Sur son site, le FIRST a mis en ligne un article qui résume les changements apportés au sein de CVSS 4.0. Vous pouvez retrouver cet article à cette adresse. Il y a aussi ce PDF qui revient en détail sur CVSS 4.0 et qui a été utilisé en juin dernier lorsque le FIRST a dévoilé CVSS 4.0 lors d'une conférence qui s'est déroulée à Montréal, au Canada.

Cette nouvelle version devrait permettre d'être plus précise et elle répond mieux aux menaces actuelles. Pour cela, le FIRST a introduit de nouvelles métriques permettant de calculer le score, notamment l'automatisabilité (wormable), la restauration (recovery), l'effort à fournir en réponse aux vulnérabilités et le niveau d'urgence pour le fournisseur. La métrique de base est également scindée en deux métriques : la complexité de l'attaque (Attack Complexity) et les prérequis pour mener l'attaque (Attack Requirements).

Il est à noter que CVSS ne se limite pas à la note de base. Avec la version 4.0, CVSS adopte une nouvelle nomenclature que voici :

• CVSS-B : Score de base CVSS
• CVSS-BT : Score de base CVSS + Threat Score
• CVSS-BE : Score de base CVSS + Environmental Score
• CVSS-BTE : Score de base CVSS + Threat Score + Environmental Score

Le score CVSS est vraiment un indicateur clé utilisé par certaines applications et les professionnels de l'informatique, don c'est important qu'il soit actualisé pour suivre l'évolution des menaces.