CVE<\/a> (Common Vulnerabilities or Exposers) est une liste publique de vuln\u00e9rabilit\u00e9s en mati\u00e8re de cybers\u00e9curit\u00e9. Ce glossaire organise ces faiblesses de s\u00e9curit\u00e9 avec des num\u00e9ros d’identification, des dates et des descriptions.<\/p>\n CVSS<\/a> est l’abr\u00e9viation de \u00ab\u00a0Common Vulnerability Scoring System\u00a0\u00bb. Il s’agit d’un score qui \u00e9value la criticit\u00e9 des vuln\u00e9rabilit\u00e9s sur une \u00e9chelle de 0 \u00e0 10, 10 \u00e9tant le plus critique. Il est souvent utilis\u00e9 pour \u00e9valuer la criticit\u00e9 des vuln\u00e9rabilit\u00e9s divulgu\u00e9es publiquement et r\u00e9pertori\u00e9es dans la CVE.<\/p>\n Les notations CVE et CVSS sont toutes deux des \u00e9valuations des vuln\u00e9rabilit\u00e9s. Selon la base de donn\u00e9es nationale sur les vuln\u00e9rabilit\u00e9s<\/a>, une vuln\u00e9rabilit\u00e9 est \u00ab\u00a0une faiblesse de la logique informatique (par exemple, le code) pr\u00e9sente dans les composants logiciels et mat\u00e9riels qui, lorsqu’elle est exploit\u00e9e, a un impact n\u00e9gatif sur la confidentialit\u00e9, l’int\u00e9grit\u00e9 ou la disponibilit\u00e9\u00a0\u00bb. Avant d’appliquer une mise \u00e0 jour afin de faire face \u00e0 une vuln\u00e9rabilit\u00e9, les entreprises utiliseront les CVE et les scores CVSS pour recueillir davantage d’informations sur la vuln\u00e9rabilit\u00e9 et sa s\u00e9v\u00e9rit\u00e9.<\/p>\n Actuellement, MITRE<\/a> g\u00e8re la base de donn\u00e9es CVE et travaille en \u00e9troite collaboration avec la National Vulnerability Database (NVD), qui fait partie du National Institute of Standards and Technology (NIST). Pour trouver les scores CVSS, les entreprises s’appuient sur FIRST<\/a>, une organisation am\u00e9ricaine \u00e0 but non lucratif.<\/p>\n Donnez la priorit\u00e9 aux vuln\u00e9rabilit\u00e9s les plus urgentes et corrigez-les gr\u00e2ce au logiciel de gestion des correctifs automatis\u00e9 de NinjaOne.<\/p>\n \u2192 Essayez gratuitement la gestion des correctifs NinjaOne<\/a> ou regardez une d\u00e9mo<\/a>.<\/span><\/p>\n<\/div>\n Aujourd’hui, les \u00e9quipes informatiques s’appuient sur les CVE et les scores CVSS pour en savoir plus sur les failles de s\u00e9curit\u00e9 avant de cr\u00e9er des strat\u00e9gies pour les \u00e9liminer. Parmi les utilisations courantes des CVE et des scores CVSS, on peut citer :<\/p>\n Les scores CVSS quantifient la criticit\u00e9 des vuln\u00e9rabilit\u00e9s. Une \u00e9quipe informatique peut utiliser ces informations pour d\u00e9terminer quelles sont les vuln\u00e9rabilit\u00e9s les plus s\u00e9rieuses et les \u00e9liminer en premier avant de passer \u00e0 des failles moins critiques.<\/p>\n Par exemple, une vuln\u00e9rabilit\u00e9 ayant un score CVSS de 8 constitue une menace plus importante qu’une vuln\u00e9rabilit\u00e9 ayant un score de 3. Dans ce cas, une \u00e9quipe informatique peut d’abord \u00e9liminer la vuln\u00e9rabilit\u00e9 not\u00e9e 8 avant d\u2019\u00e9liminer la vuln\u00e9rabilit\u00e9 moins grave not\u00e9e 3.<\/p>\n La CVE fournit des descriptions, des dates et d’autres informations sur les vuln\u00e9rabilit\u00e9s. En outre, la CVE \u00e9num\u00e8re parfois les correctifs ou les solutions pour une vuln\u00e9rabilit\u00e9 sp\u00e9cifique. Ces informations pr\u00e9cieuses permettent \u00e0 l’\u00e9quipe informatique d’en savoir plus sur une vuln\u00e9rabilit\u00e9 afin d’y apporter une solution.