VISS (Vulnerability Impact Scoring System) est proposé sous la forme d’un projet open source, en complément de CSS pour aider les entreprises à mieux prioriser leurs actions en matière de sécurité préventive.
Zoom veut enrichir la détection des failles et des vulnérabilités critiques, et notamment la norme CVSS (Common Vulnerability Scoring System). La plateforme de communications unifiées vient de lancer sous la forme d’un projet open source une nouvelle notation baptisée Vulnerability Impact Scoring System (VISS), qu’elle utilise déjà pour son propre usage. Développé au cours de l'année écoulée, ce projet vise à renforcer les mesures de sécurité à travers une interface web et des algorithmes qui donnent la priorité à l'impact réel démontré par rapport aux possibilités théoriques d'impact sur la sécurité.
Ce nouveau système de notation est un framework ouvert et personnalisable permettant d'évaluer l'impact des vulnérabilités de sécurité sur l'infrastructure des systèmes informatiques, les piles technologiques et les données. VISS repose sur l’analyse de treize aspects différents de l'impact de chaque vulnérabilité, segmentés en groupes d'impact spécifiques à la plate-forme, à l'infrastructure et aux données.
Comme pour CVSS, chaque option de valeur métrique disponible pour la sélection a une valeur décimale correspondante qui augmente en fonction de l’impact anticipé. Dans la majorité des cas, plus la valeur décimale est élevée, plus la vulnérabilité a un impact sur cette mesure. Dans certains cas, la valeur décimale de la métrique sélectionnée est inférieure à un, ce qui réduit la note globale. L’analyse produit alors un score allant de 0 à 100, qui peut ensuite être modifié en appliquant la métrique des contrôles compensatoires.
Pour Zoom, il était nécessaire de proposer une nouvelle norme de notation qui vienne compléter CVSS. La plateforme qui l’a déjà intégrée à ses pratiques de Bug Bounty assure que ses équipes ont gagné en efficacité dans la priorisation des failles de des vulnérabilités.