Glossaire

CVSS (Common Vulnerability Scoring System)

Système standardisé de notation de la sévérité des vulnérabilités, de 0 à 10. Le score CVSS prend en compte la complexité d'exploitation, l'impact sur la confidentialité, l'intégrité et la disponibilité. Il est utilisé dans tous les rapports d'audit professionnels. Dans le contexte d'un logiciel RH/paie, un score CVSS élevé sur une faille exposant des bulletins de paie justifie une remédiation immédiate.

Comment se lit un score CVSS

Le Common Vulnerability Scoring System note la gravité d'une vulnérabilité de 0 à 10 à partir de métriques objectives : vecteur d'attaque (réseau, local...), complexité, privilèges requis, interaction utilisateur, et impact sur la confidentialité, l'intégrité et la disponibilité. Les plages usuelles : 0,1–3,9 faible, 4,0–6,9 moyen, 7,0–8,9 élevé, 9,0–10 critique. Le score de base est publié pour chaque CVE ; les scores temporels et environnementaux affinent selon l'existence d'exploits et votre contexte.

Les limites du CVSS pour prioriser

Le CVSS mesure une gravité technique intrinsèque, pas votre risque réel. Une faille CVSS 9,8 sur un composant non exposé peut être moins urgente qu'une faille 6,5 sur votre portail de connexion. Pour un SaaS RH, la bonne priorisation croise le score avec l'exposition réelle du composant, l'exploitabilité observée (catalogue KEV de la CISA, scores EPSS) et la sensibilité des données atteignables — un bulletin de paie n'a pas la même valeur qu'une page publique. C'est ce raisonnement, plus que le score brut, qui doit guider vos correctifs.

L'approche CleanIssue

Dans nos rapports, chaque constat reçoit une gravité qui combine la logique CVSS avec l'impact métier réel pour un éditeur RH : quelles données salariés sont atteignables, depuis quel niveau d'accès, avec quelle facilité. Résultat : une liste de corrections priorisée que votre équipe peut exécuter dans l'ordre, plutôt qu'une pile de scores décontextualisés.

Questions fréquentes

Un CVSS de 9 signifie-t-il un danger immédiat ?

Pas nécessairement. Le score de base ne tient pas compte de votre contexte : si le composant vulnérable n'est pas exposé ou si la fonctionnalité touchée n'est pas utilisée, le risque réel peut être limité. Inversement, une faille de score moyen sur un endpoint critique exposé peut être une priorité absolue.

Quelle version du CVSS utiliser ?

CVSS v3.1 reste la référence la plus répandue ; la v4.0, publiée fin 2023, affine les métriques (exigences d'attaque, automatisation). En pratique, l'important est la cohérence : utilisez la même version pour comparer vos vulnérabilités, et complétez toujours par l'analyse d'exposition réelle.

CVSS et EPSS, quelle différence ?

Le CVSS estime la gravité si la faille est exploitée ; l'EPSS estime la probabilité qu'elle le soit dans les 30 jours, à partir de données d'exploitation observées. Croiser les deux (gravité × probabilité) donne une bien meilleure priorisation que le CVSS seul.

Pages associées

Autres termes

Besoin d'une revue externe de votre SaaS RH ?

Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

Parler de votre audit