28/05/2024
Publications
Représentation de CVE pour construire des graphs de positions d’attaque
Manuel POISSON
Abstract
En cybersécurité, les CVE (Common Vulnerabilities and Exposures) sont des vulnérabilités matérielles ou logicielles publiquement divulguées. Ces vulnérabilités sont documentées et répertoriées dans la base de données NVD maintenue par le NIST. La connaissance des CVE affectant un système d’information fournit une mesure de son niveau de sécurité. Cet article souligne que ces vulnérabilités devraient être décrites de manière plus détaillée pour comprendre comment elles pourraient être enchaînées dans un scénario d’attaque complet. Cet article présente la première proposition du format CAPG, qui est une méthode de représentation d’une vulnérabilité CVE, d’une exploitation correspondante et des positions d’attaque associées.