CVSS 4.0 : visibilité et sécurité accrues

Bien le bonjour à tous les membres de la communauté de Devolutions! Ici Mathieu Morrissette de l’équipe de sécurité. Je fais actuellement partie de nos départements dédiés au secure coding et aux mesures de red team.

Aujourd’hui, nous examinerons ensemble les diverses améliorations qu’introduit la toute dernière version de la norme_ Common Vulnerability Scoring System_ (CVSS v.4.0). Je traiterai principalement de la précision, de la flexibilité et de la granularité des processus d’évaluation de la sévérité des vulnérabilités. Je mettrai également en lumière l’effect de ces améliorations sur nos pratiques en matière de sécurité.

À propos de CVSS

CVSS est une norme qui fait autorité dans le domaine des TI et qui sert à évaluer la sévérité des vulnérabilités. Pour faciliter le processus d’évaluation, nous avons recours au calculateur offert à l’adresse : https://www.first.org/cvss/calculator/3.1.

Chez Devolutions, nous utilisons CVSS 3.1 depuis un certain temps, et nous sommes ravis que FIRST (Forum of Incident Response and Security Teams) ait ouvert la version 4.0 au public à des fins de testage. Elle représente une amélioration considérable par rapport à ses versions précédentes, du fait de ses capacités renforcées d’évaluation des vulnérabilités. Une présentation détaillée de CVSS 4.0 est consultable à l’adresse : https://www.first.org/cvss/v4-0/.

Avis de sécurité, évaluation de sécurité et MITRE CNA

Dans quelques instants, nous vous ferons part de nos impressions de la version 4.0 et jetterons quelque lumière sur les nouveaux indices et valeurs susceptibles d’améliorer notre processus d’évaluation des vulnérabilités. Mais il convient avant cela de détailler les trois piliers de notre programme de sécurité, à savoir : nos avis de sécurité, nos processus d’évaluation de sécurité et notre statut de MITRE CNA.

• Les avis de sécurité : Dans le cadre de notre politique de transparence et afin de protéger votre environnement numérique, nous publions fréquemment des avis de sécurité sur notre site Web (à l’adresse : https://devolutions.net/fr/security/advisories/). Ces derniers ne servent pas qu’à vous mettre en garde vis-à-vis des vulnérabilités qui pourraient affecter nos produits. En effet, il y figurent également des instructions expliquant comment se procurer la dernière version non affectée.
• Évaluation de sécurité : Il se peut que vous vous posiez des questions quant à nos méthodes de détection des vulnérabilités. Eh bien sachez qu’elles consistent en une batterie de tests rigoureux de pénétration internes et externes conduite par des professionnels hautement qualifiés à l’occasion de nos fréquentes évaluations. Qui plus est, nous avons mis sur pieds un programme en collaboration avec la plateforme YesWeHack promettant des récompenses à qui déniche la moindre faille dans nos solutions parmi les membres de notre communauté internationale.
• MITRE CNA : En tant que MITRE CNA certifié (Common Vulnerabilities and Exposures Numbering Auhority), Devolutions joue un rôle crucial dans la sphère de la gestion des vulnérabilités. L’entreprise participe ainsi à l’amélioration des meilleures pratiques en matière de sécurité. Lorsqu’une vulnérabilité nous est signalée, nous travaillons diligemment avec le signaleur afin d’assurer une gestion et une évaluation des risques appropriées. L’une de nos nombreuses responsabilités consiste à archiver et à publier l’historique CVE, qui fonctionne comme une base de données centralisée permettant l’identification et le suivi des vulnérabilités. Nous vous invitons d’ailleurs à visiter le site Web de CVE afin de découvrir les tenants et aboutissants de cette ressource capitale.

Notre opinion de la version 4.0 de CVSS

La version 4.0 de CVSS offre une vaste gamme d’améliorations qui faciliteront grandement nos capacités d’évaluation des vulnérabilités, lesquelles vous seront ensuite communiquées dans les avis de sécurité sur notre site Web. Les changements apportés à CVSS sur le plan de la précision, de la flexibilité et de la granularité nous aideront à fournir des informations précises et utiles à nos utilisateurs. Détaillons maintenant ensemble les changements importants qu’apporte cette nouvelle version, et découvrons leurs effets sur le processus d’évaluation des vulnérabilités.

• Indice UI : L’indice d’interaction avec les utilisateurs (UI, de l’anglais User Interaction), qui comprend les catégories Passive (P) et Active (A), sert à jauger le degré d’interaction nécessaire pour qu’une vulnérabilité soit exploitable par un utilisateur. Ce classement nous permet de rédiger des avis de sécurité adaptés afin d’aiguiller correctement nos utilisateurs vers des mesures adéquates de protection contre les vulnérabilités exploitables passivement et activement.
• Indice AT : Le nouvel indice de conditions d’attaque (AT, de l’anglais Attack Requirements) explicite la complexité et les obstacles que doit surmonter un attaquant afin d’exploiter une faille. En évaluant adéquatement les conditions nécessaires à l’exploitation de chaque vulnérabilité, nous pouvons y remédier plus facilement en plus d’offrir des conseils pratiques à nos utilisateurs.
• Indice PU : L’indice d’urgence du fournisseur (PU, de l’anglais Provider Urgency) nous intéresse tout particulièrement. Cet indice fait état de l’urgence telle que communiquée par les fournisseurs de services d’évaluation de vulnérabilités, ce qui nous permet de traiter d’abord les failles les plus problématiques et de recommander des délais de réponse raisonnables.

Bien que l’ajout de nouveaux indices complexifie quelque peu la communication, nous avons confiance en nos capacités d’adaptation et croyons fermement que la qualité des évaluations qui en résulteront sera grandement améliorée.

Nous attendons le lancement de la version 4.0 de CVSS avec impatience. Les améliorations qu’elle contient correspondent parfaitement avec notre objectif, à savoir de fournir des informations fiables et pratiques à nos utilisateurs. De plus, nous estimons que les conseils qui découleront des nouveaux indices serviront à bonifier nos pratiques de gestion des vulnérabilités et à renforcer la sécurité de nos utilisateurs.

Le commentaire de notre directeur de la sécurité, Martin Lemay

En tant que directeur de la sécurité chez Devolutions, je suis agréablement surpris des améliorations apportées à la version 4.0 de CVSS, la précision étant très importante pour la validité d’un système d’évaluation des vulnérabilités. Grâce à ce dernier, la fiabilité de nos pratiques en matière de sécurité se verra décuplée et les vulnérabilités plus facilement identifiables. En somme, ces changements nous semblent très prometteurs, et notre équipe se sent prête à les adopter, si tant est qu’ils soient approuvés par les acteurs importants du domaine.