CVSS (Common Vulnerability Scoring System)
Définition
Système de notation standardisé qui attribue un score de 0 à 10 à chaque vulnérabilité selon des critères objectifs : vecteur d'attaque, complexité, privilèges requis, impact CIA. Le score guide la priorisation des correctifs.
Pourquoi c'est important
Le CVSS est l'outil de priorisation des vulnérabilités le plus répandu. Savoir le calculer et l'interpréter est essentiel pour tout analyste ou administrateur sécurité.
Comment l'enseigner
Faites calculer le score CVSS de plusieurs vulnérabilités avec le calculateur officiel (first.org/cvss). Montrez que deux vulnérabilités de même score peuvent avoir des profils très différents.
Idée d'exercice
Exercice de priorisation : 10 vulnérabilités avec leurs métriques CVSS brutes. Les étudiants calculent les scores, priorisent les patchs et justifient leur ordre en tenant compte du contexte.
Erreur courante en formation
Se fier uniquement au score CVSS de base sans considérer le contexte (exposition, criticité du système, exploits disponibles) : le score environnemental est souvent plus pertinent.
Questions fréquentes
Qu'est-ce que le CVSS (Common Vulnerability Scoring System) en cybersécurité ?
Système de notation standardisé qui attribue un score de 0 à 10 à chaque vulnérabilité selon des critères objectifs : vecteur d'attaque, complexité, privilèges requis, impact CIA. Le score guide la priorisation des correctifs.
Comment enseigner le CVSS (Common Vulnerability Scoring System) à des étudiants ?
Faites calculer le score CVSS de plusieurs vulnérabilités avec le calculateur officiel (first.org/cvss). Montrez que deux vulnérabilités de même score peuvent avoir des profils très différents. Exercice de priorisation : 10 vulnérabilités avec leurs métriques CVSS brutes. Les étudiants calculent les scores, priorisent les patchs et justifient leur ordre en tenant compte du contexte.
Pourquoi CVSS (Common Vulnerability Scoring System) est-il important en formation cybersécurité ?
Le CVSS est l'outil de priorisation des vulnérabilités le plus répandu. Savoir le calculer et l'interpréter est essentiel pour tout analyste ou administrateur sécurité.