Close

Niveaux de gravité des problèmes de sécurité


Niveaux de gravité

Les avertissements de sécurité Atlassian incluent un niveau de gravité. Ce niveau est basé sur notre score CVSS auto-calculé pour chaque vulnérabilité spécifique. CVSS est une mesure de vulnérabilité standard du secteur. Pour en savoir plus sur CVSS, consultez le site FIRST.org.

  • Critique
  • Élevé
  • Modérée
  • Faible

Pour CVSS v3, Atlassian utilise le système de notation de gravité suivant :

PLAGE DE SCORE CVSS V3
GRAVITÉ DE L'AVERTISSEMENT

0,1 - 3,9

Faible

4,0 - 6,9

Modérée

7,0 - 8,9

Élevé

9,0 - 10,0

Critique

Dans certains cas, Atlassian peut utiliser des facteurs supplémentaires non liés au score CVSS pour déterminer le niveau de gravité d'une vulnérabilité. Cette approche est compatible avec la spécification CVSS v3.1 :

Conseil de pro :

Les consommateurs peuvent utiliser les informations CVSS comme données d'entrée dans un processus de gestion des vulnérabilités organisationnelles qui prend également en compte des facteurs ne faisant pas partie du CVSS afin de classer les menaces pesant sur leur infrastructure technologique et de prendre des décisions de remédiation éclairées. Ces facteurs peuvent inclure : le nombre de clients sur une gamme de produits, les pertes financières dues à une violation, la vie ou les biens menacés, ou encore le sentiment du public à l'égard de vulnérabilités très médiatisées. Ils ne relèvent pas du champ d'application du CVSS.

Dans les cas où Atlassian adopte cette approche, nous décrirons quels facteurs supplémentaires ont été pris en compte et pourquoi lors de la divulgation publique de la vulnérabilité.

Vous trouverez ci-dessous quelques exemples de vulnérabilités pouvant entraîner un niveau de gravité donné. N'oubliez pas que cette notation ne prend pas en compte les détails de votre installation et doit être utilisée uniquement à titre indicatif.

Niveau de gravité : critique

Les vulnérabilités affichant un score « critique » présentent généralement la plupart des caractéristiques suivantes :

  • L'exploitation de la vulnérabilité entraîne probablement une compromission au niveau racine des serveurs ou des périphériques d'infrastructure.
  • L'exploitation est généralement simple, dans le sens où l'attaquant n'a pas besoin d'informations d'authentification ou de connaissances spécifiques sur les victimes, et ne doit pas persuader un utilisateur cible (par exemple, via l'ingénierie sociale) de remplir des fonctions spéciales.

Pour les vulnérabilités critiques, il est conseillé de procéder à la correction ou à la mise à niveau dès que possible, sauf si vous avez mis en place d'autres mesures d'atténuation (par exemple, rendre votre installation inaccessible depuis Internet).

Niveau de gravité : élevé

Les vulnérabilités affichant un score « élevé » présentent généralement certaines des caractéristiques suivantes :

  • La vulnérabilité est difficile à exploiter.
  • L'exploitation pourrait entraîner une élévation des privilèges.
  • L'exploitation pourrait entraîner une perte de données importante ou un temps d'arrêt.

Niveau de gravité : moyen

Les vulnérabilités affichant un score « moyen » présentent généralement certaines des caractéristiques suivantes :

  • Vulnérabilités qui obligent l'attaquant à manipuler certaines victimes en employant des tactiques d'ingénierie sociale.
  • Vulnérabilités liées à un déni de service difficiles à mettre en place.
  • Exploits qui nécessitent qu'un attaquant réside sur le même réseau local que la victime.
  • Vulnérabilités où l'exploitation ne fournit qu'un accès très limité.
  • Vulnérabilités qui nécessitent des privilèges utilisateur pour une exploitation réussie.

Niveau de gravité : faible

Les vulnérabilités affichant un score « faible » ont généralement très peu d'impact sur les activités d'une organisation. Leur exploitation nécessite généralement un accès au système local ou physique. Les vulnérabilités du code tiers qui ne sont pas accessibles depuis le code Atlassian peuvent être rétrogradées à un niveau de gravité faible.