Close
Afficher cette page dans votre langue ?
Toutes les langues
Sélectionner votre langue
Produits

En vedette

Jira Software

Suivi des projets et des tickets

Confluence

Collaboration sur le contenu

Jira Service Management

ITSM haute vélocité

Trello

Gestion visuelle des projets

Consulter tous les produits

Marketplace

Connectez des milliers d'apps et intégrations pour tous vos produits Atlassian

Close dropdown
Solutions

En vedette

Gestion du travail

Gérez les projets et alignez les objectifs de toutes les équipes pour obtenir les livrables

IT Service Management

Donnez les moyens aux équipes de développement, des opérations informatiques et métier de fournir un service exceptionnel à haute vélocité

Agile et DevOps

Mettez en place une organisation logicielle Agile de classe mondiale, de la découverte à la livraison et aux opérations

PAR TAILLE D'ÉQUIPE

Entreprise

Petite entreprise

Start-up

À but non lucratif

PAR FONCTION D'ÉQUIPE

Développement logiciel

Informatique

Finances

Marketing

RH

Par secteur

Commerce

Télécommunications

Services professionnels

Gouvernement

Close dropdown
Ressources

Apprendre

Atlassian University

Le Playbook Atlassian

Documentation produit

Ressources développeurs

Support

Communauté Atlassian

Support Atlassian

Atlassian Migration Program

Services d'entreprise

Support des partenaires

Achats et licences

Tissez des liens

Qui sommes-nous ?

Carrières

Blog Work Life

Événements

Close dropdown
Search
Essayer
Toggle menu
Close search

Niveaux de gravité des problèmes de sécurité

Sources de vulnérabilité

  • Tickets de scanners de sécurité tels que ceux déposés par Nexpose, Cloud Conformity ou Snyk
  • Résultats du programme Bug Bounty découverts par des chercheurs en sécurité grâce à Bugcrowd
  • Failles de sécurité signalées par l'équipe de sécurité dans le cadre de revues
  • Failles de sécurité signalées par les équipes Atlassian

Framework et évaluation de gravité

Atlassian utilise le système CVSS (Common Vulnerability Scoring System) pour évaluer les risques de sécurité et prioriser chaque vulnérabilité découverte. CVSS est une métrique de vulnérabilité standard du secteur. Pour en savoir plus sur CVSS, consultez le site FIRST.org.

Niveaux de gravité

Les avertissements de sécurité Atlassian incluent un niveau de gravité. Ce niveau est basé sur notre score CVSS auto-calculé pour chaque vulnérabilité spécifique.

  • Critique
  • Élevée
  • Modérée
  • Faible

Pour CVSS v3, Atlassian utilise le système de notation de gravité suivant :

PLAGE DE SCORE CVSS V3
GRAVITÉ DE L'AVERTISSEMENT

9,0 - 10,0

 Critique

7,0 - 8,9

 Élevée

4,0 - 6,9

 Modérée

0,1 - 3,9

 Faible

Dans certains cas, Atlassian peut utiliser des facteurs supplémentaires non liés au score CVSS pour déterminer le niveau de gravité d'une vulnérabilité. Cette approche est compatible avec la spécification CVSS v3.1 :

Conseil de pro :

Les consommateurs peuvent utiliser les informations CVSS comme données d'entrée dans un processus de gestion des vulnérabilités organisationnelles qui prend également en compte des facteurs ne faisant pas partie du CVSS afin de classer les menaces pesant sur leur infrastructure technologique et de prendre des décisions de remédiation éclairées. Ces facteurs peuvent inclure : le nombre de clients sur une gamme de produits, les pertes financières dues à une violation, la vie ou les biens menacés, ou encore le sentiment du public à l'égard de vulnérabilités très médiatisées. Ils ne relèvent pas du champ d'application du CVSS.

