Utiliser la politique de criticité pour mettre en avant les vulnérabilités prioritaires
Un actif peut posséder une politique de criticité. Cet élément repose sur les exigences de sécurité telles que définies dans les métriques environnementales du standard CVSS :
- Métriques environnementales du CVSSv4.
- Métriques environnementales du CVSSv3.
- Métriques environnementales du CVSSv2.
La politique de criticité est définie par des critères : Confidentialité, Intégrité, et Disponibilité ainsi que par un seuil CVSS entre 0 et 10, un seuil EPSS entre 0 et 100 et la présence des vulnérabilités dans les catalogues CERT-FR ALE et CISA KEV.
Chaque critère a trois valeurs possibles : Faible, Moyenne, ou Élevée.
Ces métriques permettent à un analyste de définir des exigences de sécurité, en fonction de l’importance de l’actif informatique pour l’organisation.
Par exemple, si un actif informatique est lié à une fonction métier pour laquelle la Disponibilité est très importante, l’analyste peut affecter une valeur Élevée à la Disponibilité, au regard des valeurs laissées à Moyenne de la Confidentialité et l’Intégrité.
Les vulnérabilités prioritaires sont calculées à partir :
- de la présence des vulnérabilités dans le catalogue CERT-FR ALE ;
- de la présence des vulnérabilités dans le catalogue CISA KEV ;
- du score EPSS des vulnérabilités ;
- du score CVSS des vulnérabilités ;
- de la décision SSVC des vulnérabilités ;
- de la politique de criticité configurée sur un actif.
Le type de score CVSS utilisé pour la priorisation des vulnérabilités dépend des métriques activées sur la politique de criticité. Les métriques de base (B) permettent de calculer le score CVSS initial. Les métriques de menace (T) et les métriques d’environnement (E) permettent de prendre en compte respectivement :
- l’état actuel des techniques d’exploit ou la disponibilité du code d’une vulnérabilité,
- les exigences de chaque actif en matière de Disponibilité, Intégrité et Confidentialité.
Cela permet de choisir entre quatre types : CVSS-B, CVSS-BE, CVSS-BT et CVSS-BTE. Le score CVSS est alors adapté à l’aide de la formule du standard CVSS.
Si le score ainsi obtenu dépasse le seuil de criticité de l’actif, la vulnérabilité est marquée comme prioritaire. La présence d’une vulnérabilité dans un des catalogues la marque comme prioritaire.
Cyberwatch défini trois politique de criticité par défaut :
- Faible avec :
- la présence dans le catalogue CISA KEV
- la présence dans le catalogue CERT-FR ALE
- Moyenne avec :
- les critères Confidentialité, Intégrité, et Disponibilité à la valeur Moyenne
- un seuil CVSS à 7.0
- un seuil EPSS à 0.5%
ou
- la présence dans le catalogue CISA KEV
- la présence dans le catalogue CERT-FR ALE
- Élevée avec :
- les critères Confidentialité, Intégrité, et Disponibilité à la valeur Élevée
- un seuil CVSS à 7.0
- un seuil EPSS à 0.2%
ou
- la présence dans le catalogue CISA KEV
- la présence dans le catalogue CERT-FR ALE
CVSS plafonds
Pour mieux prendre en compte l’environnement d’un actif, il est possible de plafonner les métriques CVSS de base lors du calcul de score contextualisé des CVE.
Par exemple, si un actif est déconnecté de tout réseau, spécifier Local comme vecteur d’attaque des CVSS plafonds réduira le score des CVE exploitables depuis le réseau en considérant que leur vecteur d’attaque est Local plutôt que Réseau.
Pour éditer les CVSS plafonds, il faut cliquer sur le bouton Plafond des vecteurs CVSS de la page d’édition des criticités. Par défaut, elle est définie avec les valeurs maximums des métriques, de sorte à n’avoir aucun impact sur le score contextualisé.
Décision SSVC
Stakeholder-Specific Vulnerability Categorization (SSVC) est un système de décision pour déterminer l’urgence avec laquelle traiter une CVE. Pour plus d’information, veuillez consulter la documentation officielle sur le site du CISA : https://www.cisa.gov/stakeholder-specific-vulnerability-categorization-ssvc.
Pour calculer les décisions SSVC des CVE d’un actif, la section Métriques SSVC de la politique de criticité de l’actif doit être remplie. De plus, les métriques SSVC ne sont présentes que sur les CVE traitées par le CISA, soit environ 21 000 en 2024.
Il est possible d’ajouter un critère de priorisation sur la décision SSVC pour exclure les CVE dont la décision SSVC est trop basse. Ce critère n’affectera pas les CVE sans métriques SSVC.
Les décisions SSVC des CVE sont affichables depuis l’onglet Vulnérabilités de la page de détails des actifs en personnalisant les colonnes de la table. Elles sont aussi incluses dans les exports CSV et Kibana.
Créer une criticité
- Cliquer sur Réglages > Criticités
- Cliquer sur le bouton « Créer »
- Remplir le formulaire
- Cliquer sur le bouton « Sauvegarder »
Éditer une criticité
- Cliquer sur Réglages > Criticités
- Cliquer sur l’icône d’édition (les criticités par défaut ne sont pas modifiables)
- Remplir le formulaire
- Cliquer sur le bouton « Sauvegarder »
Supprimer une criticité
- Cliquer sur Réglages > Criticités
- Cliquer sur l’icône de suppression (les criticités par défaut ne peuvent pas être supprimées)
Assigner une criticité à un actif
- Cliquer sur Inventaire
- Cocher la ligne des actifs auxquels assigner la criticité
- Cliquer sur « Édition groupée »
- Cliquer sur « Modifier la criticité » dans la liste déroulante
- Cliquer sur la criticité désirée