Le Cert-IST apporte son soutien à l´initiative CVSS visant à la standardisation, sous l´égide du FIRST, d´un système d´évaluation de la gravité des vulnérabilités.

Le Cert-IST, centre de veille et d´alerte en sécurité informatique, émet sur les vulnérabilités ses propres avis de sécurité destinés aux Entreprises des secteurs Industrie, Services et Tertiaire. Le Cert-IST, membre du FIRST (Forum of Incident Response & Security Teams) depuis 1999, a décidé de la mise en place progressive du futur standard CVSS pour renforcer la valeur ajoutée de ses avis en matière de classification des risques.

En effet, face à la sophistication et à la rapidité des attaques (vers/virus/chevaux de Troie, vulnérabilités de sécurité, développement du phishing, etc...) et l´évolution des risques associées à ces attaques, il devient primordial de mesurer de manière uniforme le risque engendré par une vulnérabilité donnée.

A l´heure actuelle, le Cert-IST utilise la métrique EISPP, définie en 2002 lors du projet Européen du même nom (www.eispp.org), et basée sur les mêmes principes de base (difficulté d´exploitation de la vulnérabilité, sévérité de l´impact sur la cible, évaluation de l´urgence d´application des correctifs ...).

L´adoption de la métrique CVSS initialement proposée par un consortium d´industriels, d´abord par les administrations américaines en charge de ces aspects (DHS, NIAC), puis (surtout) par le FIRST (organisation indépendante qui fédère plus de 170 CERT dans le monde, dont trois en France : le CERTA, le Cert-Renater, et le Cert-IST), sont autant de garanties de bon aboutissement du projet.

Cette initiative est à rapprocher du projet CVE (Common Vulnerabilities and Exposures) qui lui, identifie par un numéro unique chaque vulnérabilité indépendamment des références données par les avis de sécurité des éditeurs, et du futur projet CME (Common Malware Enumeration) concernant l´identification des "malwares" (vers/virus/chevaux de Troie).

Le Cert-IST utilisera donc les différents moyens à sa disposition lors de l´émission de ses avis de sécurité, de la diffusion de son bulletin mensuel, sur son site web et dans ses communications publiques, pour assurer la promotion de CVSS auprès de sa communauté.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 145188
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI

Réduire