CVSS (Common Vulnerability Scoring System)

Vous êtes confronté à un trop grand nombre de vulnérabilités pour pouvoir toutes les corriger. 

Le NIST a récemment indiqué qu'en 2024, il avait reçu 32 % de soumissions de vulnérabilités de plus que l'année précédente, une tendance qui devrait également se confirmer en 2025. 

Les CVE (Common Vulnerabilities and Exposures) ont augmenté de manière similaire (20 %) en 2024. À la fin du mois de mai 2025, la base de données nationale des CVE en comptait plus de 280 000.

Face à une telle quantité, il est tout simplement impossible pour vos équipes de s'attaquer à toutes les vulnérabilités. La bonne nouvelle, c'est qu'elles n'ont pas réellement besoin de le faire. 

Ce qu'il vous faut, c'est un moyen de concentrer vos efforts sur l'essentiel. 

C'est là que le système de notation CVSS entre en jeu.

Le score CVSS (Common Vulnerability Scoring System) évalue la sévérité technique d'une vulnérabilité.

Défini par le FIRST, la méthode CVSS permet d'attribuer à chaque vulnérabilité un score compris entre 0 et 10, grâce à une combinaison d'indicateurs d'exploitabilité et d'impact. Ces scores aident les équipes à prioriser et à communiquer le risque.

Le score CVSS est intégré dans la plupart des scanners de vulnérabilités, des avis de menace et des workflows de gestion des correctifs. Il offre aux équipes de sécurité une méthode cohérente pour comparer les vulnérabilités entre les systèmes et les fournisseurs. 

Pourtant, si le score CVSS est un outil fondamental, il est loin d'être suffisant à lui seul.

Le score CVSS ne vous indique pas les vulnérabilités réellement exploitables dans votre environnement. Il ne tient pas compte du risque business. Et il ne s'adapte pas non plus au comportement des attaquants. 

C'est pourquoi Tenable utilise le score CVSS comme un point de départ qu'il associe ensuite à un classement VPR (Vulnerability Priority Rating), des signaux de menace en temps réel, la contextualisation des identités cloud et une évaluation unifiée grâce à Tenable One.

Voyons comment fonctionne le score CVSS, quelles sont ses lacunes et comment l'utiliser dans le cadre d'une approche plus intelligente et basée sur le risque de la gestion des vulnérabilités.

Les scores CVSS utilisent une formule standardisée d'indicateurs : basiques, temporels et environnementaux.

Indicateurs de base

Caractéristiques des vulnérabilités inhérentes :

• Vecteur d'attaque (VA)
  • Un attaquant peut-il exploiter la vulnérabilité sur un réseau, localement ou physiquement ? 
  • Les failles à distance (VA : N) présentent un score plus élevé.
• Complexité d'attaque (CA)
  • L'exploit requiert-il des anomalies de configuration, un timing particulier ou des états de système inhabituels ?
• Privilèges requis (PR)
  • De quel(s) accès un attaquant a-t-il besoin pour pouvoir exploiter la vulnérabilité ?
• Interaction avec l'utilisateur (IU)
  • L'attaque nécessite-t-elle que l'utilisateur clique sur un lien, ouvre un fichier ou entreprenne d'autres actions ?
• Portée (P)
  • La vulnérabilité affecte-t-elle uniquement la composante ou a-t-elle un impact intersectoriel ?
• Impact (I)
  • Mesure la perte de confidentialité, d'intégrité et de disponibilité.

Indicateurs temporels

Ils ajustent le score en fonction du paysage actuel des exploits :

• Maturité du code d'exploit
  • Existe-t-il un code d'exploit public ?
• Niveau de remédiation
  • Un correctif est-il disponible ?
• Confiance vis-à-vis des rapports
  • La vulnérabilité est-elle bien vérifiée ?

Indicateurs environnementaux

Ils vous permettent de modifier les scores en fonction de votre environnement :

• Exigences en matière de sécurité
  • Quelle est l'importance de la confidentialité, de l'intégrité et de la disponibilité pour votre entreprise ?
• Indicateurs de base modifiés
  • Utilisez-les lorsque les contrôles ou les mesures d'atténuation permettent de réduire la sévérité.

Tranches de sévérité

Les scores CVSS se répartissent ensuite entre ces tranches de sévérité :

• Aucune (0)
• Faible (0,1-3,9)
• Moyenne (4,0-6,9)
• Élevée (7,0-8,9)
• Critique (9,0-10)

Vous voulez savoir comment CVSS s'intègre dans un programme moderne de gestion des vulnérabilités ? Découvrez Tenable Vulnerability Management, notre solution qui associe l'évaluation statique à la priorisation automatisée.

