Langue: Français
12 oct. , 09:00–09:50 (America/New_York), Track 1 (206b)
Depuis plusieurs années déjà, CVSS est une métrique phare dans l'évaluation des vulnérabilités. CVSS 3.1 est cependant l'objet de plusieurs critiques amplifiées par la croissance rapide du nombre de vulnérabilités découvertes. Le 1er novembre 2023, CVSS 4.0 a été officiellement publiée et cette version commence à s'installer dans les pratiques. S'agit-il d'une évolution ou d'une révolution?
Présentation + intro
Pourquoi utiliser CVSS dans un programme de gestion des vulnérabilités?
• Portrait statistique des vulnérabilités
• Objectif : priorisation
• Approche basée sur le risque
• Historique de CVSS
• Présentation sommaire de CVSS 3.0/3.1
CVSS 4.0 : qu'y a-t-il de nouveau?
• Présentation détaillée de CVSS 4.0
○ Base Metric Group
○ Threat Metric Group
○ Environmental Metric Group
○ Supplemental Metric Group
• Forces de CVSS 4.0
Alors, évolution ou révolution?
• Comparaison en CVSS 3.1 et CVSS 4.0
• Lacunes toujours présentes
• Importance de la contextualisation
Approches différentes
• EPSS
• SSVC
Références
Depuis plus de 20 ans, Jocelyn a occupé différents postes TI auprès d'organisations variées. Il est actuellement membre d'une équipe de sécurité opérationnelle dans une organisation publique, en plus d'enseigner dans un programme collégial de "Prévention et intervention en cybersécurité". Toujours intéressé à discuter des enjeux liés aux TI et à la cybersécurité, il apprécie particulièrement les évènements comme le Hackfest.