Evaluation du niveau de risque
Le Cert-IST suit la métrique définie par le projet EISPP (format version 1.2) pour l'évaluation du niveau de risque des vulnérabilités.
Le
Risque indique au lecteur l’importance de la vulnérabilité, et le degré
d’urgence des mesures à mettre en œuvre pour contrer la menace. Le tableau
ci-dessous liste les recommandations du Cert-IST sur l'attitude à tenir en
fonction du niveau de risque.
|
Risque
|
Recommandation
|
|
Très élevé
|
Agir immédiatement sur tous les
systèmes
|
|
Elevé
|
Agir immédiatement sur les systèmes
frontaux et les serveurs
|
|
Moyen
|
Les actions peuvent être reportées,
mais une opération de maintenance sécurité doit être prévue dès à présent
|
|
Faible
|
Les actions peuvent être reportées
jusqu’à la prochaine opération de maintenance sécurité
|
Nomenclature des avis du Cert-IST
Les informations émises par le Cert-IST sont identifiées de la façon suivante : CERT-IST/tt-AAAA-nnn Vi.j
avec :
tt
Type d'information : AV pour les AVis de sécurité, AL pour les ALertes,
DG pour les DanGers potentiels, IF pour les InFormations intéressantes
AAAA Années (sur 4 chiffres)
nnn Numéro d'ordre dans l'année (sur 3 chiffres)
i.j Version de l'avis 1.0 est la version initiale
"j" est incrémenté pour chaque mise à jour mineure (ex: 1.1).
en cas de mise à jour majeure, "i" est incrémenté et "j" repasse à zéro (ex : 2.0)
Exemples :
- CERT-IST/AV-2005.100 V 1.0 pour le centième avis émis en 2005,
- CERT-IST/AV-2005.101 V 1.1 pour la première révision mineure du cent unième avis émis en 2005,
- CERT-IST/AV-2005.101 V 2.0 pour la première révision majeure du cent unième avis émis en 2005, etc...
Définition des niveaux de confiance
Les différents niveaux de confiance possibles sont les suivants :
Faille officielle et testée : faille émanant d'un organisme officiel (CERT, CIAC, ...) ou d'un constructeur, et testée par un des membres d’EISPP,
Faille officielle : faille émanant d'un organisme officiel ou d'un constructeur,
Faille testée : faille n'émanant pas d'un organisme officiel ou d'un constructeur mais testée par un des membres d’EISPP,
Faille probable :
faille n'émanant pas d'un organisme officiel ou constructeur n'ayant
pas pu être testée mais fortement probable (regroupement d'informations
concordantes),
Faille non qualifiée : faille n'émanant pas
d'un organisme officiel ou constructeur, n'ayant pas pu être testée ni
recoupée mais présentant une criticité élevée qui justifie sa diffusion
avec réserve.