Le score CVSS fournit un langage commun pour décrire la sévérité. Il aide les équipes de sécurité à trier, les équipes chargées de l'infrastructure à prioriser et les dirigeants à comprendre ce qui est critique. Du moins, en théorie.

Lorsque tout le monde travaille à partir du même score, vous pouvez :

• Automatiser les seuils de correctifs
• Définir des accords SLA en fonction des niveaux de sévérité
• Standardiser les dashboards et les rapports
• Aligner les équipes de remédiation autour de définitions communes du risque

Mais la sévérité n'est pas synonyme de risque. Le score CVSS ne vous indique pas :

• Si un attaquant est susceptible d'exploiter une vulnérabilité dans votre environnement
• Si celle-ci affecte vos assets les plus sensibles
• Si celle-ci est activement utilisée par des attaquants

C'est là que le classement VPR (Vulnerability Priority Rating) change la donne.

Si le score CVSS vous indique le niveau de sévérité possible d'une vulnérabilité, la priorisation basée sur le risque vous indique quelle vulnérabilité corriger en priorité. Cette distinction est cruciale.

Tenable utilise le score CVSS comme base de référence, puis y ajoute le classement VPR pour vous aider à répondre aux questions suivantes :

• Des attaquants exploitent-ils cette vulnérabilité en environnement réel ?
• Celle-ci expose-t-elle des systèmes critiques de l'entreprise ?
• Est-elle accessible de l'extérieur ?
• Un attaquant pourrait-il l'utiliser dans le cadre d'une élévation de privilèges ou d'un mouvement latéral ?

Le classement VPR de Tenable comprend les éléments suivants :

• Disponibilité et activité de l'exploit d'après des sources concrètes
• Threat intelligence et cartographie du comportement des attaquants
• Criticité des assets en fonction de leur importance pour l'entreprise
• Chemins d'exposition, notamment utilisation abusive des identités et risque lié à la configuration cloud
• Exemple : 
  • Le score CVSS de cette vulnérabilité est de 9,8. En se basant uniquement sur ce score CVSS, on pourrait penser qu'il faut remédier immédiatement à cette vulnérabilité. 
  • De son côté, le classement VPR indique que cette vulnérabilité affecte un serveur de test interne ne contenant aucune donnée utilisateur, ce qui limite son impact si un attaquant l'exploite. D'un coup, cette vulnérabilité présentant un score CVSS de 9,8 ne semble plus si urgente.
  • En parallèle, le classement VPR signale une vulnérabilité avec un score CVSS inférieur, mais comme cette dernière se trouve sur une charge de travail publique liée aux dossiers des clients et que des attaquants la scannent activement, elle devient prioritaire par rapport à la vulnérabilité présentant le score CVSS plus élevé.

C'est la valeur des méthodes de priorisation et d'évaluation basées sur le risque, et la raison pour laquelle vous ne devez pas utiliser le score CVSS de manière isolée.

Découvrez comment le classement VPR (Vulnerability Priority Rating) de Tenable s'appuie sur le score CVSS pour prendre en compte l'exploitabilité, le comportement des attaquants et l'importance des assets.

Dans les environnements cloud modernes, le score CVSS seul peut être dangereusement trompeur. 

Les assets cloud sont dynamiques. Les charges de travail apparaissent et disparaissent fréquemment. Un conteneur qui disparaît en 10 minutes ne présente pas le même risque qu'un serveur de base de données persistant.

Les chemins d'attaque dépendent des identités. Une vulnérabilité de sévérité moyenne sur un asset associé à un rôle doté de privilèges élevés peut être plus dangereuse qu'une vulnérabilité de sévérité élevée sur un endpoint isolé.

Les mauvaises configurations amplifient l'exposition, en particulier dans le cloud.

Le score CVSS ne tient pas compte :

• Des mauvaises configurations propres au cloud
• Des identités surexposées
• De l'accessibilité du réseau et des mouvements latéraux
• Des assets éphémères qui exposent temporairement des données de grande valeur

C'est là que Tenable Cloud Security ajoute un contexte essentiel. Il intègre le score CVSS à la posture cloud en temps réel, afin que vous puissiez :

• Visualiser les vulnérabilités avec des expositions externes
• Comprendre les identités qui peuvent y accéder
• Détecter les risques en chaîne dans l'infrastructure cloud et sur site

Le score CVSS vous indique seulement que « cette faille est critique ».

