Définition: Niveau de gravité
Le degré de gravité d’une vulnérabilité peut être déterminé au moyen du «Common Vulnerability Scoring System» (CVSS). Le site Web du Forum of Incident Response and Security Teams met à disposition un outil interactif permettant d’effectuer cette évaluation (en anglais uniquement): https://www.first.org/cvss/calculator/3.0.
Critique (score CVSS v3: 9.0-10.0): une des caractéristiques des vulnérabilités critiques est qu'il n'est pas nécessaire d'avoir une interaction avec la personne ciblée. Ainsi, l'attaquant n'a pas besoin d'obtenir au préalable des informations particulières concernant sa cible. Un exemple typique de vulnérabilité critique est l'exécution de code à distance (Remote Code Execution). Cette catégorie de vulnérabilité peut être à l’origine, entre autres, de fuites de données personnelles ou de la perte d'anonymat.
Élevé (score CVSS v3: 7.0-8.9): pour pouvoir exploiter cette vulnérabilité, il est nécessaire d'interagir avec un utilisateur (ingénierie sociale). De cette manière, l'attaquant peut obtenir des privilèges étendus. Cette catégorie de vulnérabilité peut être à l’origine de fuites de données.
Moyen (score CVSS v3: 4.0-6.9): l'accès permettant d'exploiter cette vulnérabilité est restreint. En outre, l'attaquant doit se trouver dans le même système que sa victime. Cette catégorie de vulnérabilité ne concerne pas les données ou concerne uniquement une partie de celles-ci.
Faible (score CVSS v3: 0.1-3.9): cette vulnérabilité n'a pas d’incidence sur les fonctionnalités ou les données. Les problèmes de mise en page et les fautes d’orthographe appartiennent également à cette catégorie.
