CVSS et FAIR sont deux méthodes complémentaires pour évaluer les risques cyber, mais elles répondent à des questions différentes. Le CVSS attribue un score de sévérité aux vulnérabilités (de 0 à 10). La méthode FAIR quantifie le risque en termes financiers (en euros). Le CVSS parle aux équipes techniques, FAIR parle à la direction.
Comprendre leurs différences permet de choisir la bonne approche — ou de les combiner — pour piloter efficacement sa posture de sécurité.
Le CVSS : noter la sévérité des vulnérabilités
Qu'est-ce que le CVSS ?
Le CVSS (Common Vulnerability Scoring System) est un standard international de notation des vulnérabilités, maintenu par le FIRST (Forum of Incident Response and Security Teams). Il attribue à chaque vulnérabilité un score de 0 à 10 basé sur ses caractéristiques techniques.
| Score CVSS | Niveau | Exemple d'action |
|---|---|---|
| 9,0 – 10,0 | Critique | Correction immédiate |
| 7,0 – 8,9 | Élevé | Correction sous 7 jours |
| 4,0 – 6,9 | Moyen | Correction planifiée |
| 0,1 – 3,9 | Faible | Surveillance |
CVSS 4.0 : les évolutions clés
La version 4.0 du CVSS, publiée fin 2023, introduit quatre types de scores pour mieux contextualiser la sévérité :
- CVSS-B — score de base (caractéristiques intrinsèques de la vulnérabilité)
- CVSS-BT — base + menace (la vulnérabilité est-elle activement exploitée ?)
- CVSS-BE — base + environnement (quel impact dans votre contexte spécifique ?)
- CVSS-BTE — score complet intégrant les trois dimensions
Cette évolution rapproche le CVSS d'une évaluation contextuelle, mais il reste fondamentalement un score technique.
Forces et limites du CVSS
Forces :
- Standard reconnu mondialement — langage commun entre les équipes de sécurité
- Intégré nativement dans les scanners de vulnérabilités et les bases CVE
- Permet de catégoriser et hiérarchiser rapidement un grand volume de vulnérabilités
Limites :
- Ne mesure pas le risque réel pour une organisation donnée — seulement la sévérité intrinsèque
- Ne prend pas en compte la criticité métier de l'actif concerné
- Ne quantifie pas l'impact financier d'une exploitation
Selon le Rapport CAASM 2024 du CESIN et OverSOC, 64,3 % des professionnels de la sécurité placent le contexte métier en tête des facteurs de priorisation, devant le score technique. Le CVSS est une brique nécessaire mais insuffisante.
EPSS : le complément essentiel du CVSS
Le score EPSS (Exploit Prediction Scoring System), également maintenu par le FIRST, estime la probabilité qu'une vulnérabilité soit exploitée dans les 30 prochains jours. Il complète le CVSS en ajoutant la dimension d'exploitabilité. Pour un guide complet sur la combinaison CVSS + EPSS + contexte métier, consultez notre article sur la priorisation des vulnérabilités.
La méthode FAIR : quantifier le risque en euros
Qu'est-ce que FAIR ?
FAIR (Factor Analysis of Information Risk) est un modèle d'analyse quantitative des risques cyber qui exprime le risque en termes financiers. Développé par Jack Jones et soutenu par le FAIR Institute, il est considéré comme pionnier dans la quantification financière des risques de sécurité.
Là où le CVSS répond à « quelle est la gravité de cette vulnérabilité ? », FAIR répond à « combien cette menace pourrait-elle coûter à l'organisation ? ».
Comment fonctionne FAIR ?
FAIR est une méthode probabiliste qui décompose le risque en deux facteurs :
- La fréquence probable des pertes — combien de fois un scénario est susceptible de se produire
- L'ampleur probable des pertes — quel serait l'impact financier
Exemple concret : une organisation estime qu'un sinistre X pourrait survenir une fois tous les 10 ans, avec une perte estimée à 2 millions d'euros. La perte annualisée probable est de 200 000 €. Cette quantification permet de comparer le coût du risque au coût de la protection.
Les pertes sont déclinées en six catégories : pertes de production, coût de la réponse à incident, amendes réglementaires, perte de réputation, coûts juridiques et pertes de compétitivité.
Forces et limites de FAIR
Forces :
- Traduit les risques cyber en langage financier compréhensible par la direction
- Permet de comparer des risques hétérogènes sur une échelle commune (euros)
- Aide à justifier les investissements en sécurité par le ROI
- Pousse à se concentrer sur les scénarios les plus probables plutôt que sur l'exhaustivité
Limites :
- Nécessite la collecte de nombreuses données (techniques et financières) auprès de multiples équipes
- Peut être longue à mettre en œuvre — l'analyse d'un scénario complet demande un effort significatif
- Produit des estimations probabilistes, pas des prédictions — la qualité du résultat dépend de la qualité des données d'entrée
CVSS vs FAIR : comparaison
| Critère | CVSS | FAIR |
|---|---|---|
| Nature | Score de sévérité technique | Quantification financière du risque |
| Échelle | 0 à 10 | Montant en euros (perte annualisée) |
| Public cible | Équipes SecOps, analystes | RSSI, direction, comité des risques |
| Granularité | Par vulnérabilité | Par scénario de risque |
| Contexte métier | Limité (CVSS 4.0 l'améliore) | Central (criticité de l'actif, impact business) |
| Mise en œuvre | Automatisée (intégrée aux scanners) | Manuelle (collecte de données, ateliers) |
| Temps de déploiement | Immédiat | Plusieurs semaines par scénario |
Quand utiliser CVSS ?
