Close

Niveaux de gravité des problèmes de sécurité


Sources de vulnérabilité

  • Tickets de scanners de sécurité tels que ceux déposés par Nexpose et Snyk
  • Résultats du programme Bug Bounty découverts par des chercheurs en sécurité grâce à Bugcrowd
  • Failles de sécurité signalées par l'équipe de sécurité dans le cadre de revues
  • Failles de sécurité signalées par les équipes Atlassian

Framework et évaluation de gravité

Atlassian utilise le système CVSS (Common Vulnerability Scoring System) pour évaluer les risques de sécurité et prioriser chaque vulnérabilité découverte. CVSS est une métrique de vulnérabilité standard du secteur. Pour en savoir plus sur CVSS, consultez le site FIRST.org.

Niveaux de gravité

Les avertissements de sécurité Atlassian incluent un niveau de gravité. Ce niveau est basé sur notre score CVSS auto-calculé pour chaque vulnérabilité spécifique.

  • Critique
  • Élevée
  • Modérée
  • Faible

Pour CVSS v3, Atlassian utilise le système de notation de gravité suivant :

PLAGE DE SCORE CVSS V3
GRAVITÉ DE L'AVERTISSEMENT

9,0 - 10,0

Critique

7,0 - 8,9

Élevée

4,0 - 6,9

Modérée

0,1 - 3,9

Faible

Dans certains cas, Atlassian peut utiliser des facteurs supplémentaires non liés au score CVSS pour déterminer le niveau de gravité d'une vulnérabilité. Cette approche est compatible avec la spécification CVSS v3.1 :

Conseil de pro :

Les consommateurs peuvent utiliser les informations CVSS comme données d'entrée dans un processus de gestion des vulnérabilités organisationnelles qui prend également en compte des facteurs ne faisant pas partie du CVSS afin de classer les menaces pesant sur leur infrastructure technologique et de prendre des décisions de remédiation éclairées. Ces facteurs peuvent inclure : le nombre de clients sur une gamme de produits, les pertes financières dues à une violation, la vie ou les biens menacés, ou encore le sentiment du public à l'égard de vulnérabilités très médiatisées. Ils ne relèvent pas du champ d'application du CVSS.

Dans les cas où Atlassian adopte cette approche, nous décrirons quels facteurs supplémentaires ont été pris en compte et pourquoi lors de la divulgation publique de la vulnérabilité.

Vous trouverez ci-dessous quelques exemples de vulnérabilités pouvant entraîner un niveau de gravité donné. N'oubliez pas que cette notation ne prend pas en compte les détails de votre installation et doit être utilisée uniquement à titre indicatif.

Niveau de gravité : critique

Les vulnérabilités affichant un score « critique » présentent généralement la plupart des caractéristiques suivantes :

  • L'exploitation de la vulnérabilité entraîne probablement une compromission au niveau racine des serveurs ou des périphériques d'infrastructure.
  • L'exploitation est généralement simple, dans le sens où l'attaquant n'a pas besoin d'informations d'authentification ou de connaissances spécifiques sur les victimes, et ne doit pas persuader un utilisateur cible (par exemple, via l'ingénierie sociale) de remplir des fonctions spéciales.

Pour les vulnérabilités critiques, il est conseillé de procéder à la correction ou à la mise à niveau dès que possible, sauf si vous avez mis en place d'autres mesures d'atténuation (par exemple, rendre votre installation inaccessible depuis Internet).

Niveau de gravité : élevé

Les vulnérabilités affichant un score « élevé » présentent généralement certaines des caractéristiques suivantes :

  • La vulnérabilité est difficile à exploiter.
  • L'exploitation pourrait entraîner une élévation des privilèges.
  • L'exploitation pourrait entraîner une perte de données importante ou un temps d'arrêt.

Niveau de gravité : moyen

Les vulnérabilités affichant un score « moyen » présentent généralement certaines des caractéristiques suivantes :

  • Vulnérabilités qui obligent l'attaquant à manipuler certaines victimes en employant des tactiques d'ingénierie sociale.
  • Vulnérabilités liées à un déni de service difficiles à mettre en place.
  • Exploits qui nécessitent qu'un attaquant réside sur le même réseau local que la victime.
  • Vulnérabilités où l'exploitation ne fournit qu'un accès très limité.
  • Vulnérabilités qui nécessitent des privilèges utilisateur pour une exploitation réussie.

Niveau de gravité : faible

Les vulnérabilités affichant un score « faible » ont généralement très peu d'impact sur les activités d'une organisation. Leur exploitation nécessite généralement un accès au système local ou physique. Les vulnérabilités du code tiers qui ne sont pas accessibles depuis le code Atlassian peuvent être rétrogradées à un niveau de gravité faible.

Chronologie de la remédiation

Atlassian fixe des objectifs de niveau de service pour la correction des failles de sécurité sur la base du niveau de gravité pour la sécurité et du produit affecté. Nous avons défini des délais pour résoudre les problèmes de sécurité conformément à notre politique de correction des bugs de sécurité.

Les délais de résolution accélérés s'appliquent aux produits suivants :

  • Tous les produits Atlassian basés dans le cloud
  • Jira Align (versions cloud et auto-gérée)
  • Tout autre logiciel ou système géré par Atlassian ou fonctionnant sur l'infrastructure Atlassian

Les délais de résolution étendus s'appliquent aux produits suivants :

  • Tous les produits Atlassian auto-gérés
    • Il s'agit des produits installés par les clients sur des systèmes qu'ils gèrent eux-mêmes
    • Entre autres, les apps Data Center, de bureau et mobiles d'Atlassian

Délai de résolution CVSS

Niveaux de gravité
Délais de résolution accélérés
Délais de résolution étendus

Critique

Dans un délai de 2 semaines après la vérification Dans un délai de 90 jours après la vérification

Élevée

Dans un délai de 4 semaines après la vérification Dans un délai de 90 jours après la vérification

Modérée

Dans un délai de 6 semaines après la vérification Dans un délai de 90 jours après la vérification

Faible

Dans un délai de 25 semaines après la vérification Dans un délai de 180 jours après la vérification