Un scan de vuln\u00e9rabilit\u00e9s d’un r\u00e9seau typique de PME fournit des dizaines, souvent des centaines de r\u00e9sultats. Chaque finding poss\u00e8de un score CVSS, et la r\u00e9action instinctive est claire : corriger d’abord les 9.8 et les 10.0. Mais est-ce vraiment la bonne strat\u00e9gie ? Pas n\u00e9cessairement. Le CVSS seul ne raconte qu’une partie de l’histoire, et parfois la moins importante.<\/p>\n
Le Common Vulnerability Scoring System (CVSS) est le standard de facto pour l’\u00e9valuation des vuln\u00e9rabilit\u00e9s. La version actuelle CVSS 4.0 \u00e9value une vuln\u00e9rabilit\u00e9 selon plusieurs m\u00e9triques :<\/p>\n
Le CVSS r\u00e9pond donc \u00e0 la question : \u00ab Quel pourrait<\/strong> \u00eatre le degr\u00e9 de gravit\u00e9 si cette vuln\u00e9rabilit\u00e9 est exploit\u00e9e ? \u00bb C’est incontestablement important. Mais il manque une dimension d\u00e9cisive : Quelle est la probabilit\u00e9 qu’elle soit r\u00e9ellement exploit\u00e9e ?<\/strong><\/p>\n Prenons un exemple concret. La National Vulnerability Database (NVD) recense actuellement plus de 64’000 CVEs avec un score CVSS de 7.0 ou plus, c’est-\u00e0-dire class\u00e9es comme \u00ab \u00e9lev\u00e9es \u00bb ou \u00ab critiques \u00bb. Si chaque vuln\u00e9rabilit\u00e9 avec un CVSS de 9.0+ doit \u00eatre corrig\u00e9e imm\u00e9diatement, les PME font face \u00e0 une t\u00e2che insurmontable.<\/p>\n S’y ajoute un probl\u00e8me statistique : seule une infime fraction de toutes les vuln\u00e9rabilit\u00e9s connues est effectivement exploit\u00e9e. Diverses \u00e9tudes avancent des chiffres entre 2 et 5 pour cent. Cela signifie que 95 \u00e0 98 pour cent de toutes les CVEs restent des risques th\u00e9oriques qui ne sont jamais attaqu\u00e9s en conditions r\u00e9elles.<\/p>\n Parall\u00e8lement, il existe des vuln\u00e9rabilit\u00e9s avec un score CVSS \u00ab mod\u00e9r\u00e9 \u00bb de 6.0 ou 7.0 qui sont massivement exploit\u00e9es par des groupes d’attaquants, parce qu’elles sont facilement automatisables, concernent des logiciels largement r\u00e9pandus ou parce que des exploits fiables sont publiquement disponibles.<\/p>\n Ceux qui priorisent exclusivement selon le CVSS investissent du temps et des ressources dans des vuln\u00e9rabilit\u00e9s que personne n’attaque, tandis que des vuln\u00e9rabilit\u00e9s effectivement exploit\u00e9es avec un score plus bas restent sans traitement.<\/p>\n L’Exploit Prediction Scoring System (EPSS) est un mod\u00e8le relativement r\u00e9cent, d\u00e9velopp\u00e9 par FIRST (Forum of Incident Response and Security Teams), qui comble exactement la lacune laiss\u00e9e par le CVSS. L’EPSS r\u00e9pond \u00e0 la question : \u00ab Quelle est la probabilit\u00e9 que cette vuln\u00e9rabilit\u00e9 soit activement exploit\u00e9e dans les 30 prochains jours ? \u00bb<\/p>\n L’EPSS utilise pour cela des mod\u00e8les de machine learning qui analysent une multitude de facteurs :<\/p>\n Le r\u00e9sultat est un pourcentage entre 0 et 1 (soit 0% et 100%). Un score EPSS de 0.95 signifie : avec une probabilit\u00e9 de 95 pour cent, cette vuln\u00e9rabilit\u00e9 sera exploit\u00e9e par des attaquants dans les 30 prochains jours. Un score de 0.001 signifie : la probabilit\u00e9 est de 0.1 pour cent.<\/p>\n La distribution des scores EPSS est r\u00e9v\u00e9latrice : la grande majorit\u00e9 des CVEs ont un score EPSS inf\u00e9rieur \u00e0 0.1 (10%). Seule une petite fraction atteint des valeurs sup\u00e9rieures \u00e0 0.5 (50%). Cette distribution confirme ce que les chercheurs en s\u00e9curit\u00e9 savent depuis des ann\u00e9es : la plupart des vuln\u00e9rabilit\u00e9s ne sont jamais exploit\u00e9es.<\/p>\n Cela devient int\u00e9ressant lorsqu’on observe le CVSS et l’EPSS ensemble :<\/p>\n Alors que l’EPSS fournit une pr\u00e9vision, le catalogue Known Exploited Vulnerabilities (KEV) de la Cybersecurity and Infrastructure Security Agency (CISA) am\u00e9ricaine fournit des faits : il r\u00e9pertorie les vuln\u00e9rabilit\u00e9s qui sont effectivement<\/strong> exploit\u00e9es activement par des attaquants.