Vulability

Une vulnérabilité est une faiblesse qui pourrait être exploitée ou déclenchée par une source de menace dans les contrôles internes, les procédures de sécurité des systèmes, un système d'information ou sa mise en œuvre. Une faiblesse est synonyme de carence et peut entraîner des risques pour la sécurité, la confidentialité ou les deux.

En termes de cybersécurité, une vulnérabilité est une faille de sécurité présente dans un système d'exploitation, un logiciel système ou un composant logiciel d'application. Chaque vulnérabilité peut potentiellement compromettre le système ou le réseau si elle est exploitée.

Il existe plusieurs bases de données de vulnérabilités accessibles au public, parfois basées sur les numéros de version des logiciels. Vulnérabilités et expositions courantes (CVE) est un moyen courant d'énumérer les vulnérabilités de sécurité informatique connues du public, géré par la société MITRE.

Les identifiants CVE attribuent à chaque vulnérabilité un nom ou un numéro unique. Le Système commun de notation des vulnérabilités (CVSS) est une norme industrielle ouverte, détenue et gérée par First.org, Inc. (FIRST), une organisation à but non lucratif basée aux États-Unis.

Le CVSS 3.1 identifie la gravité d'une vulnérabilité selon les métriques suivantes :

Basic Mtriques

• Vecteur d'accès (quel accès est requis : local, réseau adjacent, réseau, physique)
• Complexité d'accès (facilité ou difficulté d'exploitation)
• Privilèges requis (niveau de privilèges qu'un attaquant doit posséder avant de pouvoir exploiter la vulnérabilité avec succès)
• Interaction de l'utilisateur (si l'attaquant a besoin d'un autre utilisateur ou d'un processus initié par l'utilisateur pour exploiter la vulnérabilité)

Indicateurs d'impact

• Portée (si une vulnérabilité dans un composant affecte des ressources au-delà de son périmètre de sécurité)
• Privacy (the confidentiality of data is impactée)
• Integrity (quel est l'impact sur l'intégrité du système)
• Disponibilité (le système restera-t-il pleinement fonctionnel, connaîtra-t-il une baisse de performance ou de capacités, ou deviendra-t-il indisponible)

Une faille peut résulter d'une mauvaise conception ou d'erreurs d'implémentation, et entraîner des fonctionnalités non prévues. Il existe également des métriques temporelles (maturité du code d'exploitation, niveau de remédiation et niveau de confiance du rapport) et des métriques environnementales (métriques de base modifiées et exigences de confidentialité, d'intégrité et de disponibilité).

La Énumération des points faibles courants (CWE) est une liste de faiblesses logicielles et matérielles ayant des répercussions sur la sécurité. La gravité des faiblesses est évaluée à l'aide du Système de notation des faiblesses communes (CWSS™) et du Cadre d'analyse des risques de faiblesse commune (CWRAF™), sur la base des résultats de base, de la surface d'attaque et de métriques environnementales. Un attaquant peut exploiter des vulnérabilités, des faiblesses ou des erreurs d'utilisateur individuellement ou les combiner pour mener une attaque. Ces métriques aident les équipes d'intervention et les professionnels de la cybersécurité à déterminer le niveau de menace d'une vulnérabilité et la meilleure façon d'y remédier.