La CVSS, ou Common Vulnerability Scoring System (Système Commun de Notation des Vulnérabilités), est un cadre ouvert et standardisé pour évaluer la gravité des vulnérabilités de sécurité informatique.
La CVSS attribue à chaque vulnérabilité un score numérique (allant de 0 à 10) qui reflète sa sévérité, ce qui aide les organisations à prioriser la réponse et le traitement des vulnérabilités en fonction de leur potentiel d'impact sur la sécurité.
Le score CVSS est basé sur plusieurs métriques qui sont regroupées en trois catégories principales :
1. Base Metrics (Metriques de Base): Évaluent les caractéristiques intrinsèques de la vulnérabilité qui sont constantes dans le temps et les environnements utilisateurs. Ces métriques incluent l'accès nécessaire pour exploiter la vulnérabilité, la complexité de l'attaque, les privilèges requis, l'interaction de l'utilisateur, la portée de l'impact et l'impact lui-même (sur la confidentialité, l'intégrité et la disponibilité).
2. Temporal Metrics (Métriques Temporelles): Prend en compte les facteurs qui changent au fil du temps mais qui ne dépendent pas de l'environnement utilisateur spécifique. Elles incluent la disponibilité d'exploits, le niveau de correctifs et la confiance dans l'origine des rapports de vulnérabilité.
3. Environmental Metrics (Métriques Environnementales): S'ajustent pour refléter l'importance de la vulnérabilité dans l'environnement particulier de chaque organisation. Cela peut inclure la criticité des actifs affectés, la présence de mesures de mitigation, et la façon dont la vulnérabilité affecte spécifiquement l'organisation.
Le score final donne aux équipes de sécurité une évaluation normalisée de la sévérité des vulnérabilités, facilitant ainsi la prise de décisions concernant les mesures de sécurité à mettre en place pour atténuer les risques. La CVSS est maintenue par le Forum of Incident Response and Security Teams (FIRST).