AccueilGlossaire › CVSS (Common Vulnerability Scoring System)

CVSS (Common Vulnerability Scoring System)

Sécurité

Standard de scoring quantitatif des vulnérabilités de 0.0 à 10.0.

Le CVSS (Common Vulnerability Scoring System) est le standard ouvert maintenu par FIRST.org pour évaluer quantitativement la sévérité technique des vulnérabilités de sécurité. Il fournit un score numérique entre 0.0 et 10.0 et une chaîne vectorielle décrivant les caractéristiques de la vulnérabilité, permettant à toute organisation de prioriser ses remediations sur une base objective et comparable.

Versions : (1) CVSS v2 (2007) — déprécié ; (2) CVSS v3.0/v3.1 (2015/2019) — encore le plus utilisé en 2024-2025 ; (3) CVSS v4.0 (novembre 2023) — nouvelle version avec améliorations majeures (Threat metrics, Environmental metrics étoffées, score pour les vulns IoT/OT, support de chaînes d'exploitation).

Metric Groups (CVSS v3.1) : (1) Base — caractéristiques intrinsèques immuables de la vuln (Attack Vector : Network/Adjacent/Local/Physical, Attack Complexity, Privileges Required, User Interaction, Scope, Confidentiality/Integrity/Availability Impact) ; (2) Temporal — caractéristiques évoluant dans le temps (Exploit Code Maturity, Remediation Level, Report Confidence) ; (3) Environmental — ajustement selon l'environnement spécifique (Modified Base + CIA Requirements).

Qualitative Severity Rating : 0.0 None, 0.1-3.9 Low, 4.0-6.9 Medium, 7.0-8.9 High, 9.0-10.0 Critical.

Limitations du CVSS Base score seul : (1) ne prend pas en compte l'exploitation réelle (un 9.8 jamais exploité vs un 7.5 dans CISA KEV — le 7.5 est plus urgent) ; (2) ne reflète pas le contexte de l'asset (un 7.5 sur un serveur isolé interne vs sur un load balancer Internet exposé) ; (3) inflation des scores (60% des CVE 2023 sont High/Critical, diluant la priorisation).

Best practice : combiner CVSS + EPSS (probabilité exploit) + KEV (exploit confirmé) + contexte asset (criticité, exposition) + threat intelligence pour une priorisation efficace. C'est la base des programmes Vulnerability Management modernes (Tenable Vulnerability Priority Rating, Qualys TruRisk, Rapid7 Real Risk Score, Wiz Risk Score s'appuient sur ces signaux).

Certifications qui couvrent ce concept
CySA+ Security+ CISSP CISM
Termes liés
EPSS (Exploit Prediction Scoring System) CISA KEV (Known Exploited Vulnerabilities) Zero-Day (0-Day Vulnerability) Pen Test (Penetration Testing)

Préparez vos certifications IT gratuitement

200+ certifications, 400 000+ questions, examens blancs chronométrés.

Voir le catalogue →
← Retour au glossaire