Aller au contenu
FortaRisks
Retour au glossaireThreat intelligence

EPSS

L'EPSS (Exploit Prediction Scoring System) est un modèle qui estime la probabilité qu'une vulnérabilité soit exploitée dans les 30 jours. Exprimé de 0 à 100 %, il complète le CVSS en répondant non pas à « quelle gravité ? » mais à « quelle probabilité d'attaque réelle ? ».

Mis à jour le 2 juillet 2026

Qu'est-ce que l'EPSS ?

L'EPSS, ou Exploit Prediction Scoring System, est un modèle statistique maintenu par le FIRST. Il attribue à chaque vulnérabilité une probabilité, comprise entre 0 et 100 %, d'être exploitée dans les trente jours à venir. Le modèle s'appuie sur de nombreux signaux : présence de code d'exploitation public, activité observée, caractéristiques de la faille, et bien d'autres.

L'EPSS répond à une question que le CVSS ne pose pas. Le CVSS dit à quel point une faille serait grave si elle était exploitée ; l'EPSS estime à quel point il est probable qu'elle le soit.

Pourquoi c'est important pour votre organisation

Le problème de la gestion des vulnérabilités n'est pas de trouver les failles, mais de choisir lesquelles corriger en premier. En pratique, une très faible proportion des vulnérabilités est réellement exploitée. Corriger d'abord celles qui ont une forte probabilité d'exploitation concentre l'effort là où le risque est concret.

L'EPSS permet ainsi de réduire fortement la charge de remédiation sans augmenter le risque, en dépriorisant les failles peu susceptibles d'être attaquées.

Comment utiliser l'EPSS

  • En complément du CVSS, jamais seul : gravité et probabilité se combinent.
  • Avec des seuils adaptés à votre appétit au risque (par exemple prioriser au-delà d'un certain pourcentage).
  • En priorité absolue pour toute faille figurant aussi au catalogue CISA KEV.
  • De façon dynamique : le score EPSS évolue dans le temps à mesure que la menace change.

Où les organisations pèchent le plus souvent

L'erreur fréquente est de continuer à piloter la remédiation uniquement par la gravité, en ignorant la probabilité d'exploitation. À l'inverse, s'appuyer sur l'EPSS seul et négliger une faille grave mais peu probable expose à un risque résiduel. L'EPSS est un facteur de décision puissant, pas un substitut au jugement ni au contexte de votre environnement.

Questions fréquentes

Quelle différence entre l'EPSS et le CVSS ?

Le CVSS mesure la gravité potentielle d'une faille ; l'EPSS estime la probabilité qu'elle soit réellement exploitée à court terme. Les deux sont complémentaires : une vulnérabilité peut être critique au CVSS mais avoir une faible probabilité d'exploitation, ou l'inverse. Combiner les deux évite de gaspiller des efforts sur des risques théoriques.

L'EPSS remplace-t-il le catalogue CISA KEV ?

Non, ils sont complémentaires. L'EPSS est une prédiction probabiliste ; le catalogue CISA KEV est un constat : il liste les vulnérabilités dont l'exploitation est avérée. Une faille présente au KEV doit être traitée en priorité absolue, quel que soit son score EPSS.

Ressources liées

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.