Le paysage numérique, en constante expansion et évolution, a donné lieu à un nombre croissant de vulnérabilités en matière de sécurité. Pour remédier à ce problème, un nouveau projet open-source appelé Vulnerability Impact Scoring System (VISS) a été mis en place. VISS est conçu pour améliorer les mesures de sécurité en fournissant un outil d’évaluation unique qui mesure l’impact des vulnérabilités du point de vue du défenseur. Cette approche innovante se concentre sur l’impact réel des menaces potentielles, plutôt que sur leur existence théorique.
Depuis mars 2023, Zoom, une plateforme de vidéoconférence de premier plan, utilise VISS pour évaluer les paiements de récompenses dans le cadre de son programme Bug Bounty. Ce programme encourage les chercheurs en sécurité et les utilisateurs de produits à découvrir et à divulguer les failles de sécurité, en leur offrant une protection juridique. L’intégration de VISS dans ce programme a permis à Zoom de hiérarchiser les vulnérabilités les plus susceptibles d’avoir un impact, ce qui a permis une utilisation plus efficace des ressources.
Le système d’évaluation de l’impact des vulnérabilités analyse les vulnérabilités sur la base de 13 aspects de l’impact. Ces aspects sont classés en trois groupes : plate-forme, infrastructure et données. La note obtenue, qui va de 0 à 100, reflète la gravité de l’impact dans un environnement spécifique. Ce système de notation fournit une mesure objective des dommages potentiels qu’une vulnérabilité peut infliger, permettant aux organisations de prioriser leurs efforts de réponse en conséquence.
Cotation de l’impact des vulnérabilités par ZOOM VISS
VISS a été mis à l’épreuve lors de l’événement de piratage en direct HackerOne H1-4420 qui s’est tenu à Londres en 2023. Cet événement a démontré l’efficacité de VISS pour améliorer l’allocation des ressources et se concentrer sur le traitement des vulnérabilités critiques et de haute gravité. La mise en œuvre de VISS a entraîné une réorientation des rapports de vulnérabilité vers ces catégories de gravité plus élevée, avec une réduction significative des rapports de gravité moyenne.
Cette tendance à cibler les vulnérabilités les plus graves témoigne de l’efficacité de VISS. En fournissant une mesure claire et objective de l’impact potentiel d’une vulnérabilité, VISS permet aux organisations de concentrer leurs ressources là où elles sont le plus nécessaires. Il en résulte un environnement numérique plus robuste et plus sûr.
VISS n’est pas seulement un outil pour les organisations individuelles, mais une mission globale visant à renforcer les mesures de sécurité. En fournissant une mesure complète et objective de l’impact des vulnérabilités, VISS vise à renforcer les capacités des équipes de sécurité et de réponse aux incidents dans le monde entier. La nature open-source du projet invite à contribuer à son développement, favorisant ainsi une approche collaborative de l’amélioration de la sécurité numérique.
Le développement et la mise en œuvre du système d’évaluation de l’impact des vulnérabilités constituent une avancée significative dans le domaine de la sécurité numérique. En se concentrant sur l’impact réel des vulnérabilités, VISS offre une approche plus réaliste et plus efficace de la gestion des menaces numériques. L’utilisation réussie du système dans le cadre du programme Bug Bounty de Zoom et de l’événement de piratage en direct H1-4420 de HackerOne montre qu’il peut transformer la manière dont les organisations réagissent aux vulnérabilités en matière de sécurité.
Le projet VISS est ouvert à l’exploration et à la contribution sous licence GPL 3.0 à l’adresse https://github.com/zoom/viss. Ce projet à code source ouvert témoigne de l’esprit de collaboration de la communauté numérique, invitant chacun à contribuer au développement et à l’amélioration continus de cet outil de sécurité innovant. Avec la poursuite du développement et de la mise en œuvre de VISS, l’avenir de la sécurité numérique semble prometteur.