Vulnérabilité

Une vulnérabilité est une faiblesse qui pourrait être exploitée ou déclenchée par une source de menace dans les contrôles internes, les procédures de sécurité des systèmes, un système d'information ou sa mise en œuvre. Une faiblesse est synonyme de carence et peut entraîner des risques pour la sécurité, la confidentialité, ou les deux.

En termes de cybersécurité, une vulnérabilité est une faille de sécurité présente dans un système d'exploitation, un logiciel système ou un composant logiciel d'application. Chaque vulnérabilité peut potentiellement compromettre le système ou le réseau si elle est exploitée.

Il existe plusieurs bases de données de vulnérabilités accessibles au public, parfois basées sur les numéros de version des logiciels. Common Vulnerabilities and Exposures (CVE) est un moyen courant d'énumérer les vulnérabilités de sécurité informatique connues du public, géré par la société MITRE.

Les identifiants CVE attribuent à chaque vulnérabilité un nom ou numéro unique. Le Common Vulnerability Scoring System (CVSS) est une norme industrielle ouverte, détenue et gérée par FIRST.Org, Inc. (FIRST), une organisation à but non lucratif basée aux États-Unis.

CVSS 3.1 identifie la gravité d'une vulnérabilité selon les métriques suivantes :

Métriques de base

• Vecteur d'accès (quel accès est requis : local, réseau adjacent, réseau, physique)
• Complexité d'accès (facilité ou difficulté d'exploitation)
• Privilèges requis (niveau de privilèges qu'un attaquant doit posséder avant de pouvoir exploiter la vulnérabilité avec succès)
• Interaction de l'utilisateur (si l'attaquant a besoin d'un autre utilisateur ou d'un processus initié par l'utilisateur pour exploiter la vulnérabilité)

Indicateurs d'impact

• Portée (si une vulnérabilité dans un composant affecte des ressources au-delà de son périmètre de sécurité)
• Confidentialité (la confidentialité des données est-elle impactée)
• Intégrité (quel est l'impact sur l'intégrité du système)
• Disponibilité (le système restera-t-il pleinement fonctionnel, connaîtra-t-il une baisse de performance ou de capacités, ou deviendra-t-il indisponible)

Une faille peut résulter d'une mauvaise conception ou d'erreurs d'implémentation, et entraîner des fonctionnalités non prévues. Il existe également des métriques temporelles (maturité du code d'exploitation, niveau de remédiation et niveau de confiance du rapport) et des métriques environnementales (métriques de base modifiées et exigences de confidentialité, d'intégrité et de disponibilité).

La Common Weakness Enumeration (CWE) est une liste de faiblesses logicielles et matérielles ayant des répercussions sur la sécurité. La gravité des faiblesses est évaluée à l'aide du Common Weakness Scoring System (CWSS™) et du Common Weakness Risk Analysis Framework (CWRAF™), sur la base des résultats de base, de la surface d'attaque et de métriques environnementales. Un attaquant peut exploiter des vulnérabilités, des faiblesses ou des erreurs d'utilisateur individuellement ou les combiner pour mener une attaque. Ces métriques aident les équipes d'intervention et les professionnels de la cybersécurité à déterminer le niveau de menace d'une vulnérabilité et la meilleure façon d'y remédier.