Scores CVSS
Le score CVSS reflète l'impact d'une vulnérabilité sur la sécurité globale. Il s'agit d'un score composite qui reflète les mesures de trois catégories distinctes : De base, Temporelle et Environnementale.
Le score est calculé en fonction des informations (par exemple des valeurs) qui sont disponibles pour une ou plusieurs de ces mesures. Plus le nombre d'informations disponible dans chaque mesure est élevé, plus le score CVSS est ciblé. Dans AppScan Enterprise, les valeurs de chaque mesure sont mappées avec les attributs d'un problème (vulnérabilité en matière de sécurité) ou avec l'application dans laquelle le problème a été détecté. Ces attributs ne peuvent pas être supprimés ni modifiés dans AppScan Enterprise ; toutefois, vous pouvez modifier leurs valeurs.
| Groupe d'indicateurs | Nom de la mesure | Attribut de problème ou d'application | Définition requise pour calculer le score CVSS | Description de la mesure |
|---|---|---|---|---|
| Base | Vecteur d'accès | Problème | Oui | Indique si la vulnérabilité est exploitable en local uniquement, mais aussi à partir de réseaux adjacents ou d'une connexion réseau ("exploitable à distance"). |
| Complexité de l'accès | Problème | Oui | Difficulté impliquée dans l'exploitation de cette vulnérabilité. | |
| Authentification | Problème | Oui | Nombre de fois qu'un agresseur informatique doit s'authentifier sur une cible afin d'exploiter la vulnérabilité. | |
| Impact sur la confidentialité | Problème | Oui | Impact sur la confidentialité si cette vulnérabilité est correctement exploitée. | |
| Impact sur l'intégrité | Problème | Oui | Etendue des risques pour l'intégrité du système (précision des informations fournies par l'application) si cette vulnérabilité est exploitée avec succès. | |
| Impact sur la disponibilité | Problème | Oui | Impact sur la disponibilité des ressources d'information si cette vulnérabilité est correctement exploitée. | |
| Temporelle | Possibilité d'exploitation | Problème | Non* | Etat actuel des techniques d'exploitation ou de la vulnérabilité du code. |
| Niveau de résolution | Problème | Non* | Niveau de résolution disponible pour se protéger de la vulnérabilité. | |
| Niveau de fiabilité du rapport | Problème | Non* | Degré de fiabilité dans l'existence et les détails techniques de la vulnérabilité. | |
| Environnementale Ces mesures contribuent également à l'évaluation de la gravité générale de l'application. |
Dommage collatéral potentiel | Application | Non* | Dommage ou vol potentiel si l'application est vulnérable. |
| Distribution cible | Application | Non* | Proportion de systèmes dans l'environnement qui sont des cibles potentielles. | |
| Exigence de disponibilité | Application | Non* | Importance relative de la disponibilité des informations. | |
| Exigence de confidentialité | Application | Non* | Importance relative de la confidentialité des informations utilisateur. | |
| Exigence d'intégrité | Application | Non* | Importance relative de l'intégrité ou de la précision des informations. |
- * La définition de ces attributs n'est pas obligatoire, mais plus le nombre de mesures définies pour décrire le problème est élevé, plus le score CVSS est ciblé.
- Tout attribut facultatif qui n'est pas défini n'est pas inclus dans le calcul du score CVSS.
- Le score CVSS ne peut pas être calculé si un attribut requis n'est pas défini. Dans ce cas, la gravité du problème est catégorisée comme Undetermined.