CVSS (Common Vulnerability Scoring System) est un système d’évaluation standardisé de la criticité des vulnérabilités logicielles selon des critères objectifs et mesurables. Dans quel groupe trouve t-on les métriques utilisées dans la notation CVSS qui permettent de prendre en compte le contexte spécifique de l’organisme utilisateur du logiciel vulnérable ?

[A] Métriques personnalisables

[B] Métriques temporelles

[C] Métriques environnementales

[D] Métriques de base


reponse linkedin

CBK6 Q05 LINK


Une évaluation CVSS complète s’effectue par 3 mesures sur des groupes de métriques différents : les métriques de base, les métriques temporelles et les métriques environnementales. Chaque groupe de métriques permet de calculer une note. Une notation complète comprend ainsi un score de base, un score temporel et un score environnemental.

Une évaluation CVSS prend toujours en compte le groupe des métriques de base alors que les métriques temporelles et  environnementales sont optionnelles. Le score de base permet d’évaluer de manière générique, la criticité d’une vulnérabilité. C’est ce score qui est le plus couramment utilisé, notamment par les éditeurs de logiciels lors de la publication de leur 1er bulletin de sécurité concernant une vulnérabilité.

Les métriques temporelles permettent de tenir compte du cycle de vie de la vulnérabilité comme par exemple la disponibilité d’un correctif ou d’un code d’exploitation.

Enfin les métriques environnementales permettent de prendre en compte les spécificités de l’environnement pour ajuster la note CVSS au contexte de l’organisme. Dans ce groupe, on prend notamment en compte les exigences en matière de sécurité de l’organisme sur les 3 critères CID et selon 3 niveaux : faible, modéré ou élevé.

La bonne réponse est donc la proposition [C] Métriques environnementales

Le schéma ci-dessous (issu de l’excellente formation CISSP de Verisafe) présente les 3 groupes de métriques du système CVSS v3.1 de FIRST :

CBK6 Q05 CVSS

 


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE