Calcul CVSS en ligne

Évaluez rapidement la gravité d’une vulnérabilité avec un calculateur CVSS v3.1 premium. Sélectionnez les métriques de base, obtenez le score, la sévérité, le vecteur CVSS et une visualisation graphique claire pour faciliter vos priorités de remédiation.

Calculateur CVSS v3.1

Renseignez les métriques de base du Common Vulnerability Scoring System. Le calcul est effectué localement en JavaScript, sans rechargement de page.

Attack Vector (AV)

Attack Complexity (AC)

Privileges Required (PR)

User Interaction (UI)

Scope (S)

Confidentiality (C)

Integrity (I)

Availability (A)

Le résultat apparaîtra ici après le calcul.

Guide expert du calcul CVSS

Le calcul CVSS est une étape essentielle dans tout programme moderne de gestion des vulnérabilités. CVSS signifie Common Vulnerability Scoring System. Il s’agit d’un standard ouvert utilisé pour mesurer la gravité technique d’une faille de sécurité, de manière reproductible, compréhensible et comparable entre organisations. Quand une équipe SOC, un RSSI, un analyste pentest ou un administrateur système doit décider quelles vulnérabilités traiter en priorité, le score CVSS sert de point de départ fiable. Il n’est pas la seule mesure à considérer, mais il offre une base commune extrêmement utile.

En pratique, le calcul CVSS produit un score numérique de 0.0 à 10.0. Ce score est ensuite associé à un niveau de sévérité : None, Low, Medium, High ou Critical. Plus le score est élevé, plus l’impact potentiel de la vulnérabilité est important. Le modèle CVSS v3.1, encore largement utilisé dans les référentiels publics, repose principalement sur des métriques techniques qui décrivent la facilité d’exploitation et les conséquences sur la confidentialité, l’intégrité et la disponibilité.

Un bon réflexe consiste à utiliser le score CVSS comme base, puis à le compléter avec le contexte métier, l’exposition réelle de l’actif, l’existence d’exploits publics et la criticité de la donnée traitée.

Pourquoi le calcul CVSS est-il si important ?

Les entreprises gèrent aujourd’hui des milliers de composants logiciels, d’équipements réseau, de services cloud et d’API. Sans méthode de priorisation, les équipes sécurité risquent de traiter les vulnérabilités dans le désordre. Le calcul CVSS apporte une structure. Il permet de répondre rapidement à plusieurs questions : la faille est-elle exploitable à distance ? nécessite-t-elle des privilèges ? une interaction utilisateur ? quel est l’impact attendu si l’attaque réussit ?

Cette standardisation facilite également les échanges entre éditeurs, chercheurs, équipes internes et auditeurs. Lorsqu’une CVE est publiée dans la National Vulnerability Database de NIST, son score CVSS aide immédiatement à situer son niveau de gravité. Les autorités comme la CISA utilisent aussi des indicateurs de sévérité et d’exploitation active pour guider les priorités de remédiation. Pour approfondir le standard lui-même, la documentation du forum FIRST reste la référence internationale.

Les métriques de base utilisées dans un calcul CVSS v3.1

Le calculateur ci-dessus repose sur les huit métriques de base du standard CVSS v3.1. Chacune joue un rôle précis dans le score final :

Attack Vector (AV) : indique si l’attaque est réalisable via le réseau, un segment adjacent, un accès local ou un accès physique.
Attack Complexity (AC) : mesure si l’exploitation exige des conditions particulières ou reste simple à reproduire.
Privileges Required (PR) : précise si l’attaquant doit déjà disposer d’un compte ou de privilèges.
User Interaction (UI) : évalue si une action de l’utilisateur est nécessaire, par exemple cliquer sur un lien piégé.
Scope (S) : détermine si l’impact sort du périmètre de sécurité initialement vulnérable.
Confidentiality (C) : impact sur la confidentialité des informations.
Integrity (I) : impact sur la fiabilité et la modification des données.
Availability (A) : impact sur la disponibilité du service ou du système.

