Formation > Blog > Cybersécurité > 0 day, CVE, CVSS, CWE, CWSS : Quelles différences ?

0 day, CVE, CVSS, CWSS, CWE quelles sont les différences ?

0 day, CVE, CVSS, CWE, CWSS… toutes ces abréviations un peu obscures peuvent être difficiles à décortiquer. Derrière ces acronymes se cachent différents systèmes agissants de concert. Ils sont l’une des méthodes de recensement et d’évaluation des failles de sécurité les plus efficaces au monde. Couvrant aussi bien le software que le hardware dans tous les secteurs d’activité possible.

Dans cet article, nous allons décortiquer toutes ces abréviations et tâcher de voir comment tous ces systèmes interagissent entre eux.

Qu’est-ce qu’une faille 0-day ?

Une faille 0-day est une faille de sécurité dans un système ou une faille logicielle inconnue qu’un attaquant peut exploiter avant même que le constructeur ou l’éditeur de la cible n’en soupçonne l’existence. L’expression « zero-day » désigne le fait qu’il n’y a pas eu de jour consacré au correctif de la faille et qu’elle est par conséquent une vulnérabilité très critique dans l’architecture d’une organisation.

Les attaques 0-day sont extrêmement dangereuses pour les victimes, car étant inconnues, elles sont par essence très compliquées à détecter. Parmi les attaques 0-day les plus célèbres, on peut citer le virus Stuxnet créé par les États-Unis contre le programme nucléaire iranien ou la vulnérabilité du protocole NTLM.

Lorsqu’une vulnérabilité 0-day est détectée, elle est alors ajoutée à la liste Common Vulnerabilities and exposure.

Vous souhaitez développer vos compétences en sécurité informatique ? Notre Formation OCSP de 4 jours vous donnera toutes les clés en main pour obtenir votre certification et devenir expert dans la détection des failles de sécurité les plus complexes.


Découvrez les dernières méthodes de piratage et d’exploitation de failles avec notre formation CEH™. Vous pourrez passer l’examen Certified Ethical Hacker™ à l’issue de cette formation de 5 jours, et ainsi prouver vos compétences en cybersécurité.

L’équipe ambient IT

CVE : Classifier les vulnaribilités

Le CVE ou Common vulnerabilities and exposure, est un programme dont le but est d‘identifier, définir et recenser toutes les failles de cybersécurité divulguées publiquement. Cette liste fut mise en place à la fin des années 1990 par l’organisme MITRE.

MITRE est une organisation à but non lucratif américaine, financée par le département de la sécurité intérieure des États-Unis. Elle tend à explorer les usages des nouvelles technologies afin de prévoir d’éventuels problèmes lors de l’utilisation de celles-ci.

Le CVE est devenu une ressource indispensable dans le monde de la sécurité informatique avec un peu moins de 200.000 failles recensées. Elle sert quotidiennement aux développeurs et aux industriels à prévoir d’éventuelles attaques lors de la création de nouveaux logiciels.

Qu’est-ce qu’une vulnérabilité ?

Selon le NIST une faille peut être définie comme « une faiblesse dans un système d’information, des procédures de sécurité du système, des contrôles internes ou une mise en œuvre qui pourrait être exploitée ou déclenchée par une source de menace ».

Il existe donc un enregistrement CVE pour chaque faille identifiée. Chaque enregistrement CVE est enregistré comme cela : CVE-AAAA-NNNN (AAAA est l’année de publication et NNNN un numéro d’identifiant).

Les enregistrements CVE sont créés par les autorités de numérotation qui sont des éditeurs de logiciel, des fournisseurs de services et des groupes de recherche autorisés. Ils ne peuvent également que publier des enregistrements dans leurs domaines spécifiques.

Un enregistrement CVE ne contient pas d’information sur les risques ou les mesures d’atténuation. Sa description contient des informations générales sur le type d’attaque de la faille et son impact, des composants affectés ainsi que les vecteurs d’attaques pouvant être utilisés.

Un enregistrement CVE contient aussi des scores CVSS afin de déterminer sa gravité.

Les systèmes CVE et CVS sont complémentaires

CVSS : Noter une vulnaribilité

Le CVSS pour Common Vulnerability Scoring System est une méthode de notation utilisée pour fournir une mesure qualitative de la gravité des failles. Ce score va de 0 à 10 et plus le chiffre est élevé plus la faille est considérée comme grave. Il peut être traduit en faible, moyen, critique ou élevé. Il est détenu par FIRST, une organisation américaine à but non lucrative.

Elle est utilisée soit pour calculer la gravité des failles trouvées sur une machine précise, soit comme facteur de priorisation dans la gestion des vulnérabilités.

Le CVSS est souvent représenté par une chaine de mesure vectorielle, une représentation visuelle des valeurs utilisées pour déterminer le score. Cela permet au CVSS d’être un système de mesure parfaitement adapté aux industries et organisation qui ont besoins d’un système clair, standardisé et cohérent.

NVD : Scorer

Pour faire le lien entre le CVE et le CVSS, il existe le NVD (National Vulnerability Database). Contrairement au score CVSS classique qui lui est modulable selon de nombreux facteurs, le NVD fournis un score de base (en se fondant sur les critères CVSS) qui représente les caractéristiques innées de chaque vulnérabilité. Le score NVD ne se base donc sur aucun critère temporel (avec des mesures qui évoluent dans le temps) ou environnemental (score qui changerait en fonction de l’organisation ciblée).

NVD fournit cependant un calculateur, qui permet d’ajouter ces données dans votre scoring.