- Pour la gestion opérationnelle des vulnérabilités au quotidien
- Pour trier et prioriser un grand volume de failles remontées par les scans
- Pour alimenter les processus de patch management
- En combinaison avec l'EPSS pour une priorisation basée sur l'exploitabilité
Quand utiliser FAIR ?
- Pour présenter les risques cyber à la direction dans un langage business
- Pour justifier un investissement en sécurité par le retour sur investissement
- Pour comparer des scénarios de risques différents sur une échelle commune
- Pour alimenter la gouvernance des risques et les comités d'audit
Peut-on les combiner ?
Oui, et c'est l'approche la plus mature. Le CVSS sert de filtre initial pour identifier les vulnérabilités les plus sévères. FAIR intervient ensuite pour quantifier l'impact financier des scénarios de risque les plus critiques. Cette combinaison permet de parler le même langage que les équipes techniques (CVSS) et la direction (FAIR).
Le rôle de la cartographie dans la quantification des risques
Les deux méthodes gagnent en précision quand elles sont alimentées par une connaissance exhaustive du SI. Le Rapport CAASM 2024 du CESIN montre que :
- 57 % seulement des organisations connaissent le niveau de criticité de leurs actifs
- 73,9 % ne disposent pas d'un outil de réconciliation de leurs sources IT et cyber
- Les informations de criticité sont souvent stockées dans des tableurs Excel (45 %), difficilement exploitables
« Le sujet CAASM dépasse le scope de ce que fait un RSSI, c'est un sujet qui touche la sécurité, mais aussi l'infra. Pour réussir à cartographier son SI, il faut nécessairement aller à la rencontre des métiers. » — Ghislain Banville, RSSI Opérationnel, Naval Group (Rapport CAASM 2024, CESIN/OverSOC)
OverView fournit la donnée de base nécessaire aux deux approches : inventaire des actifs, criticité métier, vulnérabilités associées, exposition. En centralisant ces informations, la plateforme permet à la fois une priorisation CVSS/EPSS opérationnelle et une alimentation fiable des analyses FAIR.
FAQ
FAIR remplace-t-il le CVSS ?
Non. FAIR et CVSS opèrent à des niveaux différents. Le CVSS est un outil de triage technique des vulnérabilités. FAIR est un outil de gouvernance des risques. Une organisation mature utilise les deux : CVSS pour le patch management quotidien, FAIR pour les décisions stratégiques d'investissement.
FAIR est-il adapté aux PME ?
FAIR peut être simplifié pour les PME en se concentrant sur 3 à 5 scénarios de risque probables, sans chercher l'exhaustivité. Sa mise en œuvre reste toutefois plus exigeante que le CVSS en termes de données et de compétences. Pour les PME, une priorisation combinant CVSS + EPSS + contexte métier (sans analyse financière formelle) est souvent suffisante et déjà un progrès significatif.
Existe-t-il d'autres méthodes que FAIR et CVSS ?
Oui. FAIR et CVSS sont les plus répandues, mais d'autres approches existent. L'EBIOS Risk Manager, promue par l'ANSSI, est la méthode de référence en France pour l'analyse de risques. La méthode OCTAVE, développée par le CERT/CC de Carnegie Mellon, se concentre sur les risques organisationnels. Chaque méthode a ses forces : EBIOS pour la conformité réglementaire française, FAIR pour le dialogue financier avec la direction, CVSS pour le triage opérationnel quotidien.
Comment débuter avec la quantification des risques ?
Commencez par maîtriser votre base : un inventaire des actifs à jour, une connaissance de leur criticité métier, et un processus de gestion des vulnérabilités avec priorisation CVSS/EPSS. Une fois cette base en place, vous pouvez progressivement introduire FAIR sur les scénarios de risque les plus critiques pour enrichir le dialogue avec la direction.
Ce qu'il faut retenir
- CVSS note la sévérité technique des vulnérabilités (0-10). FAIR quantifie le risque en euros. Les deux sont complémentaires.
- Le CVSS est l'outil du quotidien pour les équipes SecOps. FAIR est l'outil de gouvernance pour la direction.
- Les deux méthodes gagnent en précision avec une cartographie exhaustive du SI — inventaire des actifs, criticité métier, exposition.
- L'approche la plus mature combine CVSS + EPSS pour le triage opérationnel et FAIR pour la justification des investissements.
Vous voulez voir comment OverView peut alimenter votre démarche de quantification des risques ? Demandez une démo ou testez le simulateur pour évaluer votre couverture actuelle.