Le NCSC britannique publie une méthode pour évaluer les vulnérabilités « pardonnables » et « impardonnables »
Londres, 28 janvier 2025 – Le Centre national de cybersécurité (NCSC) britannique a publié un nouvel article intitulé « Une méthode d’évaluation des vulnérabilités « pardonnables » et « impardonnables » ». Ce document présente une approche innovante pour évaluer la gravité des vulnérabilités logicielles en fonction de leur exploitabilité et de leur impact.
Contexte
L’écosystème logiciel moderne est complexe, en évolution rapide et interconnecté. Cette complexité a entraîné une augmentation significative du nombre de vulnérabilités découvertes chaque année. Toutes les vulnérabilités ne sont toutefois pas égales. Certaines présentent un risque élevé pour les organisations, tandis que d’autres sont moins critiques.
Méthode d’évaluation
La méthode développée par le NCSC classe les vulnérabilités en deux catégories : « pardonnables » et « impardonnables ». Les vulnérabilités pardonnables sont celles qui peuvent être exploitées de manière fiable uniquement dans des conditions idéales et nécessitent une séquence d’événements peu probable ou artificielle. Les vulnérabilités impardonnables, en revanche, peuvent être exploitées de manière fiable et prévisible, même par des attaquants peu habiles.
Facteurs d’évaluation
La méthode prend en compte plusieurs facteurs pour évaluer l’exploitabilité et l’impact des vulnérabilités, notamment :
- Accès vectoriel : La facilité avec laquelle un attaquant peut obtenir l’accès initial au système cible.
- Complexité d’exploitation : Le niveau d’expertise technique requis pour exploiter la vulnérabilité.
- Privilèges requis : Les privilèges nécessaires pour réussir l’exploitation.
- Impact : La mesure dans laquelle l’exploitation d’une vulnérabilité peut perturber les activités de l’organisation.
Implications
Cette nouvelle méthode d’évaluation présente plusieurs implications importantes :
- Elle permet aux organisations de hiérarchiser les vulnérabilités les plus critiques et d’allouer leurs ressources en conséquence.
- Elle oriente les efforts de développement des correctifs en identifiant les vulnérabilités qui nécessitent une attention immédiate.
- Elle améliore la communication entre les équipes de sécurité et les développeurs de logiciels en fournissant un langage commun pour évaluer les risques.
Conclusion
La méthode développée par le NCSC britannique constitue un outil précieux pour les organisations cherchant à améliorer leur posture de cybersécurité. En permettant d’évaluer la gravité des vulnérabilités de manière objective et uniforme, elle facilite la prise de décisions éclairées et permet de concentrer les efforts sur les risques les plus importants.
A method to assess ‘forgivable’ vs ‘unforgivable’ vulnerabilities
L’IA nous a apporté la nouvelle.
J’ai posé la question suivante à Google Gemini, et voici sa réponse.
UK National Cyber Security Centre a publié un nouvel article le 2025-01-28 11:09 intitulé « A method to assess ‘forgivable’ vs ‘unforgivable’ vulnerabilities ». Veuillez rédiger un article détaillé sur cette nouvelle, en incluant toute information pertinente. Les réponses doivent être rédigées Français.
105