CVSS ne suffit plus pour prioriser les vulnérabilités. EPSS apporte la probabilité d'exploitation. Comment combiner les deux pour une priorisation efficace.
Jordan Fredj
20 janvier 2026
9 min
Loading...
Jordan Fredj
Fondateur, Hacksessible
La priorisation des vulnérabilités est l'un des defis les plus critiques de la cybersécurité. Pendant des annees, le score CVSS (Common Vulnerability Scoring System) a ete le standard de facto pour évaluér la severite des vulnérabilités. Mais le CVSS a un problème fondamental : il mesure la severite dans le pire cas, pas la probabilite d'exploitation reelle. L'EPSS (Exploit Prediction Scoring System) change la donne en ajoutant la dimension probabiliste. Cet article explique les forces et les limites de chaque système, et comment les combiner pour une priorisation qui reflete veritablement le risque operationnel.
Le CVSS est un système standardise d'évaluation de la severite des vulnérabilités. Le score va de 0 a 10, avec les plages habituelles : 0-3.9 (faible), 4-6.9 (moyen), 7-8.9 (eleve), 9-10 (critique). Le score est calcule a partir de metriques comme le vecteur d'attaque (reseau, adjacent, local, physique), la complexite de l'attaque, les privileges requis, l'interaction utilisateur nécessaire, et l'impact sur la confidentialite, l'integrite et la disponibilite.
Le CVSS est utile pour comprendre la severite intrinseque d'une vulnérabilité. Mais il a plusieurs limitations majeures pour la priorisation operationnelle.
Premiere limitation : le CVSS ne prend pas en compte la probabilite d'exploitation. Une vulnérabilité peut avoir un score de 9.8 mais n'etre jamais exploitee dans la nature. Inversement, une vulnérabilité avec un score de 7.0 peut etre activement exploitee par des groupes criminels. En se basant uniquement sur le CVSS, les equipes de sécurité traitent potentiellement des vulnérabilités a faible probabilite d'exploitation en priorite, au detriment de failles réellement exploitees.
Deuxieme limitation : l'inflation des scores critiques. Avec l'evolution du CVSS et la complexite croissante des systèmes, la proportion de vulnérabilités classees "critiques" (9.0+) ou "elevees" (7.0+) ne cesse d'augmenter. Selon les donnees NIST, plus de 50% des CVE publiees ont un score CVSS de 7.0 ou plus. Quand la moitie de vos vulnérabilités sont "critiques" ou "elevees", la priorisation perd son sens.
Troisieme limitation : le CVSS est statique. Le score est attribue au moment de la publication de la CVE et ne change que rarement. Or, la menace est dynamique : un exploit peut etre publie six mois apres la CVE, transformant une vulnérabilité theorique en menace active. Le CVSS ne capture pas cette evolution temporelle.
L'EPSS, developpe par le FIRST (Forum of Incident Response and Security Teams), repond a une question differente du CVSS : "Quelle est la probabilite que cette vulnérabilité soit exploitee dans les 30 prochains jours ?". Le score EPSS va de 0 a 1 (0% a 100% de probabilite d'exploitation).
L'EPSS utilise un modele de machine learning qui prend en compte de nombreux facteurs : l'existence d'exploits publics, les mentions dans les communautes de hackers, les donnees de telemetrie des sondes de détection d'intrusion, les caracteristiques techniques de la vulnérabilité, et l'historique d'exploitation de vulnérabilités similaires. Le score est mis a jour quotidiennement, ce qui capture l'evolution dynamique des menaces.
La puissance de l'EPSS reside dans sa capacité de discrimination. Alors que le CVSS classe 50% des CVE comme "elevees" ou "critiques", l'EPSS montre que moins de 5% des vulnérabilités sont effectivement exploitees. En se concentrant sur les vulnérabilités a forte probabilite d'exploitation, les equipes de sécurité peuvent reduire considerablement leur charge de travail tout en couvrant les menaces reelles.
Prenons un exemple pour illustrer la difference. Imaginons deux vulnérabilités dans votre infrastructure.
Vulnerabilite A : une faille dans une bibliotheque de traitement d'images qui permet une execution de code a distance dans des conditions tres spécifiques. CVSS : 9.8 (critique). EPSS : 0.02 (2% de probabilite d'exploitation dans les 30 jours). La vulnérabilité est severe en theorie, mais les conditions d'exploitation sont si spécifiques qu'elle n'est quasiment jamais exploitee dans la nature.
Vulnerabilite B : une faille d'injection SQL dans un composant d'authentification. CVSS : 7.5 (eleve). EPSS : 0.85 (85% de probabilite d'exploitation dans les 30 jours). Le score CVSS est plus bas que la vulnérabilité A, mais cette faille est activement exploitee par des bots automatisés qui scannent Internet en permanence.