Dans les cas où Atlassian adopte cette approche, nous décrirons quels facteurs supplémentaires ont été pris en compte et pourquoi lors de la divulgation publique de la vulnérabilité.

Vous trouverez ci-dessous quelques exemples de vulnérabilités pouvant entraîner un niveau de gravité donné. N'oubliez pas que cette notation ne prend pas en compte les détails de votre installation et doit être utilisée uniquement à titre indicatif.

Niveau de gravité : critique

Les vulnérabilités affichant un score « critique » présentent généralement la plupart des caractéristiques suivantes :

  • L'exploitation de la vulnérabilité entraîne probablement une compromission au niveau racine des serveurs ou des périphériques d'infrastructure.
  • L'exploitation est généralement simple, dans le sens où l'attaquant n'a pas besoin d'informations d'authentification ou de connaissances spécifiques sur les victimes, et ne doit pas persuader un utilisateur cible (par exemple, via l'ingénierie sociale) de remplir des fonctions spéciales.

Pour les vulnérabilités critiques, il est conseillé de procéder à la correction ou à la mise à niveau dès que possible, sauf si vous avez mis en place d'autres mesures d'atténuation (par exemple, rendre votre installation inaccessible depuis Internet).

Niveau de gravité : élevé

Les vulnérabilités affichant un score « élevé » présentent généralement certaines des caractéristiques suivantes :

  • La vulnérabilité est difficile à exploiter.
  • L'exploitation pourrait entraîner une élévation des privilèges.
  • L'exploitation pourrait entraîner une perte de données importante ou un temps d'arrêt.

Niveau de gravité : moyen

Les vulnérabilités affichant un score « moyen » présentent généralement certaines des caractéristiques suivantes :

  • Vulnérabilités qui obligent l'attaquant à manipuler certaines victimes en employant des tactiques d'ingénierie sociale.
  • Vulnérabilités liées à un déni de service difficiles à mettre en place.
  • Exploits qui nécessitent qu'un attaquant réside sur le même réseau local que la victime.
  • Vulnérabilités où l'exploitation ne fournit qu'un accès très limité.
  • Vulnérabilités qui nécessitent des privilèges utilisateur pour une exploitation réussie.

Niveau de gravité : faible

Les vulnérabilités affichant un score « faible » ont généralement très peu d'impact sur les activités d'une organisation. Leur exploitation nécessite généralement un accès au système local ou physique. Les vulnérabilités du code tiers qui ne sont pas accessibles depuis le code Atlassian peuvent être rétrogradées à un niveau de gravité faible.

Chronologie de la remédiation

Atlassian fixe des objectifs de niveau de service pour la correction des failles de sécurité sur la base du niveau de gravité pour la sécurité et du produit affecté. Nous avons défini des délais pour résoudre les problèmes de sécurité conformément à notre politique de correction des bugs de sécurité.

Les délais de résolution accélérés s'appliquent aux produits suivants :

  • Tous les produits Atlassian basés dans le cloud
  • Jira Align (versions cloud et auto-gérée)
  • Tout autre logiciel ou système géré par Atlassian ou fonctionnant sur l'infrastructure Atlassian

Les délais de résolution étendus s'appliquent aux produits suivants :

  • Tous les produits Atlassian auto-gérés
    • Il s'agit des produits installés par les clients sur des systèmes qu'ils gèrent eux-mêmes
    • Entre autres, les apps Server, Data Center, de bureau et mobiles d'Atlassian

Délai de résolution CVSS

Niveaux de gravité
Délais de résolution accélérés
Délais de résolution étendus

Critique

 Dans un délai de 2 semaines après la vérification Dans un délai de 90 jours après la vérification

Élevée

 Dans un délai de 4 semaines après la vérification Dans un délai de 90 jours après la vérification

Modérée

 Dans un délai de 6 semaines après la vérification Dans un délai de 90 jours après la vérification

Faible

 Dans un délai de 25 semaines après la vérification Dans un délai de 180 jours après la vérification