<\/p>\n Le catalogue KEV comprend actuellement plus de 1’100 vuln\u00e9rabilit\u00e9s et est r\u00e9guli\u00e8rement mis \u00e0 jour. Pour chaque vuln\u00e9rabilit\u00e9 r\u00e9pertori\u00e9e, la CISA fixe un d\u00e9lai de rem\u00e9diation contraignant — obligatoire pour les agences f\u00e9d\u00e9rales am\u00e9ricaines, mais aussi un rep\u00e8re clair pour le secteur priv\u00e9.<\/p>\n Les crit\u00e8res d’inclusion sont stricts :<\/p>\n Lorsqu’une vuln\u00e9rabilit\u00e9 figure dans le catalogue KEV, la question n’est plus \u00ab si \u00bb, mais \u00ab \u00e0 quelle vitesse \u00bb elle doit \u00eatre corrig\u00e9e. L’urgence est maximale.<\/p>\n Pris individuellement, chaque syst\u00e8me a ses forces et ses faiblesses :<\/p>\n Seule la combinaison des trois sources produit une priorisation intelligente qui prend en compte \u00e0 la fois l’impact et la menace r\u00e9elle.<\/p>\n Sur la base de la combinaison de CVSS, EPSS et KEV, un mod\u00e8le de priorisation en quatre niveaux peut \u00eatre d\u00e9fini :<\/p>\n Priorit\u00e9 1 — Imm\u00e9diat (dans les 24-48 heures) :<\/strong><\/p>\n Priorit\u00e9 2 — Urgent (dans les 7 jours) :<\/strong><\/p>\n Priorit\u00e9 3 — Planifi\u00e9 (dans les 30 jours) :<\/strong><\/p>\n Priorit\u00e9 4 — Prochain cycle (dans les 90 jours) :<\/strong><\/p>\n Ce mod\u00e8le r\u00e9duit consid\u00e9rablement la charge de travail : au lieu de devoir traiter simultan\u00e9ment 200 vuln\u00e9rabilit\u00e9s \u00ab critiques \u00bb, l’\u00e9quipe informatique se concentre sur les 15 \u00e0 20 vuln\u00e9rabilit\u00e9s qui repr\u00e9sentent r\u00e9ellement le risque le plus \u00e9lev\u00e9.<\/p>\n CVE-2023-22515 (Atlassian Confluence) — CVSS 9.8, EPSS 0.97, dans le catalogue KEV. Ici, tous les indicateurs concordent : vuln\u00e9rabilit\u00e9 grave, exploitation quasi certaine, attaque active confirm\u00e9e. Priorit\u00e9 1, mesures imm\u00e9diates requises.<\/p>\n Certaines vuln\u00e9rabilit\u00e9s re\u00e7oivent un score CVSS de 9.0 ou plus, mais ont un score EPSS inf\u00e9rieur \u00e0 0.01. Typique pour : les vuln\u00e9rabilit\u00e9s dans des logiciels peu r\u00e9pandus, les vuln\u00e9rabilit\u00e9s n\u00e9cessitant des pr\u00e9requis tr\u00e8s sp\u00e9cifiques, ou les vuln\u00e9rabilit\u00e9s pour lesquelles aucun code d’exploit n’existe. Celles-ci peuvent \u00eatre trait\u00e9es en priorit\u00e9 3 — importantes, mais pas urgentes.<\/p>\n Les vuln\u00e9rabilit\u00e9s dans les plugins CMS tr\u00e8s r\u00e9pandus (WordPress, Joomla) ont souvent des scores CVSS entre 6.0 et 7.5, mais sont massivement attaqu\u00e9es de mani\u00e8re automatis\u00e9e, car des kits d’exploitation sont disponibles. Des scores EPSS sup\u00e9rieurs \u00e0 0.5 avec un CVSS \u00ab seulement \u00bb moyen signalent : ce finding m\u00e9rite plus d’attention que le score CVSS ne le laisse supposer.<\/p>\n Une dimension suppl\u00e9mentaire de la priorisation est offerte par le framework MITRE ATT&CK. Il classe les vuln\u00e9rabilit\u00e9s et les techniques d’attaque dans une matrice qui repr\u00e9sente l’ensemble du d\u00e9roulement d’une attaque — de la compromission initiale jusqu’\u00e0 l’exfiltration de donn\u00e9es.<\/p>\n ATT&CK aide \u00e0 r\u00e9pondre \u00e0 des questions telles que :<\/p>\n Lorsqu’une vuln\u00e9rabilit\u00e9 est class\u00e9e comme technique d’\u00ab Initial Access \u00bb et utilis\u00e9e par des groupes de ransomware connus, la priorit\u00e9 augmente ind\u00e9pendamment du score CVSS.<\/p>\n La th\u00e9orie est convaincante — mais comment une PME aux ressources limit\u00e9es met-elle en pratique cette priorisation combin\u00e9e ?<\/p>\n Manuellement, c’est quasi impossible.<\/strong> Les scores CVSS figurent dans le rapport de scan, mais les scores EPSS doivent \u00eatre consult\u00e9s s\u00e9par\u00e9ment via l’API FIRST, et le catalogue KEV est une source de donn\u00e9es distincte. Croiser manuellement ces trois sources pour 200 findings n’est pas r\u00e9aliste.