logo
Glossaire EPSS Score (Exploit Prediction Scoring System)

Score EPSS (Système de notation de prédiction d’exploitation)

TL;DR : Score EPSS

Le Système de notation de prédiction d’exploitation (EPSS) est une norme basée sur les données qui estime la probabilité qu’une vulnérabilité logicielle spécifique soit exploitée dans la nature.

Ce processus vous aidera à :

  • Prioriser ce qu’il faut corriger en premier en se basant sur des données de menaces réelles.
  • Réduire la fatigue des alertes en ignorant les vulnérabilités de haute sévérité que les attaquants ne ciblent pas réellement.
  • Optimiser les ressources de sécurité en se concentrant sur les 5% de vulnérabilités qui posent un véritable risque.

L’objectif de l’EPSS est de vous indiquer à quel point une vulnérabilité est susceptible d’être attaquée, et non pas seulement à quel point l’attaque serait dommageable.

Qu’est-ce que le Score EPSS

Le Score EPSS est une métrique comprise entre 0 et 1 (ou 0% à 100%) qui représente la probabilité qu’une vulnérabilité spécifique (CVE) soit exploitée dans les 30 prochains jours.

Il est géré par le Forum des équipes de réponse aux incidents et de sécurité (FIRST), la même organisation qui gère le CVSS. Alors que le CVSS mesure la sévérité d’une vulnérabilité (à quel point elle est grave), l’EPSS mesure la menace (à quel point elle est probable).

En termes simples :

Le CVSS vous dit : « Cette fenêtre est cassée, et c’est une grande fenêtre. » L’EPSS vous dit : « Il y a un cambrioleur juste à l’extérieur de cette fenêtre spécifique. »

Pourquoi l’EPSS est important

Les équipes de sécurité sont submergées par des alertes “Critiques”. Un scan typique d’entreprise pourrait montrer des milliers de vulnérabilités avec un score CVSS de 9.0 ou plus. Il est impossible de toutes les corriger immédiatement.

Alors pourquoi l’EPSS est-il important :

CVSS n’est pas suffisant. Les recherches montrent que moins de 5 % de toutes les CVE publiées sont jamais exploitées dans la nature. Si vous corrigez les vulnérabilités uniquement en fonction de la gravité CVSS, vous perdez du temps à corriger des bugs que personne n’attaque.

Priorisation dans le monde réel. EPSS utilise des renseignements sur les menaces actuelles. Une vulnérabilité peut sembler dangereuse sur le papier (CVSS élevé), mais si aucun code d’exploitation n’existe et qu’aucun attaquant ne l’utilise, le score EPSS sera bas.

Efficacité. En filtrant les scores EPSS élevés, les équipes peuvent réduire leur arriéré de remédiation jusqu’à 85 % tout en traitant les menaces les plus dangereuses.

Comment fonctionne EPSS

EPSS n’est pas un nombre statique. C’est un modèle d’apprentissage automatique qui se met à jour quotidiennement. Il analyse des quantités massives de données pour générer un score de probabilité.

1. Collecte de données

Le modèle ingère des données de multiples sources :

  • Listes CVE : Données de MITRE et NVD.
  • Code d’exploitation : Disponibilité des scripts d’exploitation dans des outils comme Metasploit ou ExploitDB.
  • Activité sauvage : Journaux des pare-feux, IDS et honeypots montrant des attaques actives.
  • Discussions sur le Dark Web : Discussions sur les forums de hackers.

2. Calcul de probabilité

Le modèle calcule un score de 0,00 (0 %) à 1,00 (100 %).

  • 0,95 signifie qu’il y a 95 % de chances que cette vulnérabilité soit exploitée actuellement ou le sera bientôt.
  • 0,01 signifie qu’il est très peu probable qu’elle soit exploitée.

3. Application

Les outils de sécurité ingèrent ce score pour trier les listes de vulnérabilités. Au lieu de trier par « Gravité », vous triez par « Probabilité d’attaque ».

Exemple en pratique

Imaginez que votre scanner détecte deux vulnérabilités.

Vulnérabilité A :

  • CVSS : 9.8 (Critique)
  • EPSS : 0.02 (2%)
  • Contexte : Il s’agit d’un débordement théorique dans une bibliothèque que vous utilisez, mais personne n’a encore trouvé comment l’exploiter.

Vulnérabilité B :

  • CVSS : 7.5 (Élevé)
  • EPSS : 0.96 (96%)
  • Contexte : Il s’agit de la vulnérabilité Log4j ou d’un contournement VPN connu que les gangs de ransomware utilisent activement aujourd’hui.

Sans EPSS : Vous pourriez corriger la Vulnérabilité A en premier parce que 9.8 > 7.5.

