  • Tarifs
  • Sécurité

Ressources

  • Blog
  • Références
  • Presse
  • Changelog
  • Statut

Entreprise

  • Pourquoi Laucked
  • Centre de confiance
  • Auteur
  • Contact
© 2026 Laucked. Tous droits réservés.
Politique de confidentialitéConditions d'utilisationAddendum de traitement des données