Tenable vous précise que « cette faille critique est exposée publiquement et exploitable, de plus, elle est liée aux informations d'authentification de l'administrateur ».

C'est celui-ci que l'on doit corriger en priorité.

Tenable Cloud Security fait le lien entre le score CVSS, les mauvaises configurations dans le cloud et le risque IAM. Sécurisez votre surface d'attaque cloud grâce à une contextualisation en continu.

Le score CVSS n'est qu'une pièce du puzzle de la priorisation des vulnérabilités. Voyons ce qui le différencie des autres modèles courants.

EPSS (Exploit Prediction Scoring System)

Le score EPSS estime la probabilité qu'un attaquant exploite une vulnérabilité dans les 30 prochains jours. l s'agit d'une méthode probabiliste et non fondée sur la sévérité.

• Atouts : Comportement des attaquants et modélisation statistique
• Lacunes : ne reflète pas l'impact business ni le contexte environnemental
• Fonctionnement avec le score CVSS : à combiner. Le score CVSS indique le degré de sévérité, et le score EPSS indique le degré de probabilité.

Une vulnérabilité présentant un score CVSS de 6,8 et une probabilité EPSS de 94 % est probablement plus urgente qu'une vulnérabilité de 9,8 qu'un attaquant n'a jamais exploitée.

CVE (Common Vulnerabilities and Exposures)

Une CVE est un identifiant, pas un score. Il vous aide à suivre une vulnérabilité spécifique entre les différents outils, fournisseurs et avis.

• Atouts : suivi et documentation cohérents
• Lacunes : n'apporte aucune indication sur le risque
• Fonctionnement avec le score CVSS : associer la CVE (identifiant de la vulnérabilité) au score CVSS (degré de sévérité)

Score de risque OWASP

Utilisé principalement pour la sécurité des applications, le modèle OWASP est plus manuel et subjectif. Il évalue la détectabilité, la facilité d'exploitation et l'impact, ce qui est excellent pour la modélisation, mais moins pour la priorisation à grande échelle.

Alors, que faut-il utiliser ?

L'association du score CVSS, du classement VPR, du score EPSS et de la contextualisation des assets vous offre une image plus complète du risque. 

Tenable One utilise ce modèle en intégrant la sévérité, la probabilité, l'impact business et l'exposition dans une vue unique et priorisée.

La gestion des vulnérabilités commence par l'identification, mais ne s'arrête pas là. 

Une fois que votre outil de scan a trouvé une vulnérabilité, il vous faut un moyen d'évaluer sa sévérité et de la prioriser pour savoir quelle réponse apporter. 

C'est là que l'évaluation des vulnérabilités joue un rôle central.

Le score CVSS incarne depuis longtemps l'épine dorsale de l'évaluation des vulnérabilités. Il offre à vos équipes un moyen cohérent d'attribuer des niveaux de sévérité en fonction de l'exploitabilité et de l'impact. Il alimente les dashboards, les accords SLA des correctifs, les règles d'élévation et les plans de remédiation.

Mais la gestion moderne des vulnérabilités ne se limite pas à la sévérité technique :

• Vous devez savoir si des attaquants exploitent une vulnérabilité dans un environnement réel.
• Vous devez déterminer si elle affecte les systèmes critiques de l'entreprise ou si elle expose des données sensibles.
• Vous devez aligner les mesures de remédiation sur le risque réel, et non sur des scores théoriques.

C'est pourquoi Tenable intègre le score CVSS dans une approche plus large de gestion des vulnérabilités basée sur le risque. 

En combinant le score CVSS avec le classement VPR, et en étendant l'évaluation avec Tenable One, vous pouvez arrêter de traquer les scores CVSS élevés afin d'agir concrètement sur les vulnérabilités exploitables, exposées et significatives.

L'évaluation des vulnérabilités reste une composante essentielle, mais s'intègre désormais à un système dynamique qui s'adapte au comportement des attaquants et aux besoins de l'entreprise.

L'évaluation des vulnérabilités est utile, mais si vous ne comprenez pas le rôle que jouent les vulnérabilités dans votre exposition, vous ne résoudrez qu'une partie du problème.