<\/p>\n Les CVE et les scores CVSS fournissent des indications \u00e0 une \u00e9quipe informatique et un soutien suppl\u00e9mentaire au processus de gestion des correctifs. Ces \u00e9valuations aident l’\u00e9quipe informatique \u00e0 planifier, pr\u00e9parer et r\u00e9soudre les vuln\u00e9rabilit\u00e9s avant qu’elles ne deviennent des probl\u00e8mes graves pour l’entreprise.<\/p>\n M\u00eame si les CVE et les scores CVSS ne sont pas parfaits, ils font actuellement partie des meilleures \u00e9valuations \u00e0 utiliser concernant les vuln\u00e9rabilit\u00e9s. Ils permettent aux \u00e9quipes informatiques de cat\u00e9goriser, de hi\u00e9rarchiser et maintenir un ordre dans le traitement des vuln\u00e9rabilit\u00e9s. En outre, les \u00e9quipes informatiques peuvent s’appuyer \u00e0 la fois sur les CVE et les scores CVSS pour mieux comprendre les failles de s\u00e9curit\u00e9 et \u00e9laborer un plan pour les \u00e9liminer.<\/p>\n Bien que certaines entreprises affirment que les CVE et les scores CVSS sont surutilis\u00e9s et sur\u00e9valu\u00e9s<\/a> dans le domaine de la cybers\u00e9curit\u00e9, ils constituent actuellement les meilleures \u00e9valuations disponibles des vuln\u00e9rabilit\u00e9s. Cela \u00e9tant dit, ils ont certaines limites :<\/p>\n Malheureusement, les scores CVSS attribu\u00e9s aux vuln\u00e9rabilit\u00e9s ne mesurent pas toujours le risque avec pr\u00e9cision. Par exemple, les vuln\u00e9rabilit\u00e9s not\u00e9es 7 et plus sont consid\u00e9r\u00e9es comme les menaces les plus graves et doivent \u00eatre trait\u00e9es avant les autres. Cependant, les menaces not\u00e9es 6,5 sont-elles moins dangereuses que celles not\u00e9es 7 ? Parfois, la vuln\u00e9rabilit\u00e9 de 6.5 finit par causer plus de probl\u00e8mes qu’une vuln\u00e9rabilit\u00e9 de 7.<\/p>\n Une fois qu’un score CVSS est attribu\u00e9 \u00e0 une vuln\u00e9rabilit\u00e9, il n’est g\u00e9n\u00e9ralement jamais modifi\u00e9 ou mis \u00e0 jour. Ce score statique ne prend pas en compte les changements ou les nouvelles informations.<\/p>\n Le score CVSS \u00e9tant un simple chiffre, il ne fournit aucun contexte ni aucune information suppl\u00e9mentaire sur la vuln\u00e9rabilit\u00e9. Pour cette raison, il est difficile de d\u00e9terminer comment une vuln\u00e9rabilit\u00e9 affectera r\u00e9ellement un syst\u00e8me de s\u00e9curit\u00e9.<\/p>\n Bien que la CVE fournisse certaines informations sur une vuln\u00e9rabilit\u00e9, elle n’en fournit pas assez pour qu’une \u00e9quipe de s\u00e9curit\u00e9 informatique puisse l’utiliser pour r\u00e9soudre le probl\u00e8me. Kenna Security<\/a> explique ce probl\u00e8me en d\u00e9clarant : \u00ab\u00a0Les CVE manquent g\u00e9n\u00e9ralement d’informations cl\u00e9s telles que les codes d’exploitation, les corrections, les cibles courantes, les logiciels malveillants connus, les d\u00e9tails d’ex\u00e9cution de code \u00e0 distance, etc. Pour les trouver, les \u00e9quipes charg\u00e9es de la s\u00e9curit\u00e9 doivent faire des recherches suppl\u00e9mentaires. (Les CVE renvoient souvent aux sites des fournisseurs et \u00e0 d’autres ressources, qui peuvent \u00e0 leur tour inclure des liens vers des mises \u00e0 jour et des conseils de rem\u00e9diation. Mais il s’agit d’un processus manuel, d’une chasse au tr\u00e9sor qui peut s’av\u00e9rer accablante pour les \u00e9quipes de s\u00e9curit\u00e9 confront\u00e9es \u00e0 une liste de centaines, voire de milliers de vuln\u00e9rabilit\u00e9s dites critiques)\u00a0\u00bb.