Comment j'ai optimisé la réponse aux vulnérabilités avec EPSS

31 octobre 2025

analysesécurité

L’auteur partage son expérience d’optimisation de la gestion des vulnérabilités en intégrant le système EPSS (Exploit Prediction Scoring System) pour pallier les limites du modèle traditionnel CVSS (Common Vulnerability Scoring System). Ce dernier, bien qu’utile pour évaluer la gravité théorique d’une faille, ne reflète pas sa probabilité réelle d’exploitation, entraînant une surcharge des équipes et une allocation inefficace des ressources.

L’architecture mise en place combine trois indicateurs clés : le CVSS (niveau de criticité), l’EPSS (probabilité d’exploitation) et le HC (Host Criticality, importance de l’actif concerné). Les données EPSS sont récupérées quotidiennement depuis la base ouverte FIRST EPSS, tandis que les scores CVSS et HC proviennent des rapports de scanners de vulnérabilités. L’infrastructure repose sur une base PostgreSQL pour le stockage, un script de traitement automatisé dans un conteneur, et une interface Budibase offrant des tableaux de bord interactifs pour les analystes.

Les résultats obtenus après un mois d’analyse révèlent des écarts significatifs entre les deux méthodes. Parmi les vulnérabilités détectées, 224 816 présentaient un CVSS élevé (≥ 7) mais un EPSS quasi nul (< 1 %), illustrant une suroévaluation massive des risques. À l’inverse, 341 vulnérabilités sous-évaluées par le CVSS (< 7) affichaient un EPSS très élevé (> 90 %), signalant un danger réel ignoré par le système classique. Le taux de faux positifs (vulnérabilités prioritaires non exploitées) atteint 97 % avec le CVSS, contre 89,5 % avec l’EPSS (seuil ≥ 50 %), démontrant une meilleure précision de ce dernier.

L’analyse des temps de correction montre que les vulnérabilités priorisées uniquement par le CVSS (sans exploitation probable) consomment des ressources inutilement, tandis que celles identifiées par l’EPSS comme critiques sont traitées plus rapidement. L’auteur souligne que l’EPSS, bien qu’imparfait, réduit considérablement le bruit et permet de concentrer les efforts sur les menaces réellement exploitables, optimisant ainsi l’efficacité opérationnelle.

En conclusion, l’intégration de l’EPSS dans les processus de priorisation offre une approche plus contextuelle et dynamique, limitant les biais du CVSS et améliorant la réactivité face aux risques avérés. Cette méthode hybride, combinant gravité et probabilité d’exploitation, se révèle plus adaptée aux enjeux actuels de la cybersécurité.

Article original : https://habr.com/ru/articles/962278/?utm_source=habrahabr&utm_medium=rss&utm_campaign=962278

Synthèse éditoriale issue d’une veille et d’outils d’IA. Des erreurs ou approximations peuvent subsister. Référez‑vous à la source originale et à notre disclaimer.