Dans notre précédent article de blog – Patch Tuesday : octobre 2020 –, nous avons brièvement abordé les « Common Vulnerabilities and Exposures » (CVE) et la manière dont les vulnérabilités logicielles sont répertoriées dans la National Vulnerability Database (NVD). Dans cet article, nous allons approfondir un peu plus la genèse de la NVD et la manière dont elle aide les professionnels de la sécurité informatique à évaluer et à renforcer la posture de sécurité de leur organisation.
Qu'est-ce que la Base de données nationale sur les vulnérabilités (NVD) et qui en assure la gestion ?
La National Vulnerability Database (NVD) est une base de données exhaustive répertoriant les vulnérabilités connues signalées auxquelles un identifiant CVE a été attribué. Elle est gérée par l'Institut national des normes et des technologies (NIST) et parrainée par le Centre national d'intégration de la cybersécurité et des communications du Département de la sécurité intérieure, ainsi que par le programme de déploiement de la sécurité des réseaux.
Quand le NVD a-t-il été créé ?
Le NVD a été créé en 2000 et s'appelait à l'origine « Internet – Categorization of Attacks Toolkit » (ICAT). Il a ensuite évolué pour devenir la base de données sur les vulnérabilités qu'il est aujourd'hui.
Que propose le NVD ?
Le NVD propose des analyses sur les CVE – le répertoire des failles de sécurité connues – et assure les missions suivantes :
- Attribue un score CVSS (Common Vulnerability Scoring System) à chaque vulnérabilité
- Détermine les types de vulnérabilités – Common Weakness Enumerations (CWE)
- Définit les déclarations d'applicabilité – Common Platform Enumeration (CPE)
- Fournit diverses autres informations relatives au fonctionnement de la vulnérabilité et à son exploitation, c'est-à-dire à la manière dont les cybercriminels peuvent la mettre à profit.
Ces informations peuvent aider les organisations à hiérarchiser les vulnérabilités et les correctifs qu'elles doivent déployer pour assurer la sécurité de leur infrastructure informatique.
Quelles informations relatives à la notation sont fournies pour chaque vulnérabilité ?
Le système commun de notation des vulnérabilités (CVSS) est un ensemble de normes ouvertes utilisées pour évaluer une vulnérabilité et lui attribuer un niveau de gravité sur une échelle de 0 à 10. Le NVD fournit des « scores de base » CVSS qui reflètent les caractéristiques intrinsèques de chaque vulnérabilité. Les niveaux de gravité, conformément aux spécifications de la version 3.0 du CVSS, sont les suivants :
| Gravité | Note de base |
|---|---|
| Aucun | 0.0 |
| Faible | 0,1 – 3,9 |
| Moyen | 4,0 – 6,9 |
| Élevé | 7,0 – 8,9 |
| Critique | 9,0 – 10,0 |
Vulnérabilités et expositions courantes (CVE)
Le système « Common Vulnerabilities and Exposures » (CVE) est une norme de référencement des failles de sécurité connues du grand public. Lancé en 1999 par MITRE, un organisme de recherche financé par le gouvernement, le CVE répertorie les menaces de sécurité.
Au-delà d'une simple base de données, CVE permet aux organisations d'établir une référence concernant la couverture de leurs outils de sécurité. Il leur permet de mettre en corrélation les données relatives aux vulnérabilités avec les services et l'utilisation de leurs outils de sécurité.
Quel est l'objectif du CVE ?
L'objectif principal du CVE est d'uniformiser la manière dont une faille de sécurité ou un risque est identifié, à l'aide d'un numéro d'identification, d'une description et d'au moins une référence publique. Le CVE est gratuit et accessible à tous. Un exemple d'identifiant CVE est CVE-2020-16891, qui comprend le préfixe CVE, l'année d'attribution de l'identifiant ou l'année de divulgation de la faille, ainsi qu'un numéro séquentiel.
La description du CVE comprend des informations telles que le nom du produit et du fournisseur concernés, un résumé des versions affectées, le type de vulnérabilité, l'impact, les droits d'accès dont un attaquant a besoin pour exploiter la vulnérabilité, ainsi que les éléments de code ou les données d'entrée importants en cause.
La référence CVE comprend les rapports de vulnérabilité, les avis de sécurité ou les sources qui décrivent en détail la vulnérabilité et les exploits qui pourraient en découler.
Quelle est la différence entre NVD et CVE ?
Bien que ces deux listes/bases de données soient souvent mentionnées comme si elles étaient interchangeables, il s’agit en réalité d’entités distinctes, bien qu’interconnectées. Le CVE est essentiellement une liste d’entrées de vulnérabilités, tandis que le NVD est une base de données plus complète qui s’appuie sur la liste CVE et est entièrement synchronisée avec celle-ci, de sorte que toute mise à jour apportée à la liste CVE apparaît dans le NVD. Le NVD ajoute également une composante d’analyse pour chaque vulnérabilité, comme décrit ci-dessus. Selon MITRE, la liste CVE alimente le NVD. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) du Département américain de la sécurité intérieure (DHS) parraine les deux.
Combien de failles de sécurité sont signalées chaque année ?
Le paysage des cybermenaces s'étend à mesure que la technologie évolue, et le nombre de vulnérabilités logicielles signalées augmente chaque année. Par exemple, alors que 6 447 vulnérabilités avaient été identifiées en 2016, ce chiffre a pratiquement doublé pour atteindre 12 174 en 2019.
Les cyberattaques peuvent être orchestrées à partir des informations issues des bases de données CVE et NVD. Il est donc important de corriger rapidement les vulnérabilités affectant vos systèmes afin d'assurer la sécurité de vos systèmes informatiques et de vos données. Le niveau de gravité de la vulnérabilité vous aide à déterminer l'ordre de priorité pour le déploiement des correctifs dans votre environnement.
Kaseya VSA automatise la gestion des correctifs logiciels afin de corriger les vulnérabilités et de maintenir les logiciels à jour. Grâce à Kaseya VSA, vous pouvez surveiller les vulnérabilités et consulter l'état des correctifs de l'ensemble de votre environnement informatique depuis une seule console.
Pour en savoir plus sur la gestion des correctifs de Kaseya VSA, demandez un essai gratuit ou une démonstration gratuite.
