Alors que les systèmes de notation traditionnels tels que CVSS (Common Vulnerability Scoring System) sont axés sur le point de vue du pirate et les pires scénarios, la position adoptée par VISS est différente. VISS complète CVSS en offrant un système d’évaluation unique qui améliore les fonctionnalités de réponse aux incidents. En mesurant objectivement l’impact des vulnérabilités du point de vue de la victime, VISS fonde ses évaluations sur l’exploitation des impacts raisonnablement démontrés plutôt que sur des menaces théoriques.
Depuis mars 2023, Zoom utilise ce système de notation innovant pour évaluer les récompenses versées dans le cadre de notre programme Bug Bounty. Ce programme offre aux chercheurs en sécurité et aux utilisateurs de produits un cadre sûr dans lequel ils peuvent découvrir d’éventuelles failles de sécurité et en faire part à Zoom, tout cela sans crainte de représailles juridiques. Souvent accompagnée d’une commission d’intermédiaire, appelée prime, cette initiative a permis d’observer une transformation notable des rapports envoyés, signe d’une importante évolution par rapport aux pratiques précédentes.
Nous pensons que cette progression apparente du nombre de rapports signalant des impacts plus graves et d’exploitations en plusieurs étapes toujours plus complexes témoigne du temps supplémentaire dont les chercheurs disposent pour approfondir leur compréhension des vulnérabilités potentielles.