Alors que les systèmes d’évaluation traditionnels tels que le Common Vulnerability Scoring System (CVSS) se concentrent sur le point de vue d’un attaquant et sur les pires scénarios, VISS adopte une position différente. Il complète le CVSS en offrant un système d’évaluation unique qui améliore les capacités de réponse aux incidents. En mesurant objectivement l’impact des vulnérabilités du point de vue du défenseur, VISS peut baser ses évaluations sur une exploitation démontrée de manière responsable plutôt que sur des menaces théoriques.
Depuis mars 2023, Zoom utilise VISS pour évaluer les récompenses versées dans le cadre de son programme de Bug Bounty. VISS analyse les vulnérabilités sur la base de 13 aspects, classés en 3 catégories (plateforme, infrastructure et données). La note numérique qui en résulte, allant de 0 à 100, reflète la gravité de l’impact dans un environnement spécifique. Grâce aux contrôles compensatoires, les scores de VISS sont ajustables et permettent d’adapter les scores à leur profil de risque individuel et à leur tolérance par le biais d’un portail d’administration robuste.
Après l’intégration de VISS, les rapports de vulnérabilité soumis sont passés d’un niveau de gravité faible et moyen à un niveau élevé et critique. Pour la période allant de mars 2023 au 1er décembre 2023, Zoom a observé une augmentation de 28 % des rapports de gravité critique et de 12 % des rapports de gravité élevée. Il y a notamment eu une réduction significative de 57 % des soumissions de gravité moyenne par rapport aux 8 mois précédents avant la mise en œuvre de VISS en mars 2023.
Zoom a parrainé l’événement de piratage en direct HackerOne H1-4420 à Londres en 2023. Au cours de cet événement, les rapports de vulnérabilité soumis par les hackers ont fait l’objet d’un processus avancé d’évaluation des bugs utilisant à la fois CVSS et VISS. Démontrant l’efficacité de VISS, cette méthode a permis d’améliorer l’allocation des ressources et de se concentrer davantage sur la résolution des vulnérabilités critiques et de haute gravité.
À propos de Zoom
Zoom est une plateforme de collaboration intelligente tout-en-un qui permet une connexion plus facile, plus immersive et plus dynamique pour les entreprises et les utilisateurs. La technologie de Zoom permet des connexions significatives, facilite la collaboration moderne et stimule l’innovation humaine grâce à des solutions telles que le chat d’équipe, la téléphonie, les réunions, le centre de contact cloud omnicanal, les enregistrements intelligents, le tableau blanc, et plus encore, en une seule offre. Fondée en 2011, Zoom est cotée en bourse (NASDAQ:ZM) et son siège social est situé à San Jose, en Californie.
