FAQ

Le modèle EPSS est développé et maintenu par la communauté FIRST (Forum of Incident Response and Security Teams), en collaboration avec des chercheurs, des analystes de données et des professionnels de la cybersécurité. Il s'agit d'un projet ouvert et collaboratif, dont les méthodes sont documentées publiquement, et les résultats mis à jour régulièrement.

Ce modèle repose sur des données statistiques massives et des techniques de machine learning. Il est conçu pour être transparent, reproductible et accessible gratuitement, ce qui en fait un outil fiable et adapté aux besoins opérationnels des équipes de sécurité, même en dehors du périmètre américain ou gouvernemental.

Les scores EPSS sont mis à jour quotidiennement, ce qui reflète la nature dynamique des menaces et de l’exploitation des vulnérabilités. À tout moment, un changement dans le paysage des attaques (publication d’un exploit, discussion sur un forum, détection dans des honeypots) peut faire varier la probabilité qu’une CVE soit ciblée.

Cette actualisation fréquente fait de l’EPSS un outil plus réactif que le CVSS, dont les scores changent rarement une fois publiés. Pour tirer pleinement parti de l’EPSS, il est donc recommandé d’intégrer des flux ou API automatisés pour suivre les scores en continu.

Oui, de plus en plus d’organisations utilisent l’EPSS comme critère prioritaire pour décider quelles vulnérabilités corriger en premier, en particulier lorsqu’elles font face à un grand volume de failles à traiter. Corriger toutes les CVE ayant un score CVSS élevé peut être coûteux et inefficace, surtout si certaines ne sont jamais exploitées. L’EPSS permet donc de focaliser les ressources sur les failles réellement dangereuses.

Certaines politiques de sécurité intègrent désormais des seuils d’action basés sur l’EPSS, par exemple : “corriger toute vulnérabilité ayant un score EPSS > 0.7 dans les 48h”. Cette approche pragmatique permet d’accélérer la remédiation là où c’est le plus utile, tout en limitant les interruptions non justifiées.

Non, l’EPSS ne remplace pas le CVSS : les deux systèmes sont complémentaires. Le CVSS donne une mesure structurelle de la gravité, utile pour comprendre l’impact potentiel d’une vulnérabilité. L’EPSS, quant à lui, fournit une mesure comportementale et prédictive, centrée sur la probabilité d’exploitation réelle.

Ensemble, ces deux scores permettent une évaluation plus fine du risque, à la fois sur le plan théorique et opérationnel. De nombreuses entreprises adoptent une approche hybride, par exemple en ne traitant que les vulnérabilités ayant à la fois un CVSS ≥ 7 et un EPSS ≥ 0.5, ou en utilisant des matrices de risques enrichies de ces deux indicateurs.

L’exploitation d’une zero-day repose sur le développement d’un exploit spécifique, c’est-à-dire un code ou une méthode capable de tirer parti de la faille avant qu’elle ne soit corrigée. L’attaquant peut l’intégrer dans un document piégé, un site web, un malware ou un email de phishing.

Une fois l’exploit lancé, il peut permettre de prendre le contrôle du système, d’installer un cheval de Troie, d’ouvrir une porte dérobée ou d’extraire des données. La particularité d’un exploit zero-day est qu’il échappe aux mécanismes de détection classiques, car il s’appuie sur une faiblesse encore inconnue de tous.

Les failles zero-day sont particulièrement dangereuses parce qu’elles sont inconnues des éditeurs, des utilisateurs, et souvent des solutions de sécurité traditionnelles (antivirus, IDS, etc.). Cela signifie qu’il n’existe aucun correctif, aucun patch, et souvent aucun mécanisme de détection ou de protection au moment de l’attaque.

Les attaquants peuvent donc les exploiter sans être détectés, souvent dans le cadre d’attaques ciblées et sophistiquées (cyberespionnage, sabotage, accès prolongé à un système). Leur valeur est si élevée que certaines zero-day sont revendues sur le dark web ou à des acteurs gouvernementaux pour des centaines de milliers d’euros.

Une CVE (Common Vulnerabilities and Exposures) est une faille de sécurité déjà identifiée, documentée et publiée dans une base de données officielle. Elle est connue du public et, en général, des correctifs sont en cours ou déjà disponibles. En revanche, une zero-day est une faille non encore divulguée, donc non enregistrée dans une CVE au moment de sa découverte.

Autrement dit, toute zero-day peut devenir une CVE, mais toutes les CVE ne sont pas des zero-day. Le risque majeur d’une zero-day est justement qu’elle soit exploitable avant même son signalement, alors qu’une CVE est par définition une vulnérabilité en phase de traitement ou de correction.

Une vulnérabilité zero-day est une faille de sécurité inconnue du fabricant ou de l’éditeur d’un logiciel, d’un matériel ou d’un système. Elle est dite « zero-day » car l’éditeur a eu zéro jour pour corriger la vulnérabilité au moment où elle est découverte ou exploitée. Elle n’a donc pas encore fait l’objet d’un correctif officiel ni d’un signalement public.

Ces failles peuvent exister pendant des mois, voire des années, sans être détectées. Lorsqu’elles sont trouvées par des cybercriminels ou des groupes étatiques, elles peuvent être exploitées en toute discrétion, rendant leur impact potentiellement très grave.