Dans le détail, les quatre premières métriques contribuent à l’exploitabilité, tandis que les trois métriques CIA, combinées avec la portée Scope, influencent la composante impact. Le score final résulte ensuite d’une formule officielle qui combine ces deux dimensions. C’est précisément ce que fait ce calculateur.

Comment interpréter un score CVSS

Le score numérique est utile, mais sa bonne interprétation l’est encore plus. Un score 9.8 n’implique pas automatiquement qu’une faille doit être traitée avant une faille à 8.1. En réalité, tout dépend du contexte. Une vulnérabilité de score moyen sur un actif directement exposé à Internet, contenant des données sensibles, peut représenter un risque métier supérieur à une faille critique sur une machine isolée.

Commencez par la sévérité technique : c’est le rôle du CVSS.
Ajoutez l’exposition réelle : Internet, VPN, réseau interne, environnement de test.
Vérifiez l’existence d’un exploit public : PoC, exploitation active, intégration dans des kits d’attaque.
Intégrez la criticité métier : données santé, identité, paiement, production industrielle.
Décidez du délai de traitement : urgence immédiate, patch planifié, mesure compensatoire.

Exemple de vulnérabilité	CVE	Score CVSS v3.x	Niveau	Pourquoi ce score est marquant
Log4Shell	CVE-2021-44228	10.0	Critical	Exécution de code à distance, exposition Internet fréquente, exploitation massive et rapide.
BlueKeep	CVE-2019-0708	9.8	Critical	Vulnérabilité réseau sans interaction utilisateur, très sensible pour les systèmes non patchés.
ProxyLogon	CVE-2021-26855	9.8	Critical	Impact majeur sur Microsoft Exchange avec compromission potentielle d’environnements critiques.
Heartbleed	CVE-2014-0160	7.5	High	Fuite mémoire à distance affectant la confidentialité, avec conséquences très médiatisées.

Pourquoi certaines vulnérabilités très dangereuses n’ont pas 10.0

Beaucoup de professionnels découvrent avec surprise qu’une faille célèbre n’obtient pas forcément un score maximal. Cela s’explique par la logique du modèle. Si une attaque requiert une interaction utilisateur, des privilèges initiaux ou des conditions précises, la composante d’exploitabilité baisse. À l’inverse, une faille facilement exploitable à distance, sans authentification et avec un impact fort sur la confidentialité, l’intégrité et la disponibilité atteint souvent les niveaux les plus élevés.

Les limites du calcul CVSS

Le CVSS n’est pas un modèle de risque métier complet. Il mesure d’abord la gravité intrinsèque d’une vulnérabilité, pas son effet direct sur votre entreprise. Il ne sait pas si votre serveur est exposé à Internet, si un correctif est déjà prêt, si un WAF bloque l’exploitation ou si l’application est hors production. Il ne remplace pas non plus l’analyse de menace, le scoring interne, ni les contraintes réglementaires.

Voici les principales limites à garder en tête :

Le score ne reflète pas automatiquement la probabilité réelle d’exploitation dans votre environnement.
Deux vulnérabilités avec le même score peuvent exiger des réponses opérationnelles différentes.
Le CVSS ne mesure pas directement le coût financier ou l’impact réputationnel.
La base score seule ignore certaines dimensions contextuelles que les métriques temporelles et environnementales peuvent mieux représenter.

Autrement dit, le calcul CVSS est une excellente base de tri, mais il devient vraiment puissant lorsqu’il est combiné à d’autres sources comme l’inventaire d’actifs, les scans de surface d’attaque, l’EPSS, les alertes CERT, les flux CTI et les priorités métiers.