En se basant uniquement sur le CVSS, l'equipe de sécurité traiterait la vulnérabilité A en priorite (9.8 vs 7.5). En combinant CVSS et EPSS, la vulnérabilité B est clairement la priorite : elle est activement exploitee et représente un danger immédiat. La vulnérabilité A peut etre traitee dans un cycle normal de maintenance.
La meilleure approche n'est pas de remplacer le CVSS par l'EPSS mais de les combiner. Le CVSS repond a la question "quel est l'impact si cette vulnérabilité est exploitee ?" et l'EPSS repond a "quelle est la probabilite que cela arrive ?". Ensemble, ils donnent une vision complete du risque : risque = impact x probabilite.
En pratique, vous pouvez creer une matrice de priorisation avec quatre quadrants. Quadrant 1 (CVSS eleve + EPSS eleve) : priorite absolue, traitement immédiat. Quadrant 2 (CVSS eleve + EPSS faible) : important mais moins urgent, planification dans le prochain sprint. Quadrant 3 (CVSS faible + EPSS eleve) : attention requise car activement exploite malgre un impact theorique moindre. Quadrant 4 (CVSS faible + EPSS faible) : maintenance normale, traitement programme.
Cette matrice reduit considerablement le nombre de vulnérabilités a traiter en urgence tout en s'assurant que les menaces reelles sont couvertes. Les equipes passent de "traiter les 50 vulnérabilités critiques" a "traiter les 5 vulnérabilités a la fois critiques et activement exploitees".
Quand un agent IA exploite effectivement une vulnérabilité dans votre infrastructure et produit une preuve reproductible, le debat sur la priorisation est clos : la vulnérabilité est exploitable chez vous, point final. Ni le CVSS ni l'EPSS ne peuvent fournir cette certitude. Le CVSS dit "c'est potentiellement grave", l'EPSS dit "c'est probablement exploite ailleurs", et la preuve d'exploitation dit "c'est exploitable chez vous, et voici comment".
L'adoption de l'EPSS en complement du CVSS transforme la gestion des vulnérabilités. Les equipes de sécurité peuvent reduire leur charge de travail de 60 a 80% en se concentrant sur les vulnérabilités a forte probabilite d'exploitation plutot que sur toutes les vulnérabilités "critiques". Le delai moyen de remédiation (MTTR) diminue car les ressources sont concentrees sur un nombre plus restreint de failles. La communication avec la direction s'ameliore car la priorisation est justifiee par des donnees probabilistes, pas seulement par des scores theoriques.
Les outils de gestion des vulnérabilités modernes intégrént de plus en plus l'EPSS. Les SIEM, les plateformes SOAR, et les solutions de vulnerability management incluent desormais les scores EPSS dans leurs tableaux de bord et leurs regles d'automatisation. Si votre outil actuel ne supporte pas l'EPSS, c'est un signal pour envisager une mise a niveau.
L'EPSS n'est pas sans limites. Le score est base sur des donnees globales et ne prend pas en compte votre contexte spécifique. Une vulnérabilité avec un score EPSS faible au niveau mondial peut etre tres dangereuse si un attaquant cible spécifiquement votre secteur ou votre technologie. Le modele est egalement limite par la qualite des donnees d'entree : les exploitations non détectées ou non rapportees ne sont pas prises en compte. Enfin, l'EPSS ne couvre que les CVE publiees - il ne peut rien dire sur les vulnérabilités zero-day ou les failles de logique metier sans CVE.
Non, l'EPSS complete le CVSS. Le CVSS mesure la severite (impact dans le pire cas), l'EPSS mesure la probabilite d'exploitation. Les deux sont nécessaires pour une priorisation efficace. Utilisez le CVSS pour comprendre l'impact potentiel et l'EPSS pour évaluér la probabilite que cet impact se materialise.
Les scores EPSS sont disponibles gratuitement sur le site du FIRST (first.org/epss). Ils sont mis a jour quotidiennement et disponibles via une API. De nombreux outils de gestion des vulnérabilités intégrént desormais l'EPSS nativement.
Il n'y a pas de seuil universel. Le FIRST recommande de considerer les vulnérabilités avec un EPSS superieur a 0.1 (10%) comme necessitant une attention particuliere. En combinant avec le CVSS, une vulnérabilité avec un EPSS superieur a 0.1 ET un CVSS superieur a 7.0 devrait etre traitee en priorite absolue. Adaptez ces seuils a votre appetit pour le risque et a vos ressources.
Jordan Fredj, Fondateur Hacksessible -
CVSS + EPSS + preuve d'exploitation = priorisation parfaite. Découvrez comment Hacksessible combine les trois dimensions.