Offensif
CVSS
Définition
Le CVSS (Common Vulnerability Scoring System) est un standard ouvert qui note la gravité technique d'une vulnérabilité sur une échelle de 0 à 10. Il repose sur des groupes de métriques - de base (Base), liées à la menace (Threat) et environnementales (Environmental) - qui décrivent la facilité d'exploitation et l'impact. La version en vigueur est CVSS v4.0, publiée par le FIRST.
Pourquoi c'est important
Le CVSS aide à hiérarchiser des milliers de vulnérabilités, mais son score de base seul est souvent mal utilisé. Une CVE notée 9,8 sur un actif isolé et non exposé peut être moins urgente qu'une 6,5 sur un serveur exposé et critique : c'est pourquoi les métriques environnementales et le contexte métier sont essentiels. En 2026, coupler le CVSS à des indicateurs d'exploitation réelle (comme l'EPSS ou le catalogue des vulnérabilités activement exploitées) devient la norme d'une priorisation saine. Autrement dit, un score élevé attire l'attention, mais c'est la probabilité d'exploitation combinée à la valeur de l'actif qui doit guider l'ordre des corrections.
Comment AOCSI l'adresse
Nous ne livrons jamais un score brut sans contexte : nos rapports pondèrent le CVSS par l'exposition, l'exploitabilité et la criticité métier de l'actif. Nous formons aussi vos équipes à lire un vecteur CVSS complet plutôt qu'à s'arrêter au chiffre affiché, pour éviter les décisions de remédiation biaisées. Cette priorisation guide les plans de remédiation issus de notre audit de cybersécurité.
De la définition à la protection.
Nos experts transforment ces concepts en sécurité concrète pour votre organisation.