FAQ

EPSS signifie Exploit Prediction Scoring System, ce qui se traduit par système de notation de prédiction d’exploitation. Il s’agit d’un modèle probabiliste qui attribue à chaque vulnérabilité (généralement identifiée par un identifiant CVE) une probabilité d’être exploitée dans les 30 jours suivant son observation.

L’objectif de l’EPSS est de compléter les autres systèmes d’évaluation (comme le CVSS) en ajoutant une couche dynamique et contextuelle basée sur des données réelles d’exploitation observées dans la nature. Il permet ainsi aux organisations de mieux prioriser leurs efforts de correction en se basant sur le risque d’exploitation réel.

L’EPSS complète le CVSS en apportant une dimension temporelle et comportementale à l’évaluation des vulnérabilités. Le CVSS mesure la gravité d’une faille sur la base de ses propriétés intrinsèques (impact, complexité, accessibilité), mais ne dit rien sur la probabilité réelle qu’elle soit exploitée. L’EPSS comble cette lacune en analysant des données issues du terrain, comme les tendances d’exploitation observées dans les honeypots, les moteurs de recherche de vulnérabilités, ou les flux de menace.

Cette complémentarité est précieuse pour la gestion des risques : une faille peut être critique selon le CVSS, mais non exploitée (score EPSS faible), ou au contraire apparaître bénigne en théorie, mais très utilisée dans des attaques automatisées. Utiliser les deux scores ensemble permet d’établir des priorités plus pertinentes et conformes à la réalité du terrain.

Le modèle EPSS est développé et maintenu par la communauté FIRST (Forum of Incident Response and Security Teams), en collaboration avec des chercheurs, des analystes de données et des professionnels de la cybersécurité. Il s'agit d'un projet ouvert et collaboratif, dont les méthodes sont documentées publiquement, et les résultats mis à jour régulièrement.

Ce modèle repose sur des données statistiques massives et des techniques de machine learning. Il est conçu pour être transparent, reproductible et accessible gratuitement, ce qui en fait un outil fiable et adapté aux besoins opérationnels des équipes de sécurité, même en dehors du périmètre américain ou gouvernemental.

Les scores EPSS sont mis à jour quotidiennement, ce qui reflète la nature dynamique des menaces et de l’exploitation des vulnérabilités. À tout moment, un changement dans le paysage des attaques (publication d’un exploit, discussion sur un forum, détection dans des honeypots) peut faire varier la probabilité qu’une CVE soit ciblée.

Cette actualisation fréquente fait de l’EPSS un outil plus réactif que le CVSS, dont les scores changent rarement une fois publiés. Pour tirer pleinement parti de l’EPSS, il est donc recommandé d’intégrer des flux ou API automatisés pour suivre les scores en continu.

Oui, de plus en plus d’organisations utilisent l’EPSS comme critère prioritaire pour décider quelles vulnérabilités corriger en premier, en particulier lorsqu’elles font face à un grand volume de failles à traiter. Corriger toutes les CVE ayant un score CVSS élevé peut être coûteux et inefficace, surtout si certaines ne sont jamais exploitées. L’EPSS permet donc de focaliser les ressources sur les failles réellement dangereuses.

Certaines politiques de sécurité intègrent désormais des seuils d’action basés sur l’EPSS, par exemple : “corriger toute vulnérabilité ayant un score EPSS > 0.7 dans les 48h”. Cette approche pragmatique permet d’accélérer la remédiation là où c’est le plus utile, tout en limitant les interruptions non justifiées.

Non, l’EPSS ne remplace pas le CVSS : les deux systèmes sont complémentaires. Le CVSS donne une mesure structurelle de la gravité, utile pour comprendre l’impact potentiel d’une vulnérabilité. L’EPSS, quant à lui, fournit une mesure comportementale et prédictive, centrée sur la probabilité d’exploitation réelle.

Ensemble, ces deux scores permettent une évaluation plus fine du risque, à la fois sur le plan théorique et opérationnel. De nombreuses entreprises adoptent une approche hybride, par exemple en ne traitant que les vulnérabilités ayant à la fois un CVSS ≥ 7 et un EPSS ≥ 0.5, ou en utilisant des matrices de risques enrichies de ces deux indicateurs.