CWE : Catégoriser

Le Common Weakness Enumeration est un système de catégorie pour les faiblesses et vulnérabilité des matériels informatique et des logiciels. Elle complémente la CVE en lui ajoutant un système de catégorisation. Pour simplifier, le CVE traite les symptômes et le CWE traite les causes. Il n’existe qu’un seul système CWE géré lui aussi par MITRE.

Il existe 3 catégories dans le CWE :

  • Développement de logiciels : les concepts sont regroupés par fréquence de rencontre ou d’utilisation dans la création d’un code source
  • Conception de matériel : les faiblesses généralement rencontrées dans la conception de hardware
  • Concepts de recherche : les éléments sont regroupés par comportement afin de faciliter la recherche sur les problèmes communs

La CWE peut donc vous aider à identifier la grande majorité des problèmes et des failles les plus dangereuses. Ce système est également connu pour son CWE top 25 qui liste les failles de sécurité les plus dangereuses et les plus répandues comme les injections SQL ou les restrictions inappropriées des memory buffer.

La base de données NVD fait le lien entre le CVE et le CVSS

Quelles sont les exigences CWE ?

Afin d’obtenir le tampon « compatible CWE » un produit doit répondre à 4 de 6 exigences déterminées par la MITRE :

  • Les utilisateurs peuvent chercher des failles de sécurité en utilisant les identifiants CWE
  • Les éléments de sécurité permettent aux utilisateurs d’obtenir les identifiants CWE associé
  • Les failles de sécurité sont liées de manière précise au système de notation CWE
  • La documentation de la capacité décrit le CWE, la compatibilité avec celui-ci et l’utilisation de la fonctionnalité
  • La documentation de la capacité énumère de manière claire les identifiants CWE pour lesquelles elle revendique une couverture et une efficacité pour sa localisation dans le logiciel
  • Des résultats de test indiquant l’efficacité du CWE pour la détection et le traitement de la faille doivent être publiés sur le site du CWE

Il existe aujourd’hui 79 organisations qui développent et créent des produits compatibles CWE.

CWSS : Prioriser

Le Common Weakness scoring system est un système complémentaire du CWE afin de noter et de prioriser les faiblesses logicielles de manière cohérente et collaborative. Il s’agit d’un effort communautaire mené par des opérationnels métier et des chercheurs dans le but de créer un système parfaitement adapté à la réalité du terrain.

Le CWSS offre une base commune pour la notation des failles et des attaques potentielles à laquelle il est possible de rajouter des données supplémentaires liées à la temporalité et à l’environnement. Même s’il est semblable au système CVSS, il est bien distinct de celui-ci et les deux peuvent être utilisés de manière complémentaire.

Concrètement, le CWSS permet de :

  • Fournir une mesure quantitative des faiblesses présentes dans une application logicielle
  • Fournir un framework commun pour prioriser les failles de sécurité découvertes
  • Hiérarchiser les faiblesses selon le secteur d’activité des utilisateurs

Conceptuellement, CVSS et CWSS sont très similaires. Si CVSS est plus simple, cette méthode a également ses limites. Plus haut, nous avons vu que CVSS réunit ses métriques dans 3 catégories. CWSS dispose d’un scoring légèrement différent.

les scoring CVSS et CWSS sont complémentaires

Métriques de CWSS

Le CWSS est divisé en 3 groupes de mesures :

  • Base finding : le risque inhérent aux faiblesses et aux forces dans l’exactitude des contrôles de base
  • Surface d’attaque : les barrières que doivent franchir les attaquants lors d’une tentative de piratage
  • Environnemental : les risques et faiblesses liées aux spécificités de l’environnement de l’entreprise

Chaque groupe de mesures dispose d’un score. Entre 0 et 100 pour le groupe de base et 0 et 1 pour les deux autres. Ils sont ensuite multipliés entre eux pour donner un score CWSS global.

Méthodes de scoring CWSS

CWSS repose son scoring sur 4 méthodes qui peuvent être toutes réalisées les unes à la suite des autres :

  • Targeted : les faiblesses individuelles découvertes dans l’implémentation d’un logiciel
  • Generalized : Les faiblesses indépendantes de tout paquetage logiciel particulier pour les classer par ordre de priorité par rapport aux autres. Les scores généralisés peuvent être différents des scores ciblés
  • Context-ajusted : ajustement des scores par rapport au contexte. Cela inclut les spécificités de l’entreprise. Cette étape est réalisée à l’aide de vignettes qui relient les faiblesses aux considérations commerciales de l’entreprise
  • Aggregated : Combiner les résultats de plusieurs faiblesses de niveau inférieures pour produire une seule note globale. Cette étape peut s’appliquer à la méthode généralisée comme à la méthode ciblée

Comment réussir sa veille sécurité ?

Afin de couvrir la totalité des failles de sécurité que l’on peut rencontrer dans le développement de ses produits et logiciels, il est important d’utiliser tous les critères de notation. Ils sont complémentaires et permettent une vision globale des failles et des problèmes.

Il existe différentes méthodes de mapping ad hoc qui vous aident à réaliser l’analyse de votre solution. Vous pouvez les retrouver sur la page guidance du site de CWE.

UNE QUESTION ? UN PROJET ? UN AUDIT DE CODE / D'INFRASTRUCTURE ?

Pour vos besoins d’expertise que vous ne trouvez nulle part ailleurs, n’hésitez pas à nous contacter.

ILS SE SONT FORMÉS CHEZ NOUS

partenaire sncf
partenaire hp
partenaire allianz
partenaire sfr
partenaire engie
partenaire boursorama
partenaire invivo
partenaire orange
partenaire psa
partenaire bnp
partenaire sncf
partenaire hp
partenaire allianz
partenaire sfr
partenaire engie
partenaire boursorama
partenaire invivo
partenaire orange
partenaire psa
partenaire bnp