TLDR : une mesure parmi d'autres, qui alimente l'évaluation du risque
Je considère les vulnérabilités avant tout comme des bogues. Ces bogues doivent être inventoriés et je trouve pratique qu'il y ait un référentiel global qui soit un peu sorti du rang. Et en tant que RSSI, je suis effectivement particulièrement sensible aux bogues exploitables par une personne mal intentionnée (ce qui est ma définition d'une vulnérabilité, sans doute peu orthodoxe).
Le référentiel des CVE est pratique, mais c'est surtout l'évaluation du risque de la vulnérabilité qui m'intéresse. Et le CVSS m'aide à effectuer la mesure de ce risque : la vulnérabilité est-elle facile à exploiter, et quelle est son impact sur mon entreprise.
Par contre, je ne suis ni chercheur en sécurité informatique, ni même spécialiste de manière détaillée de chaque vulnérabilité. J'ai besoin de faire confiance à des spécialistes pour m'aider à évaluer la facilité d'exploitation de la vulnérabilité, et je pars du postulat que le CVSS est une mesure faite par des spécialistes.
Mais je recoupe cette mesure avec beaucoup d'autres : l'ANSSI alerte sur le niveau d'exploitation d'une vulnérabilité, les clubs de RSSI aussi, même les réseaux sociaux quand on suit les bonnes personnes. Par exemple, j'aurai beaucoup plus confiance dans l'alerte sur un bogue DNS analysé par un certain Stéphane Bortzmeyer sur Mastodon, qu'un CVSS perdu dans la masse grandissante des alertes.
Mon problème le plus important est qu'une fois que j'ai "mon" évaluation du risque du CVE, il n'est pas facile d'imposer l'urgence de la mise en place du correctif à l'équipe en charge de la production, surtout si cette mise en place entraîne un arrêt de production, voire un risque sur la production (quand bien même nous suivons les règles env dev/recette/pré-prod/prod).
# Utilisation pragmatique
Posté par Zythom . En réponse au journal En sécurité informatique, que valent les identificateurs CVE et les évaluations CVSS ?. Évalué à 7. Dernière modification le 07 septembre 2023 à 11:17.
TLDR : une mesure parmi d'autres, qui alimente l'évaluation du risque
Je considère les vulnérabilités avant tout comme des bogues. Ces bogues doivent être inventoriés et je trouve pratique qu'il y ait un référentiel global qui soit un peu sorti du rang. Et en tant que RSSI, je suis effectivement particulièrement sensible aux bogues exploitables par une personne mal intentionnée (ce qui est ma définition d'une vulnérabilité, sans doute peu orthodoxe).
Le référentiel des CVE est pratique, mais c'est surtout l'évaluation du risque de la vulnérabilité qui m'intéresse. Et le CVSS m'aide à effectuer la mesure de ce risque : la vulnérabilité est-elle facile à exploiter, et quelle est son impact sur mon entreprise.
Par contre, je ne suis ni chercheur en sécurité informatique, ni même spécialiste de manière détaillée de chaque vulnérabilité. J'ai besoin de faire confiance à des spécialistes pour m'aider à évaluer la facilité d'exploitation de la vulnérabilité, et je pars du postulat que le CVSS est une mesure faite par des spécialistes.
Mais je recoupe cette mesure avec beaucoup d'autres : l'ANSSI alerte sur le niveau d'exploitation d'une vulnérabilité, les clubs de RSSI aussi, même les réseaux sociaux quand on suit les bonnes personnes. Par exemple, j'aurai beaucoup plus confiance dans l'alerte sur un bogue DNS analysé par un certain Stéphane Bortzmeyer sur Mastodon, qu'un CVSS perdu dans la masse grandissante des alertes.
Mon problème le plus important est qu'une fois que j'ai "mon" évaluation du risque du CVE, il n'est pas facile d'imposer l'urgence de la mise en place du correctif à l'équipe en charge de la production, surtout si cette mise en place entraîne un arrêt de production, voire un risque sur la production (quand bien même nous suivons les règles env dev/recette/pré-prod/prod).
Mais cela, c'est un autre problème.