Comparer la sévérité technique à l’impact économique

Le lien entre sévérité technique et dommage financier n’est pas strictement linéaire, mais il reste très fort. Une vulnérabilité mal priorisée peut aboutir à une compromission significative, à des interruptions de service et à des coûts élevés de réponse à incident. Le tableau ci-dessous illustre quelques statistiques fréquemment citées dans la gouvernance cyber pour rappeler qu’un score technique doit toujours être relié à une vision plus large de l’impact.

Indicateur	Statistique	Source	Lecture pour la priorisation
Coût moyen mondial d’une violation de données	4,88 M$	IBM Cost of a Data Breach Report 2024	Une vulnérabilité critique non traitée peut déboucher sur un impact financier majeur.
Coût moyen aux États-Unis	9,36 M$	IBM Cost of a Data Breach Report 2024	Les organisations très exposées doivent réduire fortement les délais de remédiation.
Part des violations impliquant l’élément humain	68 %	Verizon DBIR 2024	Une vulnérabilité avec interaction utilisateur peut rester très dangereuse en pratique.

Comment utiliser concrètement votre score

Après avoir obtenu le résultat du calcul CVSS, vous pouvez l’intégrer à un processus de décision simple et efficace. Par exemple :

Score 9.0 à 10.0 : validation immédiate, recherche d’exposition Internet, patch ou mitigation d’urgence.
Score 7.0 à 8.9 : traitement prioritaire dans la fenêtre la plus courte possible, surtout sur des actifs critiques.
Score 4.0 à 6.9 : planification rapide, contrôle des compensations existantes, suivi renforcé.
Score 0.1 à 3.9 : traitement selon contexte, dette technique, conformité et facilité de correction.

Dans un cadre mature, on ajoute souvent des règles telles que : toute vulnérabilité CVSS élevé + actif exposé + preuve d’exploitation publique = correction accélérée. Cette logique permet d’éviter les angles morts créés par une lecture uniquement académique du score.

Bonnes pratiques pour fiabiliser un calcul CVSS

Travaillez à partir de faits techniques vérifiés : mode d’accès, besoin de privilèges, impact réellement observable.
Utilisez la même version du standard dans tout votre programme, idéalement CVSS v3.1 tant que votre référentiel l’exige.
Documentez le vecteur : il est souvent plus parlant que le score seul, car il explique le raisonnement.
Revoyez les scores internes si le contexte change, par exemple après une mise en production publique.
Corrélez avec les données de threat intelligence pour distinguer gravité technique et urgence opérationnelle.

Exemple de lecture d’un vecteur CVSS

Supposons un vecteur du type CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Il décrit une faille exploitable via le réseau, avec faible complexité, sans privilège, sans interaction utilisateur, portée inchangée et un impact élevé sur la confidentialité, l’intégrité et la disponibilité. C’est la signature typique d’une vulnérabilité extrêmement prioritaire. À l’inverse, un vecteur nécessitant un accès local, des privilèges et une interaction utilisateur donnera généralement un score inférieur.

Ressources officielles pour aller plus loin

Pour renforcer la qualité de votre démarche de scoring, consultez les sources officielles suivantes :

NVD de NIST pour les fiches CVE, les scores et les enrichissements.
Catalogue KEV de la CISA pour les vulnérabilités activement exploitées.
Documentation officielle FIRST sur CVSS pour la méthode, les formules et l’interprétation.

Conclusion

Le calcul CVSS reste l’un des outils les plus utiles pour structurer la priorisation des vulnérabilités. Bien employé, il permet d’harmoniser les décisions, d’accélérer le tri initial et de communiquer clairement sur la gravité technique d’une faille. Son vrai potentiel apparaît lorsqu’il est combiné à la réalité opérationnelle : exposition, criticité métier, preuves d’exploitation, mesures compensatoires et délai de patch. Utilisez donc le score comme un socle objectif, puis enrichissez-le avec votre contexte. C’est cette approche qui transforme un simple chiffre en décision de sécurité pertinente.

Calcul Cvss