La gestion de l'exposition au risque cyber examine l'ensemble des risques évitables (vulnérabilités, mauvaises configurations, autorisations excessives) afin d'identifier les chemins d'attaque que les attaquants pourraient exploiter pour causer le plus de dommages, que ce soit sous la forme d'une perturbation de l'activité ou d'une exfiltration de données sensibles.

La gestion de l'exposition permet également d'identifier et de limiter les conditions qui affaiblissent votre posture de sécurité. Ces conditions englobent les vulnérabilités, ainsi que :

• Les services cloud mal configurés
• Les identités dotées d'autorisations excessives
• Les assets externes non sécurisés
• Les ports ouverts, les certificats expirés, les API oubliées

Dans ce contexte, le score CVSS fournit la sévérité de base d'une vulnérabilité, mais Tenable complète cette approche en intégrant le score à un cadre plus large de gestion de l'exposition en continu. 

C'est là que Tenable One fait le lien entre le risque lié à une vulnérabilité et votre exposition réelle.

Voici un exemple concret :

• Une vulnérabilité dont le score CVSS est de 5,5 peut être ignorée de manière isolée, mais si elle est liée à un système exposé à Internet avec des contrôles IAM faibles, Tenable One la signale comme présentant un risque élevé.
• À l'inverse, un score CVSS de 9,8 peut ne pas créer d'exposition significative pour votre entreprise, et vous pouvez donc être en mesure de reléguer cette vulnérabilité au second plan à moins que le contexte de la menace ne change.

Cette intégration du score à l'exposure intelligence vous offre les avantages suivants :

• Axer la remédiation sur les vulnérabilités qui créent des chemins d'attaque à haut risque
• Visualiser comment les failles techniques s'entrecroisent avec le risque lié aux identités et la posture réseau
• Mesurer et rendre compte des réductions du risque réel de la surface d'attaque, plutôt que de répertorier les scores CVSS

Lorsque le score est intégré à la gestion de l'exposition, il cesse d'être un chiffre pour devenir un signal qui incite à l'action.

De nombreux cadres de conformité s'appuient sur CVSS pour définir et appliquer les exigences en matière de gestion des vulnérabilités, mais les organismes de réglementation ne l'appliquent pas tous de la même façon.

Exemples d'utilisation de CVSS en matière de conformité :

• La norme PCI DSS v4.0 exige la remédiation des vulnérabilités ayant un score CVSS de 7,0 ou plus dans un délai défini.
• La loi HIPAA n'exige pas de réponse aux vulnérabilités présentant un score CVSS spécifique dans un délai précis, mais les évaluations du risque utilisant CVSS sont largement acceptées comme faisant partie du programme de sécurité d'une entité concernée.
• Les normes NIST 800-53 et NIST Cybersecurity Framework établissent une correspondance entre les contrôles et les seuils CVSS pour le suivi des vulnérabilités et les mesures de remédiation.
• La norme ISO/IEC 27001 reconnaît le score CVSS comme un outil d'évaluation du risque dans l'annexe A.12.6.1 (gestion des vulnérabilités techniques).

Les auditeurs utilisent le score CVSS pour :

• Vérifier que vous avez trié les vulnérabilités et agi en fonction des seuils définis
• Confirmer que des accords SLA sont en place pour les scores élevés/critiques
• Vérifier que vous respectez et suivez les délais de remédiation
• Prendre en charge la documentation des contrôles compensatoires ou des acceptations du risque pour les problèmes non résolus

Exemple : Un audit trimestriel peut exiger la preuve que vous avez corrigé la plupart des vulnérabilités présentant un score CVSS supérieur à 7,0 dans un délai de 30 jours, ou que vous acceptez formellement le risque.

En associant le score CVSS aux signaux de criticité et d'exploitabilité des assets dans Tenable One, vous pouvez également justifier des exceptions basées sur le risque qui répondent aux objectifs de conformité même lorsqu'il n'est pas possible d'apporter une remédiation parfaite.

Le score CVSS rend la conformité défendable. Tenable permet de la mettre en œuvre.

Bien que de nombreuses entreprises ont recours au système CVSS, elles ont souvent du mal à l'utiliser efficacement. C'est particulièrement vrai pour les grandes entreprises dont les surfaces d'attaque sont complexes et qui disposent de plusieurs équipes IT, sécurité et conformité. 

Mais même les petites entreprises sont confrontées à des problèmes similaires.

Voici cinq défis courants liés à la mise en œuvre du score CVSS et comment les relever :

1. Incohérences d'évaluation entre les outils

Problème : Différents scanners peuvent attribuer différents scores CVSS ou vecteurs pour la même vulnérabilité, ce qui empêche les équipes de savoir à quel score elles doivent se fier.

