Avec ce lancement, Zoom ne se contente pas de répondre aux besoins du marché, l’entreprise redéfinit son périmètre et son image en participant comme contributeur open source. Cela peut conduire à une adoption plus large de ses technologies et à un écosystème de produits et services construits autour de ses standards. De plus, en partageant le fardeau du développement avec une communauté, Zoom peut réduire ses investissements en recherche et développement.
Le système de notation de l’impact des vulnérabilités (VISS) est un cadre ouvert et personnalisable permettant d’évaluer l’impact des vulnérabilités de sécurité sur l’infrastructure des systèmes informatiques, les piles technologiques et les données protégées. VISS analyse treize aspects différents de l’impact de chaque vulnérabilité, segmentés en groupes d’impact spécifiques à la plateforme, à l’infrastructure et aux données. Le calcul de VISS produit un score allant de 0 à 100, qui peut ensuite être modifié en appliquant la métrique des contrôles compensatoires. Un score VISS est représenté sous la forme d’une chaîne de caractères vectorielle, une représentation textuelle comprimée des mesures et des valeurs correspondantes utilisées pour obtenir le score.
VISS évalue les vulnérabilités du point de vue du défenseur
VISS se distingue des systèmes traditionnels comme le Common Vulnerability Scoring System (CVSS), qui se concentrent principalement sur les perspectives d’un attaquant. En revanche, VISS évalue les vulnérabilités du point de vue du défenseur, offrant une compréhension plus approfondie de l’impact réel des failles de sécurité. Il s’appuie sur des algorithmes avancés et une interface web intuitive pour classer les vulnérabilités, non seulement sur des menaces théoriques, mais sur leur exploitation démontrée.Depuis son intégration en mars 2023, VISS a eu un impact notable sur le programme de Bug Bounty de Zoom. Il a contribué à une augmentation de 28 % des rapports de gravité critique et de 12 % des rapports de gravité élevée jusqu’au 1er décembre 2023. Parallèlement, une diminution de 57 % des soumissions de gravité moyenne a été observée, comparée aux huit mois précédant l’implémentation de VISS. Ces chiffres soulignent l’efficacité de VISS dans l’identification et la priorisation des vulnérabilités les plus critiques.
L’adoption d’une approche open source pour VISS s’aligne avec les tendances actuelles du marché, où de plus en plus d’entreprises reconnaissent les avantages de l’open source pour l’innovation et la collaboration dans la cybersécurité. Cette stratégie encourage la transparence, la responsabilité et une réponse collective aux menaces de sécurité, des aspects cruciaux dans le domaine de la cybersécurité.