5 min. de lecture
Mis à jour le December 14, 2023
Publié le December 14, 2023
Soucieux de contribuer au nouveau visage de l’évaluation des vulnérabilités et de la réponse aux incidents, nous sommes ravis d’annoncer que notre projet open source innovant, VISS (Vulnerability Impact Scoring System), est désormais disponible. Développé au cours de l’année écoulée, ce projet a pour objectif de renforcer les mesures de sécurité et de rendre le paysage numérique plus sûr grâce à notre approche révolutionnaire de l’évaluation des vulnérabilités.
VISS offre une interface utilisateur web conviviale et des algorithmes avancés qui donnent la priorité à l’impact réel avéré plutôt qu’aux possibilités théoriques d’impact sur la sécurité.
Alors que les systèmes de notation traditionnels tels que CVSS (Common Vulnerability Scoring System) sont axés sur le point de vue du pirate et les pires scénarios, la position adoptée par VISS est différente. VISS complète CVSS en offrant un système d’évaluation unique qui améliore les fonctionnalités de réponse aux incidents. En mesurant objectivement l’impact des vulnérabilités du point de vue de la victime, VISS fonde ses évaluations sur l’exploitation des impacts raisonnablement démontrés plutôt que sur des menaces théoriques.
Depuis mars 2023, Zoom utilise ce système de notation innovant pour évaluer les récompenses versées dans le cadre de notre programme Bug Bounty. Ce programme offre aux chercheurs en sécurité et aux utilisateurs de produits un cadre sûr dans lequel ils peuvent découvrir d’éventuelles failles de sécurité et en faire part à Zoom, tout cela sans crainte de représailles juridiques. Souvent accompagnée d’une commission d’intermédiaire, appelée prime, cette initiative a permis d’observer une transformation notable des rapports envoyés, signe d’une importante évolution par rapport aux pratiques précédentes.
Nous pensons que cette progression apparente du nombre de rapports signalant des impacts plus graves et d’exploitations en plusieurs étapes toujours plus complexes témoigne du temps supplémentaire dont les chercheurs disposent pour approfondir leur compréhension des vulnérabilités potentielles.
Au lieu de concentrer des ressources aussi précieuses que limitées sur les vulnérabilités moins susceptibles d’avoir un impact concret, vous pouvez, grâce à VISS, protéger votre environnement de manière proactive et hiérarchiser les vulnérabilités les plus à même d’avoir un impact sur votre entreprise. Alors que de nombreuses entreprises ont réduit leurs effectifs l’année dernière, cette hiérarchisation est essentielle pour vous aider à comprendre où concentrer votre temps et vos efforts pour une efficacité maximale.
VISS analyse les vulnérabilités en fonction des 13 aspects possibles d’un impact, classés en différents groupes : plateforme, infrastructure et données. Le score qui en résulte, compris entre 0 et 100, reflète la gravité de l’impact dans un environnement spécifique. Grâce à l’indicateur Mécanismes de compensation, les scores VISS sont modifiables et les propriétaires d’environnement peuvent les personnaliser en fonction de leur profil de risque individuel et de leur tolérance via un portail d’administration très performant.
Pour en savoir plus et pour tester la mise en œuvre du calculateur VISS de Zoom, consultez le texte complet de la spécification VISS.
Zoom a parrainé l’événement de piratage en direct HackerOne H1-4420 organisé à Londres en 2023, au cours duquel les rapports de vulnérabilité des pirates ont été soumis à un processus avancé d’évaluation des bogues dans CVSS et VISS. Démontrant l’efficacité de VISS, cette méthode a permis d’améliorer l’allocation des ressources et d’accorder plus d’attention au traitement des vulnérabilités de gravité Critique ou Élevée.
Après le passage à VISS, la gravité des rapports de vulnérabilité envoyés est passé de Faible ou Moyenne à Élevée ou Critique. Les chercheurs consacrent plus de temps et d’énergie à faire évoluer leurs exploits du stade théorique au stade de l’impact avéré. Entre mars 2023 et le 1er décembre 2023, Zoom a observé une augmentation de 28 % des rapports faisant état d’une gravité Critique et une progression de 12 % des rapports faisant état d’une gravité Élevée. Notons également qu’une réduction significative de 57 % du nombre de rapports de gravité Moyenne a été observée par rapport aux huit mois précédents, avant la mise en œuvre de VISS en mars 2023.
La mission de VISS, qui est d’améliorer le travail des équipes de réponse aux incidents et de sécurité à l’échelle mondiale, va bien au-delà de Zoom. En proposant à l’ensemble du secteur un outil de mesure complet et objectif de l’impact des vulnérabilités, VISS contribue à la quête permanente d’un Internet plus sûr pour tous.
Nous vous invitons à découvrir VISS, à contribuer à son développement et à révolutionner à nos côtés l’évaluation de l’impact des vulnérabilités. Ensemble, construisons un avenir numérique plus sûr. Consultez le référentiel open source à la page https://github.com/zoom/viss.
Le code source est soumis à la licence GPL 3.0.
3 min. de lecture
Les outils de gestion de la conformité tels que Zoom Compliance Manager vous aident à surmonter la complexité du monde des communications. Découvrez comment.
3 min. de lecture
Le programme Bug Bounty de Zoom encourage la recherche et la divulgation responsable des failles de sécurité. Voici un aperçu des faits marquants de l’année écoulée.
2 min. de lecture
Zoom a acquis la certification du programme de gestion et d’évaluation de la sécurité des systèmes d’information (ISMAP). Découvrez ce que cela signifie pour nos clients.