<\/p>\n Le CVE se concentre uniquement sur les vuln\u00e9rabilit\u00e9s des logiciels non corrig\u00e9s, ignorant les risques ou les menaces qui visent les logiciels qui sont \u00e0 jour. Ce n’est pas parce qu’un logiciel a \u00e9t\u00e9 mis \u00e0 jour qu’il est totalement \u00e0 l’abri des vuln\u00e9rabilit\u00e9s et des menaces.<\/p>\n Bien qu’il soit commun\u00e9ment admis que la CVE offre des solutions pour les vuln\u00e9rabilit\u00e9s, ce n’est pas toujours le cas. La CVE fournit parfois des solutions pour les vuln\u00e9rabilit\u00e9s, mais pas dans 100% des cas.<\/p>\n Prot\u00e9gez vos appareils et maintenez-les \u00e0 jour avec NinjaOne.<\/p>\n \u2192 D\u00e9couvrez les fonctionnalit\u00e9s de gestion des correctifs de NinjaOne<\/a>.<\/span><\/p>\n<\/div>\n La gestion des correctifs et la gestion des vuln\u00e9rabilit\u00e9s ne sont pas des choses simples. C’est pourquoi NinjaOne propose une solution de gestion des correctifs<\/a> qui automatise les processus de mise \u00e0 jour \u00e0 partir d’un panneau de contr\u00f4le centralis\u00e9. Avec NinjaOne, vous pouvez minimiser les co\u00fbts, r\u00e9duire la complexit\u00e9, gagner du temps et rem\u00e9dier rapidement aux vuln\u00e9rabilit\u00e9s. Contactez NinjaOne d\u00e8s maintenant pour en savoir plus et commencer votre essai gratuit<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" \u00c0 l’aube de la nouvelle ann\u00e9e, les entreprises peuvent s’attendre \u00e0 ce que le nombre de cyberattaques augmente consid\u00e9rablement. Pour lutter contre ces menaces \u00e0 venir, il sera essentiel de disposer de processus efficaces de mise \u00e0 jour et de gestion des correctifs. Avant de corriger les vuln\u00e9rabilit\u00e9s, les \u00e9quipes informatiques doivent se concentrer sur […]<\/p>\n","protected":false},"author":89,"featured_media":273465,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4355],"tags":[],"class_list":["post-147507","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-ops"],"acf":[],"modified_by":"Marq DuUntivero","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/147507","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/users\/89"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/comments?post=147507"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/147507\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media\/273465"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media?parent=147507"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/categories?post=147507"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/tags?post=147507"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Qu’est-ce que le score CVSS ?
\n<\/b><\/h3>\nDiff\u00e9rences entre les CVE et les scores CVSS<\/h2>\n
O\u00f9 trouver les CVE et les scores CVSS ?<\/h2>\n
Utilisation des CVE et des scores CVSS<\/h2>\n
\n
Quantification de la criticit\u00e9 des vuln\u00e9rabilit\u00e9s<\/h3>\n<\/li>\n<\/ul>\n
\n
Compr\u00e9hension de chaque vuln\u00e9rabilit\u00e9<\/h3>\n<\/li>\n<\/ul>\n
\n
Aide \u00e0 la gestion des correctifs<\/h3>\n<\/li>\n<\/ul>\n
L’importance des CVE et des scores CVSS<\/h2>\n
Limites des CVE et des scores CVSS<\/h2>\n
Limites du score CVSS<\/h3>\n
\n
Mesure impr\u00e9cise du risque<\/h4>\n<\/li>\n<\/ul>\n
\n
Pas de mise \u00e0 jour du score<\/h4>\n<\/li>\n<\/ul>\n
\n
Manque de contexte<\/b><\/h5>\n<\/li>\n<\/ul>\n
Limites du score CVE<\/h3>\n
\n
Manque d’informations essentielles<\/h4>\n<\/li>\n<\/ul>\n
\n
Ignore les menaces pour les logiciels mis \u00e0 jour<\/h4>\n<\/li>\n<\/ul>\n
\n
Ne fournit pas toujours une solution<\/h4>\n<\/li>\n<\/ul>\n
Renforcez votre s\u00e9curit\u00e9 informatique avec NinjaOne<\/h2>\n