La gestion des vulnérabilités et la quantification des risques de cybersécurité constituent des piliers permettant d’améliorer la posture de sécurité de toute organisation. Il existe à ce jour différentes méthodes pour mieux appréhender les risques cyber, mais deux d’entre elles reviennent régulièrement : le système de notation CVSS, relatif à la gestion des vulnérabilités, et la méthode FAIR pour l’analyse des risques cyber. Dans quels cas utiliser plutôt l’une ou l’autre méthode ? Quels sont les avantages et les inconvénients de chaque méthode ? Quelles sont les différences entre la notation CVSS et la méthode FAIR ?
Qu’est-ce que le standard CVSS ?
Que signifie CVSS ?
CVSS est un système de notation des vulnérabilités. Il correspond à « Common Vulnerability Scoring System ». Il s’agit d’un standard international de notation des failles de sécurité, établi par le FIRST (Forum of Incident Response and Security Teams), une association américaine dont les travaux sont reconnus à l’échelle mondiale.
Le FIRST a produit différentes versions du CVSS, la plus récente étant la version 4.0 (sortie à la fin de l’année 2023).
Comment est calculé le score CVSS ?
Le score CVSS correspond à une note entre 0 et 10. Plus le score attribué à une vulnérabilité est élevé, plus celle-ci est considérée comme critique. La note CVSS (version 4.0) est élaborée à partir de quatre groupes de métriques (composants) :
• « Base Metric » (score de base)
• « Threat Metric » (métrique de menace)
• « Environmental Metric » (données caractérisant l’environnement spécifique à chaque organisation)
• « Supplemental Metric » (valeurs n’ayant pas d’impact sur le score CVSS mais permettant à l’organisation d’effectuer une analyse de risques plus poussée)
Chaque groupe est composé de différents attributs.
L’une des grandes nouveautés de la version CVSS 4.0 est d’introduire 4 types de scores :
• CVSS-B : le score de base
• CVSS-BT : le score de base auquel sont ajoutés des éléments relatifs aux menaces
• CVSS-BE : le score de base auquel sont ajoutés des éléments de contexte
• CVSS-BTE : le score total (score de base auquel sont ajoutés des éléments relatifs aux menaces et au contexte)
Comment est utilisé le score CVSS et quels sont ses avantages pour la cybersécurité ?
Le système de notation CVSS est un cadre normalisé permettant d’évaluer les caractéristiques et la gravité des failles de sécurité d’un système informatique. Simple à mettre en œuvre, cette méthode a pour principal avantage d’attribuer un score reconnu et partagé par l’ensemble des professionnels de la sécurité de l’information, en particulier par les équipes travaillant spécifiquement à la gestion des vulnérabilités.
Les notes attribuées permettent aux équipes de sécurité de concentrer leur attention et leurs ressources sur la correction des vulnérabilités les plus graves. En aidant les équipes à catégoriser, hiérarchiser et prioriser les vulnérabilités à corriger, l’utilisation des scores CVSS participe pleinement au processus de remédiation.
Qu’est-ce que le standard FAIR ?
Qu'est-ce que la méthode FAIR ?
FAIR correspond à « Factor Analysis of Information Risk » soit « analyse factorielle du risque informationnel » en français. Le standard FAIR est un modèle d’analyse quantitative. Il permet de comprendre, analyser et quantifier les risques cyber d’un point de vue financier. La méthode FAIR est considérée comme pionnière en matière de quantification des risques cyber sous l’angle opérationnel. Elle est soutenue par une communauté active, qui assure l’évolution et la promotion de la méthode.
Plus d’informations sur fairinstitute.org
Comment fonctionne la méthode FAIR ?
La méthode FAIR est une méthode probabiliste de calcul des risques, qui s’appuie à la fois sur la fréquence et l’ampleur probables des pertes. Les résultats sont chiffrés et peuvent être exprimés en des termes financiers (en euros, par exemple).
Exemple
Une organisation estime qu’un sinistre X pourrait survenir une fois tous les 10 ans, et que ce sinistre entraînerait pour elle une perte de 2 millions d’euros.
Soit une perte probable de 200 000 euros par an.
Afin de réduire ce risque, les organisations peuvent chercher à en réduire la fréquence, ainsi que le montant des pertes financières qui y sont associées.
Mettre en œuvre de la méthode FAIR nécessite de collecter un grand nombre de données pour analyser précisément chaque risque. Les pertes peuvent être déclinées en six catégories (pertes de production, coût de la réponse à incident, perte de réputation, etc.). La méthode FAIR invite également à apprécier la valeur d’un actif à partir de sa criticité, de son coût (sa valeur) et de sa sensibilité.
