Actu
Zoom annonce la disponibilité de son système d’évaluation des vulnérabilités
décembre 2023 par Marc Jacob
Zoom Video Communications Inc. annonce la disponibilité de son système d’évaluation de l’impact des vulnérabilités (Vulnerability Impact Scoring System ou VISS). Ce projet open source propose une interface web intuitive et des algorithmes avancés qui hiérarchisent l’impact réel démontré par rapport aux possibilités théoriques d’impact sur la sécurité.
Alors que les systèmes d’évaluation traditionnels tels que le Common Vulnerability Scoring System (CVSS) se concentrent sur le point de vue d’un attaquant et sur les pires scénarios, VISS adopte une position différente. Il complète le CVSS en offrant un système d’évaluation unique qui améliore les capacités de réponse aux incidents. En mesurant objectivement l’impact des vulnérabilités du point de vue du défenseur, VISS peut baser ses évaluations sur une exploitation démontrée de manière responsable plutôt que sur des menaces théoriques.
Depuis mars 2023, Zoom utilise VISS pour évaluer les récompenses versées dans le cadre de son programme de Bug Bounty. VISS analyse les vulnérabilités sur la base de 13 aspects, classés en 3 catégories (plateforme, infrastructure et données). La note numérique qui en résulte, allant de 0 à 100, reflète la gravité de l’impact dans un environnement spécifique. Grâce aux contrôles compensatoires, les scores de VISS sont ajustables et permettent d’adapter les scores à leur profil de risque individuel et à leur tolérance par le biais d’un portail d’administration robuste.
Après l’intégration de VISS, les rapports de vulnérabilité soumis sont passés d’un niveau de gravité faible et moyen à un niveau élevé et critique. Pour la période allant de mars 2023 au 1er décembre 2023, Zoom a observé une augmentation de 28 % des rapports de gravité critique et de 12 % des rapports de gravité élevée. Il y a notamment eu une réduction significative de 57 % des soumissions de gravité moyenne par rapport aux 8 mois précédents avant la mise en œuvre de VISS en mars 2023.
Zoom a parrainé l’événement de piratage en direct HackerOne H1-4420 à Londres en 2023. Au cours de cet événement, les rapports de vulnérabilité soumis par les hackers ont fait l’objet d’un processus avancé d’évaluation des bugs utilisant à la fois CVSS et VISS. Démontrant l’efficacité de VISS, cette méthode a permis d’améliorer l’allocation des ressources et de se concentrer davantage sur la résolution des vulnérabilités critiques et de haute gravité.
