Hackfest 2024 - 16-bit Edition

Your locale preferences have been saved. We like to think that we have excellent support for English in pretalx, but if you encounter issues or errors, please contact us!

CVSS 4.0 : Évolution ou révolution?
10-12, 09:00–09:50 (America/New_York), Track 1 (206b)
Language: Français

Depuis plusieurs années déjà, CVSS est une métrique phare dans l'évaluation des vulnérabilités. CVSS 3.1 est cependant l'objet de plusieurs critiques amplifiées par la croissance rapide du nombre de vulnérabilités découvertes. Le 1er novembre 2023, CVSS 4.0 a été officiellement publiée et cette version commence à s'installer dans les pratiques. S'agit-il d'une évolution ou d'une révolution?


Présentation + intro

Pourquoi utiliser CVSS dans un programme de gestion des vulnérabilités?
• Portrait statistique des vulnérabilités
• Objectif : priorisation
• Approche basée sur le risque
• Historique de CVSS
• Présentation sommaire de CVSS 3.0/3.1

CVSS 4.0 : qu'y a-t-il de nouveau?
• Présentation détaillée de CVSS 4.0
○ Base Metric Group
○ Threat Metric Group
○ Environmental Metric Group
○ Supplemental Metric Group
• Forces de CVSS 4.0

Alors, évolution ou révolution?
• Comparaison en CVSS 3.1 et CVSS 4.0
• Lacunes toujours présentes
• Importance de la contextualisation

Approches différentes
• EPSS
• SSVC

Références

Depuis plus de 20 ans, Jocelyn a occupé différents postes TI auprès d'organisations variées. Il est actuellement membre d'une équipe de sécurité opérationnelle dans une organisation publique, en plus d'enseigner dans un programme collégial de "Prévention et intervention en cybersécurité". Toujours intéressé à discuter des enjeux liés aux TI et à la cybersécurité, il apprécie particulièrement les évènements comme le Hackfest.