Solution : Standardiser l'évaluation dans votre environnement en utilisant un seul flux fiable (par exemple la NVD [National Vulnerability Database]) et valider les chaînes de vecteurs. Le modèle de données unifié utilisé par Tenable permet d'éviter les divergences en consolidant les résultats obtenus à l'aide d'outils et dans des environnements différents.

2. Dépendance excessive vis-à-vis de CVSS pour la priorisation

Problème : Le score CVSS est une mesure de la sévérité, et non de l'exploitabilité, de l'accessibilité ou de l'impact business. Les équipes qui ne corrigent que les vulnérabilités ayant un score CVSS élevé passent souvent à côté du risque réel.

Solution : Utiliser les signaux de risque dynamiques de Tenable One, tels que le classement VPR, les données d'exploitation et la criticité des assets. Combiner le score CVSS avec la probabilité et le contexte d'exposition pour vous concentrer sur l'essentiel.

3. Indicateurs environnementaux négligés

Problème : De nombreuses entreprises ne personnalisent pas le score CVSS pour refléter leurs propres priorités en matière de sécurité, ce qui conduit à une priorisation imprécise.

Solution : Établir des politiques d'évaluation liées à votre environnement. Par exemple, si la disponibilité est critique (comme dans le secteur de la santé), augmentez sa pondération dans votre formule CVSS personnalisée. Tenable vous permet d'automatiser les ajustements de score.

4. Équipes cloisonnées et outils fragmentés

Problème : Sans logique d'évaluation ni visibilité communes, les équipes chargées de la sécurité, de l'infrastructure et de la conformité travaillent de manière cloisonnée. La priorisation est subjective ou fait double emploi.

Solution : Centraliser la visibilité grâce à Tenable One. La solution fournit des dashboards et des alertes qui intègrent le score CVSS, mais ne s'arrête pas à ce seul élement. Elle inclut par exemple des signaux sur lesquels toutes les équipes peuvent agir : exposition dans le cloud, chemins d'accès aux identités, risque de mouvement latéral, etc.

5. La mise à l'échelle du score CVSS nécessite une contextualisation

Dans les environnements d'entreprise, le score CVSS devient redoutablement efficace lorsqu'il est associé aux éléments suivants :

• Threat intelligence et prédiction des exploits
• IA et analytises pour réduire les faux positifs
• Évaluation de l'impact business
• Valeur des assets et contexte du cloud en temps réel

Tenable offre tout cela, transformant l'évaluation statique en un moteur de priorisation dynamique basé sur le risque.

Tenable One associe les bases fournies par CVSS à des signaux concrets, des informations sur les assets et le contexte métier pour créer un modèle d'évaluation unifié conçu pour prioriser ce qui est réellement important pour votre entreprise.

Pourquoi le score CVSS statique est-il insuffisant ?

• Il traite tous les environnements de la même manière
• Il ne connaît pas les systèmes publiquement exposés
• Il ne tient pas compte de l'exploitabilité réelle d'une vulnérabilité par des attaquants
• Il ne tient pas compte de la valeur des assets, des niveaux de privilèges et des chemins d'attaque

Le score CVSS indique : « Cette vulnérabilité représente un problème sévère sur le plan technique. »

Tenable One demande : « Cette vulnérabilité est-elle sévère sur le plan technique, exploitable, exposée et critique pour l'entreprise ? Et quelle est l'immédiateté de la menace ? »

L'évaluation dans Tenable One englobe les éléments suivants :

Exemple d'évaluation : la priorisation en action.

Supposons que vous détectiez 120 vulnérabilités dans votre environnement AWS :

• 45 d'entre elles présentent un score CVSS compris entre 7,0 et 9,8
• Tenable One en signale 22 comme étant à haut risque sur la base de signaux concrets
• Seules sept d'entre elles concernent vos charges de travail les plus sensibles ou vos identités cloud les plus exposées

Tenable One vous permet de :

• Vous concentrer sur les sept vulnérabilités qui créent réellement un risque
• Réduire la fatigue liée aux alertes et le retard dans l'application des correctifs
• Aligner les mesures de remédiation sur les véritables préoccupations de votre équipe dirigeante : la perte de revenus et l'atteinte à la réputation

Tenable One ne remplace pas le score CVSS. Il l'améliore, en permettant notamment de prendre des décisions en fonction du contexte, et pas seulement de scores isolés.

