FIRST

Le système de notation CVSS

Le FIRST est une association internationale de CSIRT créée en 1990 pour répondre aux incidents de cybersécurité. Il rassemble environ 700 CSIRT de tous les continents. Le FIRST publie des standards et des bonnes pratiques visant à améliorer les activités de réponse aux incidents. Le système de notation CVSS (Common Vulnerability Scoring System) saisit les principales caractéristiques d'une vulnérabilité et définit une note reflétant sa gravité (10 étant la note la plus élevée). La note numérique peut être traduite en une représentation qualitative (faible, moyenne, élevée et critique). D’autres systèmes de notation sont utilisés. Par exemple, EPSS pour évaluer la vraisemblance d’exploitation d’une vulnérabilité.

Mesurer la probabilité d’exploitation d’une vulnérabilité avec EPSS

La gestion des vulnérabilités et de leurs correctifs fait partie des fondamentaux de la sécurité opérationnelle. Les CVE sont utilisés depuis longtemps pour identifier et catégoriser les vulnérabilités publiques. La première liste CVE a été lancée par un groupe de travail issu du MITRE en 1999, connu aussi pour son catalogue ATT&CK beaucoup utilisé en CTI. Le FIRST, association de CSIRT très actif dans le domaine des vulnérabilités publie et met à jour le système CVSS qui fixe une note de criticité pour chaque vulnérabilité en fonction de paramètres déterminés par les spécifications. Le FIRST propose aussi depuis 2019 l’indicateur EPSS (Exploit Prediction Scoring System) pour évaluer la vraisemblance qu’une vulnérabilité puisse être exploitée. Le modèle a été présenté lors d’un Black Hat aux Etats-Unis. L’objectif est de mieux prioriser les processus de remédiation qui peuvent être lourds dans des groupes aux systèmes d’information complexes et répartis dans de nombreuses filiales et pays. Ce type de scoring est un exemple de mesure quantitative du risque, mis en œuvre par exemple dans la méthode FAIR.