Exemple de calcul du score de risque pour Réponse aux vulnérabilités

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Vous pouvez utiliser des calculateurs de score de risque pour générer des scores de risque qui utilisent les données de vulnérabilité et d’actif propres à votre organisation.

    Exemple de détermination des scores des calculateurs de règles de risque

    L’exemple suivant montre comment les scores des calculateurs de règles de risque sont déterminés.

    Supposons qu’un calculateur de règle de risque soit configuré avec les champs de cette table :
    Champ Pondération Répartition du poids
    Vulnérabilité.Gravité 50

    Par défaut : 20

    1 - Critique : 100

    2 - Haute : 80

    3 - Moyen : 60

    4 - Faible : 40

    5 - Aucun : 20
    Vulnerability.Exploit existe 50

    Par défaut : 50

    Oui : 100

    Non : 0
    Supposons également que les éléments vulnérables affichés dans ce tableau sont présents dans le système :
    ID Gravité de la vulnérabilité Existence d’une exploitation de la vulnérabilité
    VIT00001 1 - Critique 1 - Oui
    VIT00002 2 : élevé 1 - Oui
    VIT00003 3 : moyen 2 – Non
    VIT00004 4 : faible 2 – Non
    VIT00005 5 : aucun 2 – Non
    Le calcul du score de risque pour les éléments vulnérables est calculé en fonction de la formule suivante :

    Score de risque = (W(gravité) * FV (gravité). + W(exploitexiste) * FV(exploit existe)) / 100

    W est le poids et FV est le pourcentage de poids de la valeur de champ.

    Le score de risque résultant pour ces éléments vulnérables est décrit dans la table suivante :

    ID Gravité de la vulnérabilité (50 %) Existence d’une exploitation de la vulnérabilité (50 %) Score de risque résultant
    VIT00001 1 – Critique (50 % x 100) 1 – Oui (50 % x 100) 100
    VIT00002 2 – Élevée (50 % x 80) 1 – Oui (50 % x 100) 90
    VIT00003 3 – Moyen (50 % x 60) 2 – Non (50 % x 0) 30
    VIT00004 4 – Faible (50 % x 40) 2 – Non (50 % x 0) 20
    VIT00005 5 - Aucun (50 % x 20) 2 – Non (50 % x 0) 10
    Remarque :
    Par VIT00005, car la valeur de gravité est vide, la pondération par défaut est appliquée.

    Si le pourcentage de pondération est modifié pour l’une des valeurs de champ, consultez ce tableau pour les résultats :

    Champ Pondération Répartition du poids
    Vulnérabilité.Gravité 50
    • Par défaut : 20
    • 1 - Critique : 100
    • 2 - Haute : 70

      *valeur révisée

    • 3 - Moyen : 60
    • 4 - Faible : 40
    Vulnerability.Exploit existe 50
    • Par défaut : 50
    • Oui : 100
    • Non : 0

    Le score de risque pour les éléments vulnérables après réapplication du calculateur est affiché dans la table suivante :

    ID Gravité de la vulnérabilité (50 %) Existence d’une exploitation de la vulnérabilité (50 %) Score de risque résultant
    VIT00001 1 – Critique (50 % x 100) 1 – Oui (50 % x 100) 100
    VIT00002 2 – Élevée (50 % x 70)

    *valeur révisée

    		 1 – Oui (50 % x 100) 85

    *valeur révisée
    VIT00003 3 – Moyen (50 % x 60) 2 – Non (50 % x 0) 30
    VIT00004 4 – Faible (50 % x 40) 2 – Non (50 % x 0) 20
    VIT00005 5 - Aucun (50 % x 20) 2 – Non (50 % x 0) 10