Êtes-vous prêt à aller au-delà de l'évaluation statique ? Bénéficiez d'une vue unifiée grâce à Tenable One et priorisez les vulnérabilités en fonction de l'exposition, de l'exploitabilité et de l'impact sur votre entreprise.

Qu'est-ce qu'un score CVSS ?

Un score CVSS est une note comprise entre 0 et 10 qui reflète la sévérité technique d'une vulnérabilité logicielle sur la base d'indicateurs standardisés.

Le score CVSS est-il synonyme de risque ?

Non. Le score CVSS indique la sévérité, mais aucunement la probabilité ni l'impact sur l'entreprise. Le risque dépend de l'exploitabilité, de l'exposition et du contexte.

Quelle est la différence entre les scores CVSS et EPSS ?

 CVSS mesure la sévérité d'une vulnérabilité. EPSS estime la probabilité qu'un attaquant l'exploite dans les 30 prochains jours. Utiliser les deux méthodes permet d'obtenir une meilleure priorisation.

Puis-je personnaliser les scores CVSS ?

Oui. Vous pouvez appliquer des indicateurs environnementaux pour tenir compte de l'importance et des contrôles compensatoires propres à votre environnement.

Le score CVSS diffère-t-il d'un outil à l'autre ?

Oui, c'est une possibilité. L'interprétation des vecteurs CVSS est subjective. Examinez toujours la chaîne complète de vecteurs, et pas seulement le score.

Le score CVSS est-il accepté dans les audits de conformité ?

Oui. Le score CVSS est reconnu par les normes PCI DSS, NIST, ISO 27001 et de nombreux autres cadres. Les équipes l'utilisent souvent pour définir les accords SLA des correctifs et les seuils de risque.

Puis-je utiliser le score CVSS dans les workflows DevSecOps ?

Tout à fait.Vous pouvez utiliser le score CVSS dans les pipelines CI/CD pour bloquer des builds, déclencher une remédiation automatisée ou appliquer des accords SLA.

Quelle est la dernière version du CVSS ?

Le FIRST a publié la version 4.0 du CVSS en 2023. Celle-ci offre une plus grande granularité et une meilleure prise en charge de l'automatisation. Les entreprises utilisent encore largement la version 3.1 du CVSS.

Où puis-je calculer un score CVSS ?

Utilisez le calculateur CVSS officiel pour introduire les valeurs de base, temporelles et environnementales.

Qu'est-ce qu'une évaluation CVSS ?

Une évaluation CVSS consiste à appliquer les indicateurs CVSS à une vulnérabilité connue afin de calculer son score de sévérité, que vous pouvez utiliser à des fins de tri ou de conformité.

Qu'est-ce que la certification CVSS ?

Il n'existe pas de certification CVSS officielle, mais de nombreuses certifications et formations en matière de sécurité (par exemple le CISSP [Certified Information Systems Security Professional]) peuvent inclure le score CVSS dans le cadre de la formation à l'analyse des vulnérabilités.

Qu'est-ce qu'un test CVSS ?

Un test CVSS consiste généralement à tester la manière dont les équipes évaluent ou confirment une vulnérabilité. Il peut également s'agir d'utiliser un calculateur CVSS pour simuler l'impact potentiel.

Qu'est-ce qu'une vulnérabilité CVSS ?

Une vulnérabilité CVSS est une vulnérabilité rendue publique, analysée et notée à l'aide du cadre CVSS, généralement avec un identifiant CVE.

CVE et CVSS : quelle est la différence ?

Une CVE est un identifiant qui permet de suivre une vulnérabilité spécifique. Le score CVSS est le système de notation qui évalue la sévérité d'une vulnérabilité.

Le score CVSS est un point de départ essentiel, mais pas la réponse finale.

Il permet de mesurer la sévérité des vulnérabilités de manière cohérente sur l'ensemble des systèmes, d'une façon qui est compréhensible par tous, indépendamment de l'expertise technique.

Cependant, les surfaces d'attaque modernes, englobant le cloud, les identités, l'OT et les assets éphémères, nécessitent un modèle d'évaluation adaptable. Un modèle qui visualise l'exposition, et non uniquement l'impact théorique. Un modèle qui priorise en fonction du risque business, et non d'un chiffre sur une échelle. 

C'est ce que propose Tenable One.

Le score CVSS vous indique le degré de sévérité possible d'une vulnérabilité. Tenable One vous indique laquelle corriger en premier.