Brève : Modification de la notation CVSS dans les avis et alertes du Cert-IST

Date : 07 Janvier 2026

La dangerosité des vulnérabilités dans les avis de sécurité et alertes est évaluée aujourd'hui par le Cert-IST en utilisant deux métriques qui sont EISPP et CVSS version 3. La nouvelle version de CVSS 4.0, publiée en novembre 2023, nous amène à faire évoluer nos avis pour prendre en compte ce changement. Une description de cette nouvelle version de CVSS a déjà fait l'objet d'un article dans notre Bulletin 337 du mois d'octobre 2025 CVSS 4.0 dans les avis Cert-IST, avec une comparaison entre cette nouvelle version et la précédente.

A partir du 1er avril 2026, tous les nouveaux avis et alertes publiés par le Cert-IST seront évalués avec la nouvelle version de CVSS (4.0). L'évaluation EISPP reste inchangée.

Concernant la mise à jour des avis qui ont été créés avant le 1er avril 2026, la version CVSS utilisée lors de la création de l'avis restera inchangée. Par exemple un avis créé en 2025 avec une évaluation CVSS v3, conservera une évaluation CVSS v3 lors d'une éventuelle mise à jour après le 31 mars 2026.

Du côté du format XML, l'attribut facultatif « version="3.0" » sera mis à jour, et les balises de base et de vecteur temporel refléteront la nouvelle méthode d'évaluation des vulnérabilités dans la version 4 (nouveaux critères). Il convient de mentionner que les scores continuent d'être évalués sur une échelle de 1 à 10.

Exemple des balises XML actuelles concernant le score CVSS v3 d'un avis :

<Vulnerability_Score>
    <CVSS version="3.0">
        <cvss_issuer>CERT-IST</cvss_issuer>
        <cvss_vuln_id>CERT-IST/AV-2026.0186</cvss_vuln_id>
        <cvss_base_score>8.8</cvss_base_score>
        <cvss_base_vector>AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H</cvss_base_vector>
        <cvss_temporal_score>7.7</cvss_temporal_score>
        <cvss_temporal_vector>AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C</cvss_temporal_vector>
    </CVSS>
</Vulnerability_Score>
Exemple des balises XML futures concernant le score CVSS v4 d'un avis : 
<Vulnerability_Score>
    <CVSS version="4.0">
        <cvss_issuer>CERT-IST</cvss_issuer>
        <cvss_vuln_id>CERT-IST/AV-2025.2006</cvss_vuln_id>
        <cvss_base_score>8.7</cvss_base_score>
        <cvss_base_vector>AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N</cvss_base_vector>
        <cvss_temporal_score>7.4</cvss_temporal_score>              <cvss_temporal_vector>AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P</cvss_temporal_vector>
    </CVSS>
</Vulnerability_Score>

Si vous avez des questions ou si vous souhaitez des renseignements complémentaires sur cette évolution qui va intervenir à partir du 1er avril 2026, n'hésitez pas à nous contacter.

Précedent Précedent Suivant Suivant Imprimer Imprimer

© 2026 Cert-IST