Aller au contenu
Kreomnis.Vigie
← Toutes les analyses

EPSS vs CVSS : arrêtez de patcher au score, commencez à patcher à la menace

21/03/2026 · Kreomnis

Le problème, en chiffres

En 2024, environ 40 000 CVE ont été publiées. Si vous patchez les "CRITICAL CVSS", vous en avez plus de 5 000 par an. Aucune équipe DevSecOps n'a la bande passante pour ça.

Or, parmi ces 40 000 CVE, moins de 5 % sont effectivement exploitées dans la nature dans l'année qui suit leur publication. Les 95 % restantes existent dans la base, font peur, mais ne sont jamais utilisées contre vous.

La question pour un RSSI honnête n'est pas « quelles sont les CVE critiques ? » mais « quelles sont les CVE critiques qui ont une chance réelle d'être exploitées contre nous ? »

Les trois signaux à croiser

| Signal | Question à laquelle il répond | Source | | --- | --- | --- | | CVSS | Si on l'exploite, qu'est-ce qui se passe ? | NVD, éditeur | | EPSS | Quelle probabilité que quelqu'un l'exploite dans les 30 jours ? | FIRST.org | | CISA KEV | Sait-on qu'elle a déjà été exploitée ? | CISA |

CVSS - l'impact théorique

Le Common Vulnerability Scoring System mesure la sévérité technique : si l'exploit existait, et si l'attaquant atteignait votre actif, que se passerait-il ? C'est utile, mais c'est un score d'impact, pas de probabilité.

Une CVE CVSS 9.8 sur un produit que personne n'exploite ≪ une CVE CVSS 7.5 sur un produit en train de se faire ransacker à grande échelle.

EPSS - la probabilité empirique

Le Exploit Prediction Scoring System (FIRST.org) attribue une probabilité (0 → 1) que la CVE soit exploitée dans les 30 jours qui suivent. Le modèle est mis à jour quotidiennement, à partir de signaux observés (publications GitHub, mentions Twitter/Mastodon, données honeypots, télémétrie passive).

Repères :

  • EPSS ≥ 0.50 : c'est en train de se faire ou ça va se faire. Patcher en quelques jours.
  • EPSS 0.10 - 0.49 : surveillance rapprochée, patch dans la fenêtre de maintenance.
  • EPSS < 0.10 : peu probable. Patch dans le cycle normal.

CISA KEV - la preuve par l'observation

Le catalogue Known Exploited Vulnerabilities de CISA liste les CVE pour lesquelles l'exploitation a été observée. C'est binaire, mais c'est en or : si une CVE est dans KEV, vous savez que des attaquants l'utilisent.

CISA assortit chaque entrée d'une due date - la deadline à laquelle les agences fédérales US doivent avoir patché. C'est un excellent benchmark à transposer en interne.

La règle de priorisation Kreomnis

Si  inKev == true                       → patch sous 7 jours
Sinon si EPSS ≥ 0.50  ET  CVSS ≥ 7.0   → patch sous 30 jours
Sinon si EPSS ≥ 0.10  ET  CVSS ≥ 7.0   → patch sous 90 jours
Sinon                                   → cycle normal (180 jours)

Cette règle ramène la dette de 5 000+ CVE/an à un flux mensuel gérable. Elle a en plus l'avantage d'être auditable : on peut la défendre devant un comité de risques.

Ce que ça change pour la roadmap outillage

Beaucoup d'outils de gestion des vulnérabilités (Qualys, Tenable, Rapid7, Tanium) proposent EPSS et KEV en option mais les laissent désactivés par défaut. Activez-les. Tirez les filtres dans vos dashboards. Si votre outil ne sait pas, changez d'outil - vous payez pour quelque chose d'aveugle.

Si vous construisez en interne (cas typique d'une équipe sécurité produit) :

  • NVD API 2.0 pour les CVE + CVSS (demande de clé gratuite).
  • EPSS CSV journalier : https://epss.cyentia.com/epss_scores-current.csv.gz.
  • CISA KEV JSON : https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json.

C'est précisément l'architecture qu'on a posée pour la veille CVE de Kreomnis Vigie.

Les limites à connaître

  • EPSS n'est pas une vérité. C'est un modèle. Une CVE peut "exploser" sur EPSS dans les heures qui suivent sa publication, ou jamais.
  • CVSS v4 corrige plusieurs faiblesses (notamment le manque de granularité sur les "Attack Requirements") - privilégiez-le quand l'éditeur le fournit.
  • KEV n'est pas exhaustive. CISA s'appuie sur des sources US ; certaines campagnes régionales (Europe, Asie) ne sont pas remontées. Croiser avec CERT-FR et les feeds CTI internes.

Le mot de la fin

Patcher à l'aveugle au score CVSS, c'est comme prescrire un antibiotique sans diagnostic. EPSS + KEV vous donnent le diagnostic : qui est en train d'attaquer, avec quoi, et combien de temps vous reste-t-il.

  • Kreomnis
#vulnerability-management#EPSS#CVSS#KEV#prioritisation