Utiliser la politique de criticité pour mettre en avant les vulnérabilités prioritaires

Un actif peut posséder une politique de criticité. Cet élément repose sur les exigences de sécurité telles que définies dans les métriques environnementales du standard CVSSv3.

La politique de criticité est définie par des critères : Confidentialité, Intégrité, et Disponibilité ainsi que par un seuil CVSS entre 0 et 10, un seuil EPSS entre 0 et 100 et la présence des vulnérabilités dans les catalogues CERT-FR ALE et CISA KEV.

Chaque critère a trois valeurs possibles : Faible, Moyenne, ou Élevée.

Ces métriques permettent à un analyste de définir des exigences de sécurité, en fonction de l’importance de l’actif informatique pour l’organisation.

Par exemple, si un actif informatique est lié à une fonction métier pour laquelle la Disponibilité est très importante, l’analyste peut affecter une valeur Élevée à la Disponibilité, au regard des valeurs laissées à Moyenne de la Confidentialité et l’Intégrité.

Les vulnérabilités prioritaires sont calculées à partir :

  • de la présence des vulnérabilités dans le catalogue CERT-FR ALE ;
  • de la présence des vulnérabilités dans le catalogue CISA KEV ;
  • du score EPSS des vulnérabilités ;
  • du score CVSS des vulnérabilités ;
  • de la politique de criticité configurée sur un actif.

Le score CVSS est alors adapté à l’aide de la formule du standard CVSSv3 pour prendre en compte les exigences de chaque actif en matière de Disponibilité, Intégrité et Confidentialité.

Si le score ainsi obtenu dépasse le seuil de criticité de l’actif, la vulnérabilité est marquée comme prioritaire. La présence d’une vulnérabilité dans un des catalogues la marque comme prioritaire.

Cyberwatch défini trois politique de criticité par défaut :

  • Faible avec :
    • la présence dans le catalogue CISA KEV
    • la présence dans le catalogue CERT-FR ALE
  • Moyenne avec :
    • les critères Confidentialité, Intégrité, et Disponibilité à la valeur Moyenne
    • un seuil CVSS à 7.0
    • un seuil EPSS à 0.5%

    ou

    • la présence dans le catalogue CISA KEV
    • la présence dans le catalogue CERT-FR ALE
  • Élevée avec :
    • les critères Confidentialité, Intégrité, et Disponibilité à la valeur Élevée
    • un seuil CVSS à 7.0
    • un seuil EPSS à 0.2%

    ou

    • la présence dans le catalogue CISA KEV
    • la présence dans le catalogue CERT-FR ALE

CVSS plafond

Pour mieux prendre en compte l’environnement d’un actif, il est possible de plafonner les métriques CVSS de base lors du calcul de score contextualisé des CVE.

Par exemple, si un actif est déconnecté de tout réseau, spécifier Local comme vecteur d’attaque de la CVSS plafond réduira le score des CVE exploitables depuis le réseau en considérant que leur vecteur d’attaque est Local plutôt que Réseau.

Pour éditer la CVSS plafond, il faut dérouler la section Paramètres avancés de la page d’édition des criticité. Par défaut, elle est définie avec les valeurs maximums des métriques, de sorte à n’avoir aucun impact sur le score contextualisé.

Créer une criticité

  1. Cliquer sur Réglages > Criticités
  2. Cliquer sur le bouton « Créer »
  3. Remplir le formulaire
  4. Cliquer sur le bouton « Sauvegarder »

Éditer une criticité

  1. Cliquer sur Réglages > Criticités
  2. Cliquer sur l’icône d’édition (les criticités par défaut ne sont pas modifiables)
  3. Remplir le formulaire
  4. Cliquer sur le bouton « Sauvegarder »

Supprimer une criticité

  1. Cliquer sur Réglages > Criticités
  2. Cliquer sur l’icône de suppression (les criticités par défaut ne peuvent pas être supprimées)

Assigner une criticité à un actif

  1. Cliquer sur Inventaire
  2. Cocher la ligne des actifs auxquels assigner la criticité
  3. Cliquer sur « Édition groupée »
  4. Cliquer sur « Modifier la criticité » dans la liste déroulante
  5. Cliquer sur la criticité désirée

Retour en haut