Avec EPSS (en utilisant Plexicus) :

  1. Vous naviguez vers le Tableau de bord Plexicus.
  2. Vous filtrez les résultats par EPSS > 0.5.
  3. Plexicus met immédiatement en évidence la Vulnérabilité B.
  4. Vous corrigez la Vulnérabilité B en premier car elle constitue une menace immédiate. La Vulnérabilité A est mise en attente.

Résultat : Vous avez arrêté un vecteur d’attaque actif au lieu de corriger un bug théorique.

Qui utilise EPSS

  • Gestionnaires de vulnérabilités - pour décider quels correctifs déployer en production cette semaine.
  • Analystes en renseignement sur les menaces - pour comprendre le paysage actuel des menaces.
  • CISOs - pour justifier le budget et l’allocation des ressources en fonction du risque plutôt que de la peur.
  • Équipes DevSecOps - pour automatiser l’arrêt des builds uniquement pour les vulnérabilités qui comptent.

Quand appliquer EPSS

EPSS doit être utilisé lors de la phase de Tri et Remédiation de la gestion des vulnérabilités.

  • Pendant le triage - Lorsque vous avez 500 bugs critiques et seulement le temps d’en corriger 50.
  • Dans la politique - Établissez des règles comme « Corrigez tout ce qui a un EPSS > 50 % dans les 24 heures. »
  • Dans le reporting - Montrez à la direction que vous réduisez le « Risque Exploitable », pas seulement en fermant des tickets.

Capacités clés des outils EPSS

Les outils qui intègrent EPSS fournissent généralement :

  • Double notation : Affichage du CVSS et de l’EPSS côte à côte.
  • Priorisation dynamique : Reclassement quotidien des vulnérabilités à mesure que les scores EPSS changent.
  • Acceptation du risque : Marquage sécurisé des vulnérabilités à faible EPSS comme « Accepter le risque » pour une période définie.
  • Contexte riche : Liaison du score aux familles d’exploits spécifiques (par exemple, « Utilisé par le groupe de ransomware X »).

Exemples d’outils : plateformes de gestion des vulnérabilités et Plexicus ASPM, qui utilise EPSS pour filtrer le bruit des analyses de code.

Meilleures pratiques pour EPSS

  • Combinez CVSS et EPSS : Ne négligez pas le CVSS. Le « Saint Graal » de la priorisation est CVSS élevé + EPSS élevé.
  • Définissez des seuils : Définissez ce que signifie « élevé » pour votre organisation. De nombreuses équipes commencent à prioriser à EPSS > 0,1 (10 %) car le score moyen est très bas.
  • Automatisez : Utilisez des API pour intégrer les scores EPSS dans votre système de tickets (Jira).
  • Revue quotidienne : Les scores EPSS changent. Une vulnérabilité avec un score de 0,01 aujourd’hui pourrait passer à 0,80 demain si un Proof of Concept (PoC) est publié sur Twitter.

Termes associés

FAQ : Score EPSS

1. Quel est un bon score EPSS ?

Il n’y a pas de “bon” score, mais plus il est bas, mieux c’est pour la sécurité. La plupart des vulnérabilités ont des scores très bas (inférieurs à 0,05). Si un score est supérieur à 0,10 (10%), il est dans le percentile supérieur des menaces et doit être investigué. Un score supérieur à 0,50 est une urgence.

2. L’EPSS remplace-t-il le CVSS ?

Non. Le CVSS mesure la Gravité (impact). L’EPSS mesure la Probabilité (menace). Vous avez besoin des deux. Un bug de faible gravité avec une probabilité élevée est ennuyeux mais gérable. Un bug de haute gravité avec une probabilité élevée est une crise.

3. À quelle fréquence l’EPSS est-il mis à jour ?

Le modèle est réentraîné et les scores sont mis à jour quotidiennement par FIRST.org.

4. Pourquoi ma vulnérabilité critique affiche-t-elle un score EPSS bas ?

Parce qu’elle pourrait être très difficile à exploiter. Peut-être qu’elle nécessite un accès physique au serveur, ou peut-être que le code d’exploitation est complexe et instable. Les attaquants préfèrent les cibles faciles.

5. Puis-je utiliser l’EPSS pour des applications internes ?

L’EPSS est calculé pour les CVE (vulnérabilités publiques). Il ne génère pas de scores pour les vulnérabilités de code personnalisé (comme un bug logique spécifique dans votre application privée) à moins que ce bug ne soit mappé à une bibliothèque CVE connue.

Prochaines étapes

Prêt à sécuriser vos applications ? Choisissez votre chemin à suivre.

Commencer l'essai gratuit

Essayez Plexicus sans risque pendant 14 jours

Voir les tarifs

Tarification transparente pour les équipes de toutes tailles

Rejoindre la communauté

Rejoignez notre communauté mondiale

Lire la documentation

Lisez notre documentation complète

Rejoignez plus de 500 entreprises qui sécurisent déjà leurs applications avec Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready