Menu
Mais Encore

Security musings

Prioriser les vulnérabilités : Au-delà du CVSS (Introduction)

Catégories

Tags

🔍 Licence d'Utilisation 🔍

Sauf mention contraire, le contenu de ce blog est sous licence CC BY-NC-ND 4.0.

© 2025 à 2042 Sébastien Gioria. Tous droits réservés.

Imaginez la scène : vous ouvrez votre scanner de vulnérabilités un lundi matin. Résultat ? 42 853 CVE détectées. Dont 12 442 marquées “Critical” (CVSS > 9.0). Votre première pensée : “Je démissionne et je pars élever des brebis dans le Niolu”.

Votre deuxième pensée : “Mais par laquelle je commence ?!”

Le problème : L’inflation des CVE “critiques”

Si vous vous fiez uniquement au score CVSS, vous allez rapidement vous retrouver paralysé. En 2026, on approche les 50 000 nouvelles CVE par an, et une bonne partie d’entre elles affichent des scores rouges qui font peur aux managers.

Mais voilà le hic : toutes les CVE “critiques” ne sont pas égales. Certaines sont exploitées massivement dans la nature. D’autres ne le seront jamais parce que l’exploit est trop complexe, ou que la cible est trop nichée.

Comme on l’a vu dans notre article sur le CVSS, ce score mesure la sévérité technique, pas le risque réel. C’est comme un thermomètre qui vous dit “il fait 40°C dehors”, sans vous préciser si vous êtes à Ajaccio en août ou dans un sauna à Helsinki.

La solution : Deux nouveaux indicateurs

Pour sortir de cette impasse, deux outils complémentaires sont devenus incontournables :

  1. EPSS (Exploit Prediction Scoring System) : Pour savoir ce qui risque d’être exploité
  2. KEV (Known Exploited Vulnerabilities) : Pour savoir ce qui est déjà exploité dans la nature

Si la CVE est votre identifiant unique et le CVSS votre thermomètre, alors :

  • EPSS est votre boule de cristal (prédiction)
  • KEV est le coup de fil des pompiers qui vous disent “Monsieur, votre maison brûle” (confirmation)

Une série en 3 épisodes

Cette semaine, on va décortiquer ces deux outils et leur articulation avec l’écosystème CVE/CVSS. Pas en mode marketing (“Our AI-powered solution…”), mais en mode “comment ça marche vraiment et pourquoi vous devez les utiliser”.

Au programme :

  • Introduction : Le problème de la priorisation
  • EPSS : La probabilité d’exploitation (modèle ML, métriques, limites)
  • KEV : Le catalogue des vulnérabilités exploitées (critères, mise à jour, délais)
  • Synthèse : Comment croiser CVE, CVSS, EPSS et KEV pour prioriser efficacement

Pourquoi c’est important

Voici un scénario qui devrait vous parler :

Scénario A : Vous ne regardez que le CVSS

Lundi matin : Vous voyez une CVE-2024-4242 avec un score de 9.8. Panique. Vous mobilisez toute l’équipe pour patcher en urgence.

Résultat :

  • 3 jours de travail
  • 2 incidents liés au patch qui casse une dépendance
  • La CVE n’a jamais été exploitée (EPSS = 0.02)
  • Elle n’était même pas exposée sur Internet dans votre infra

Bilan : Vous avez gaspillé du temps et de l’énergie sur un risque théorique, pendant que d’autres failles réellement exploitées attendaient sagement leur tour.

Scénario B : Vous croisez CVSS, EPSS et KEV

Lundi matin : Vous voyez plusieurs CVE :

  • CVE-2024-1234 : CVSS 9.8 / EPSS 0.02 / Absente de KEV → P3 (cycle normal)
  • CVE-2024-5678 : CVSS 6.5 / EPSS 0.88 / Présente dans KEVP0 (urgent)

Résultat :

  • Vous patchez d’abord la CVE-2024-5678 qui est activement exploitée
  • La CVE-2024-1234 attend le prochain cycle de maintenance
  • Vous avez protégé ce qui était réellement attaqué

Bilan : Vous avez optimisé vos ressources et traité les vrais risques en priorité.

Le changement de paradigme

Pendant des années, on a fait du patch management “au poids” : plus le CVSS est élevé, plus c’est urgent. C’était simple, binaire, rassurant.

Mais en 2026, avec 50 000 CVE/an et des équipes de sécu qui ne grossissent pas proportionnellement, cette approche ne tient plus la route. Il faut être chirurgical, pas exhaustif.

EPSS et KEV permettent de passer de :

  • “On patche tout ce qui est rouge” (impossible)
  • À “On patche d’abord ce qui est effectivement dangereux” (réaliste)

Ce qui nous attend cette semaine

Dans les prochains posts, on va voir :

  • Comment EPSS utilise du Machine Learning pour prédire les exploits (spoiler : c’est bien foutu)
  • Comment la CISA maintient le catalogue KEV et pourquoi il est devenu incontournable
  • Comment créer une matrice de priorisation qui croise tous ces indicateurs
  • Quels outils utiliser pour automatiser tout ça (parce qu’on n’est pas des robots)

Avant de continuer : Révisez les bases

Si vous n’avez pas encore lu les posts précédents de janvier, je vous conseille de le faire maintenant. Ça vous aidera à mieux comprendre la suite :

  1. CVE-2026-0544 : L’injection SQL qui rappelle qu’on n’a rien appris en 28 ans
  2. La base CVE : Mode d’emploi, histoire et petites trahisons
  3. CVSS : Le thermomètre cassé de la sécurité

Ces trois posts forment la base de l’écosystème. EPSS et KEV sont les couches supérieures qui apportent le contexte d’exploitation.

Pour résumer (en attendant la suite)

À retenir 📌

  • Le CVSS seul ne suffit plus pour prioriser les patchs face à 50 000 CVE/an.
  • EPSS prédit la probabilité d'exploitation (0-1) sur 30 jours.
  • KEV liste les CVE activement exploitées dans la nature.
  • Une CVE "critique" (CVSS 9+) avec EPSS faible et hors KEV n'est pas forcément urgente.
  • Il faut passer d'une approche "exhaustive" à une approche "chirurgicale" du patch management.
LinkedIn Reddit