Technologies
Une alliance pour mieux décrire les vulnérabilités.
Par Jerome Saiz, le 20 fév 2005 à 20:05:00.
Plusieurs acteurs majeurs de l'informatique, dont Cisco, Microsoft et Symantec, annoncent la création du Common Vulnerability Scoring System, un système commun de notation de l'importance des vulnérabilités. Mais au delà de l'annonce, la voie vers une standardisation de l'évaluation des failles de sécurité reste encore bien encombrée.
Annoncé la semaine dernière au cours de la RSA Conference de San Francisco, le Common Vulnerability Scoring System (CVSS) se veut le mètre-étalon des vulnérabilités.
L'objectif est de permettre de noter selon un barème commun la gravité des nouvelles failles quel que soit le produit qu'elles frappent et quel que soit leur découvreur. Cela permettrait notamment aux entreprises, qui ne peuvent généralement se permettre d'appliquer systématiquement tous les correctifs, de mieux prendre leurs décisions en la matière.
Poussé par de grands acteurs de l'informatique dont Cisco, Microsoft et Symantec, aidé par l'expertise de vrais spécialistes tels Qualys ou ISS, ce CVSS donne l'impression d'un vrai coup pouce en perspective pour les entreprises. Après tout, une initiative d'organisation dans la cacophonie habituelle du monde de la recherche et de la publication des vulnérabilités ne peut être que la bienvenue. Avec CVSS chaque nouvelle vulnérabilité se verrait alors attribuer une note de critiçité basée sur des critères objectifs tels que l'exploitation possible à distance, avec ou sans un compte utilisateur sur le système, etc.
Le système rappelle bien sûr le Common Vulnerabilities and Exposures (CVE) qui attribue déjà un identifiant unique et détaille les vulnérabilités découvertes.
Mais si l'initiative paraît enthousiasmante sur le papier, elle devra toutefois montrer son utilité sur le terrain.
Premier écueil à prévoir, et de taille : hormis les cas les plus évidents, la sévérité d'une vulnérabilité est une vision hautement subjective. Une faille critique pour une entreprise ne le sera pas forcément pour une autre qui utilise le système concerné dans un environnement différent. Au mieux CVSS fera alors en sorte que, par exemple, un éditeur n'utilise plus dans ses alertes le terme "critique" là où un autre préfère parler d'une faille "majeure" pour désigner un risque identique (une exploitation à distance par exemple). Mais pour reste, l'entreprise restera toujours aussi seule face à ses choix.
Ensuite, comme toute proposition de standard, CVSS devra entraîner avec lui la majorité des acteurs concernés. Et il n'est pas encore certain que les spécialistes de la découverte des failles, souvent des chercheurs indépendants, adhèrent à cette convention de nommage. A moins de travailler de concert avec le découvreur en amont, il appartiendra alors aux éditeurs concernés de traduire l'importance de la vulnérabilité en une note CVSS une fois l'alerte originale publiée. Mais le temps qu'il le fasse, la plupart des entreprises auront de toute façon déjà pris leur décision en se basant sur les détails techniques de l'alerte et elles n'auront que faire d'une note synthétique.
Il reste, bien sûr, que le peu d'organisation que CVSS pourra amener sera certainement profitable. A condition de ne pas compter aveuglément sur une note arbitraire pour installer ou non un correctif, ce que de petites entreprises sans grandes ressources informatiques pourraient être tentées de faire.
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes bénéfices de l'IAM chez Sofinco, deux ans aprèsLes RSSI du monde bancaire à l'aube d'une vague de démissions ?Un nouveau Kerviel chez Morgan Stanley... comme prévuLes banques s'attendent à un nouveau KervielLe Ministre, la maîtresse et les dossiers secretsQuand Safari ouvre la porte de Windows... grâce à Internet ExplorerLe role management suscite l'intérêt des RSSIAntivirus : la révolution in the cloudKaspersky: Stéphane Le Hir monte en grade
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