<\/p>\n La solution r\u00e9side dans la plateforme.<\/strong> Les plateformes modernes de gestion des vuln\u00e9rabilit\u00e9s int\u00e8grent automatiquement CVSS, EPSS et KEV et affichent pour chaque finding une \u00e9valuation combin\u00e9e du risque. Au lieu de consulter trois sources diff\u00e9rentes, l’\u00e9quipe informatique voit d’un seul coup d’oeil quelles vuln\u00e9rabilit\u00e9s ont r\u00e9ellement la priorit\u00e9.<\/p>\n Le CVSS seul n’est pas un crit\u00e8re de priorisation suffisant. Il \u00e9value le pire cas th\u00e9orique, mais ne dit rien sur la situation de menace r\u00e9elle. L’EPSS compl\u00e8te avec la probabilit\u00e9 d’exploitation, le CISA KEV fournit des donn\u00e9es d’attaques confirm\u00e9es. Seule la combinaison des trois sources permet une priorisation qui d\u00e9ploie les ressources limit\u00e9es l\u00e0 o\u00f9 elles produisent la plus grande r\u00e9duction du risque.<\/p>\n ExposIQ int\u00e8gre CVSS, EPSS et le catalogue CISA KEV directement dans les r\u00e9sultats de scan. Chaque finding est automatiquement \u00e9valu\u00e9 selon les trois sources, compl\u00e9t\u00e9 par un mapping MITRE ATT&CK. Vous voyez ainsi d’un seul coup d’oeil quelles vuln\u00e9rabilit\u00e9s sont th\u00e9oriquement critiques et lesquelles sont r\u00e9ellement attaqu\u00e9es. Le tout avec plus de 35 moteurs de scan, 64’000+ CVEs, 11’700+ templates Nuclei et 112 modules de validation d’exploits. H\u00e9berg\u00e9 en Suisse, conforme \u00e0 la nLPD, \u00e0 partir de CHF 99 par mois. En savoir plus sur exposiq.ch<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Un scan de vuln\u00e9rabilit\u00e9s d’un r\u00e9seau typique de PME fournit des dizaines, souvent des centaines de r\u00e9sultats. Chaque finding poss\u00e8de un score CVSS, et la r\u00e9action instinctive est claire : corriger d’abord les 9.8 et les 10.0. Mais est-ce vraiment la bonne strat\u00e9gie ? Pas n\u00e9cessairement. Le CVSS seul ne raconte qu’une partie de l’histoire, … Lire plus<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"rank_math_focus_keyword":"epss cvss priorisation vuln\u00e9rabilit\u00e9s","rank_math_title":"EPSS et CVSS : comment prioriser correctement les vuln\u00e9rabilit\u00e9s","rank_math_description":"Le CVSS seul ne suffit pas pour la priorisation. EPSS et CISA KEV montrent quelles vuln\u00e9rabilit\u00e9s sont r\u00e9ellement exploit\u00e9es.","rank_math_robots":"","rank_math_canonical_url":"","rank_math_primary_category":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-1169","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"_links":{"self":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1169","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/comments?post=1169"}],"version-history":[{"count":0,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1169\/revisions"}],"wp:attachment":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/media?parent=1169"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/categories?post=1169"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/tags?post=1169"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Le probl\u00e8me du CVSS comme seul crit\u00e8re de priorisation<\/h3>\n
EPSS : la probabilit\u00e9 d’exploitation<\/h2>\n
\n
L’EPSS en pratique<\/h3>\n
\n
CISA KEV : les vuln\u00e9rabilit\u00e9s confirm\u00e9es comme activement exploit\u00e9es<\/h2>\n
\n
C’est la combinaison qui fait la diff\u00e9rence<\/h2>\n
\n
Un mod\u00e8le de priorisation pratique<\/h3>\n
\n
\n
\n
\n
Exemples pratiques<\/h2>\n
Exemple 1 : Haute priorit\u00e9 malgr\u00e9 un CVSS mod\u00e9r\u00e9<\/h3>\n
Exemple 2 : CVSS \u00e9lev\u00e9, mais faible menace r\u00e9elle<\/h3>\n
Exemple 3 : CVSS mod\u00e9r\u00e9, mais activement exploit\u00e9<\/h3>\n
MITRE ATT&CK : comprendre le contexte<\/h2>\n
\n
Mise en oeuvre au quotidien dans les PME<\/h2>\n
Conclusion<\/h2>\n