Quels sont les avantages de la méthode FAIR pour l’évaluation des risques ?
Résolument pragmatique, la méthode FAIR est particulièrement appréciée par les RSSI et les cyber-risk managers. La quantification des risques cyber et leur traduction en termes financiers optimise la gouvernance de la sécurité des systèmes d’information.
La méthode FAIR n’a pas vocation à être exhaustive, mais plutôt à envisager les scénarios de risques les plus probables. Elle pousse les organisations à se concentrer sur les actifs les plus critiques et les plus indispensables à leur activité.
Système de notation CVSS, méthode FAIR : quelles sont leurs limites et leurs différences ?
Les limites des scores CVSS
Manque de précision dans la mesure du risque
Les scores CVSS sont critiqués pour leur incapacité à mesurer précisément le risque. Si les vulnérabilités à partir de 7 sont considérées comme les menaces les plus graves et doivent donc être traitées avant les autres, comment être certain qu’une vulnérabilité notée 6,5 ne causera pas, elle aussi, de graves dommages ? En l’absence de contexte, difficile à dire.
Manque de contexte
S’ils constituent un bon point de départ, les scores CVSS ne doivent pas être utilisés seuls, mais replacés dans un contexte. Le score CVSS évalue la criticité intrinsèque d’une vulnérabilité et constitue une première brique dans l’analyse des risques cyber, mais il ne reflète pas la réalité des menaces pesant sur une organisation. Un score CVSS élevé ne signifie pas forcément que la vulnérabilité en question sera effectivement exploitée.
Afin d’aider les organisations dans la priorisation de leurs vulnérabilités, le FIRST a d’ailleurs introduit le score « EPSS » (Exploit Prediction Scoring System) en 2019. Ce score indique la probabilité qu’une CVE soit exploitée avec succès dans les prochains mois.
Quelques inconvénients inhérents à la méthode FAIR
La méthode FAIR génère des probabilités liées à l’analyse des risques, mais elle n’a pas vocation à réaliser des prédictions. Elle n’est pas non plus exhaustive, mais permet en revanche aux organisations de concentrer leurs efforts sur les actifs les plus critiques et les scénarios probables.
D’autre part, parce qu’elle nécessite la mobilisation de nombreuses équipes dans le cadre de la collecte de données techniques et financières, la méthode FAIR peut s’avérer longue à mettre en œuvre.
Principales différences entre la méthode FAIR et le système de notation CVSS
Une différence de nature
La différence fondamentale entre le système de notation CVSS et la méthode FAIR tient à leur nature. Le premier attribue des notes aux vulnérabilités en fonction de leur gravité, quand la seconde traduit les conséquences potentielles des risques cyber en termes financiers. La méthodologie adoptée face au risque n’est pas la même. Le système de notation CVSS parle aux experts en sécurité, quand la méthode FAIR nourrit la discussion entre les différents métiers.
Prise en compte de la criticité de l’actif
Les scores CVSS ne prennent pas en compte le niveau de criticité des actifs concernés par les vulnérabilités. Dans les faits, des vulnérabilités de gravité moyenne sur des actifs exposés peuvent avoir des conséquences plus importantes que des vulnérabilités de gravité élevée sur des actifs correctement isolés et avec un accès restreint. Élaborer une cartographie de son système d’information permet d’ailleurs de mieux prendre en compte la criticité des différents actifs dans sa démarche de gestion des risques cyber.
Prise en compte des impacts
À la différence de la méthode FAIR, les scores CVSS ne prennent pas en compte les impacts potentiels sur les activités de l’organisation pour quantifier les risques cyber. Traduire les risques cyber en termes financiers est l’un des points forts de la méthode FAIR, permettant aux organisations de se concentrer sur les actifs les plus indispensables à la réalisation de leurs activités.
La quantification des risques cyber est une approche de plus en plus demandée par les directions générales, qui souhaitent aujourd’hui mieux maîtriser leurs risques tout en optimisant leurs dépenses. Le système de notation CVSS et la méthode FAIR sont deux approches reconnues, mais fondamentalement différentes. Le système CVSS s’inscrit dans une approche plutôt technique de gestion et de priorisation des vulnérabilités à corriger. La méthode FAIR permet quant à elle de traduire en termes financiers les conséquences probables associées à des risques cyber. Charge à chaque organisation de choisir l’approche la plus appropriée à ses besoins en matière d’évaluation et de gestion des risques cyber.
Vous aimeriez savoir comment OverSOC peut vous aider dans votre démarche d’évaluation et de quantification des risques cyber ? Contactez-nous.
