Changement de la gravité d'un problème via la modification de son score CVSS

Le changement de gravité d'un problème est effectué sur la base de chaque problème de sorte que vous puissiez analyser chaque vulnérabilité par rapport à votre risque métier. Lors du triage des problèmes, vous pouvez changer la gravité d'un problème en remplaçant manuellement le score CVSS préalablement calculé par la valeur de gravité de sorte que vous puissiez prioriser sa gravité par rapport aux autres problèmes. La modification de la gravité permet de transmettre la criticité d'un problème à l'équipe de développement et à l'équipe de gestion de sorte que les vulnérabilités les plus graves soient corrigées en premier.

Pourquoi et quand exécuter cette tâche

Cet exemple explique comment remplacer la gravité d'un problème.

Procédure

  1. Dans une application, cliquez sur l'ID problème de ce problème.

    Liste des problèmes d'une application.
  2. Cliquez sur Editer des attributs dans la boîte de dialogue A propos de ce problème.
    Remarque : Si le droit Limiter l'accès pour modifier la valeur de gravité et les attributs CVSS est sélectionné pour votre type d'utilisateur, vous ne pouvez pas modifier la valeur de gravité et les attributs de CVSS d'un problème. Contactez votre administrateur produit.
  3. Si les métriques de base (Vecteur d'attaque, Complexité d'attaque, Privilèges requis, Interaction de l'utilisateur, Portée, Impact sur la confidentialité, Impact sur l'intégrité, Impact sur la disponibilité) sont inconnues (vierges), sélectionnez une valeur pour chaque métrique.
    Dans cette capture d'écran, les métriques de base CVSS sont inconnues, il n'existe pas de score CVSS et la gravité du problème est High.
    Boîte de dialogue A propos de ce problème pour un problème.
  4. Changez la valeur de gravité en Use CVSS.
    Remarque : Si vous changez la valeur de gravité mais ne changez pas les métriques de base, le problème est catégorisé dans la liste des problèmes comme Undetermined, ce qui signifie que la formule de calcul de la gravité ne peut pas calculer précisément la gravité, car les informations qu'elle doit utiliser pour le calcul manquent.
    Dans cette capture d'écran, l'affichage de la colonne Valeur de gravité est activé pour que vous puissiez constater que la gravité est remplacée manuellement.Liste des problèmes mise à jour d'une application.

Résultats

La capture d'écran suivante explique comment nous avons trié les problèmes mis en évidence :
  • Problème n° 5 : nous avons modifié les métriques de base CVSS mais nous n'avons pas changé la valeur de gravité, qui conserve sa catégorisation initiale, à savoir High. A présent, le score CVSS calculé est 5.3 et la catégorisation de gravité High ne change pas.
  • Problème n° 7 : nous avons modifié les métriques de base CVSS et remplacé la valeur de gravité en indiquant Use CVSS. Le score CVSS calculé est 6.4 et désormais, la catégorisation de gravité est Medium.
  • Problème n° 3 : nous n'avons pas modifié les métriques de base CVSS, mais nous avons remplacé la valeur de gravité en indiquant Use CVSS. Etant donné que les métriques de base sont inconnues, les informations disponibles ne sont pas suffisantes pour calculer le score CVSS et, par conséquent, la catégorisation de gravité est Undetermined.

Exemples de triage de la gravité des problèmes