Quel est le meilleur système pour noter les faiblesses des logiciels en tenant compte du contexte de l’organisme, ses exigences et son domaine d’activité ?

[A] CWE

[B] CVSS

[C] CWSS

[D] CWRAF


reponse linkedin

CBK6 Q07 LINK


La liste CWE (Common Weakness Enumeration) est une liste d’informations concernant les faiblesses dans la conception ou dans l’architecture d’une application. Contrairement aux CVE, les CWE font un focus sur la cause des problèmes des applications et donc sur leurs faiblesses. Ces faiblesses pourront donner lieu, en production, à une éventuelle exploitation entrainant ainsi une vulnérabilité de l’application. Attention donc à ne pas confondre une vulnérabilité (identifiée par un identifiant CVE) et une faiblesse (identifiée par un identifiant CWE). Une faiblesse est la cause d’une vulnérabilité ou si vous préférez une vulnérabilité est la conséquence d’une faiblesse. Et s’il y a des faiblesses dans la conception ou le développement d’une application et bien un attaquant pourra les exploiter lorsque l’application sera en production. Une application est donc potentiellement vulnérable si elle comporte des faiblesses dans son code ou dans sa conception. Pour résumé on peut dire qu’une vulnérabilité se caractérise par le fait que l’on puisse exploiter une ou plusieurs faiblesses dans une application. La liste CWE de MITRE constitue un catalogue des faiblesses potentielles des applications. A ce jour la dernière liste CWE publiée par MITRE (octobre 2021) est la version 4.9 et comprend 933 faiblesses. Le terme CWE fait référence à une faiblesse particulière (identifiant CWE-xxx) ou à liste complète des faiblesses (CWE List). Ce n’est pas une méthodologie. CWE est un système pour identifier les faiblesses, pas pour les noter. Ce n’est donc pas la réponse à la question.

CVSS (Common Vulnerability Scoring System) est un système d’évaluation de la criticité des vulnérabilités logicielles créé en 2005 par FIRST (Forum of Incident Response and Security Teams). On parle ici de vulnérabilités et non pas de faiblesses. Cela ne peut donc pas être la réponse à notre question.

Dans le même esprit que le CVSS pour les vulnérabilités, MITRE a développé en 2011 un système de scoring de la criticité des faiblesses. Ce système s’appelle CWSS (Common Weakness Scoring System). Son objectif est de permettre aux développeurs de prioriser les faiblesses afin de se concentrer sur les plus critiques. Alors malgré le fait qu’un scoring CWSS prenne en compte le contexte il reste cependant très générique et ne permet pas de prendre en compte véritablement le contexte spécifique de l’organisme et notamment la criticité de ses données ou de ses exigences en matière CID.

Et c’est pour pallier à ce problème, que MITRE propose également le framework CWRAF (Common Weakness Risk Analysis Framework). CWRAF permet de mieux noter les faiblesses suivant les besoins de l’organisation. CWRAF permet ainsi aux organismes de personnaliser les priorités des faiblesses afin de pouvoir créer leur propre liste de CWE prioritaires.

La bonne réponse est la proposition [D] CWRAF


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE