Qu'est-ce que l'EPSS ?
L'EPSS, ou Exploit Prediction Scoring System, est un modèle statistique maintenu par le FIRST. Il attribue à chaque vulnérabilité une probabilité, comprise entre 0 et 100 %, d'être exploitée dans les trente jours à venir. Le modèle s'appuie sur de nombreux signaux : présence de code d'exploitation public, activité observée, caractéristiques de la faille, et bien d'autres.
L'EPSS répond à une question que le CVSS ne pose pas. Le CVSS dit à quel point une faille serait grave si elle était exploitée ; l'EPSS estime à quel point il est probable qu'elle le soit.
Pourquoi c'est important pour votre organisation
Le problème de la gestion des vulnérabilités n'est pas de trouver les failles, mais de choisir lesquelles corriger en premier. En pratique, une très faible proportion des vulnérabilités est réellement exploitée. Corriger d'abord celles qui ont une forte probabilité d'exploitation concentre l'effort là où le risque est concret.
L'EPSS permet ainsi de réduire fortement la charge de remédiation sans augmenter le risque, en dépriorisant les failles peu susceptibles d'être attaquées.
Comment utiliser l'EPSS
- En complément du CVSS, jamais seul : gravité et probabilité se combinent.
- Avec des seuils adaptés à votre appétit au risque (par exemple prioriser au-delà d'un certain pourcentage).
- En priorité absolue pour toute faille figurant aussi au catalogue CISA KEV.
- De façon dynamique : le score EPSS évolue dans le temps à mesure que la menace change.
Où les organisations pèchent le plus souvent
L'erreur fréquente est de continuer à piloter la remédiation uniquement par la gravité, en ignorant la probabilité d'exploitation. À l'inverse, s'appuyer sur l'EPSS seul et négliger une faille grave mais peu probable expose à un risque résiduel. L'EPSS est un facteur de décision puissant, pas un substitut au jugement ni au contexte de votre environnement.