CVSS 3.0 est un cadre de référence qui décrit un certain nombre de métriques destinées à valoriser les failles de sécurité. Il concerne en premier lieu les éditeurs d’antimalwares, les spécialistes de la sécurité et observateurs qui veillent sur le paysage sécuritaire du TI. Pour les utilisateurs, il permet surtout de comprendre de quoi il s’agit, sans qu’ils aient à statuer sur la valorisation des critères retenus.

Comme le constateront les lecteurs LeMarson, le modèle CVSS n’est pas le plus simple qui soit, qui sans doute, pour beaucoup, va trop loin dans le détail des descriptions et calcul des valorisations.

Mais comme l’explique FIRST, qui en est à l’origine, on n’est pas obligé de tout prendre en compte. C’est avant tout un référentiel, à qui on demande avant seulement d’être exhaustif.