FAQ

Pour les RSSI et les équipes SOC, l’EPSS offre une aide à la décision objective et dynamique. Il permet de filtrer les vulnérabilités détectées par les scanners en fonction de leur probabilité d’exploitation, ce qui allège la charge des équipes et améliore la pertinence des alertes. L’EPSS est particulièrement utile dans les environnements où le volume de CVE est important et les ressources limitées.

En intégrant l’EPSS dans les outils de gestion des vulnérabilités, de SIEM ou de tableaux de bord de sécurité, les RSSI peuvent mieux communiquer avec la direction en priorisant les actions en fonction du risque réel et mesurable, plutôt que d’une simple note théorique.

L’EPSS complète le CVSS en apportant une dimension temporelle et comportementale à l’évaluation des vulnérabilités. Le CVSS mesure la gravité d’une faille sur la base de ses propriétés intrinsèques (impact, complexité, accessibilité), mais ne dit rien sur la probabilité réelle qu’elle soit exploitée. L’EPSS comble cette lacune en analysant des données issues du terrain, comme les tendances d’exploitation observées dans les honeypots, les moteurs de recherche de vulnérabilités, ou les flux de menace.

Cette complémentarité est précieuse pour la gestion des risques : une faille peut être critique selon le CVSS, mais non exploitée (score EPSS faible), ou au contraire apparaître bénigne en théorie, mais très utilisée dans des attaques automatisées. Utiliser les deux scores ensemble permet d’établir des priorités plus pertinentes et conformes à la réalité du terrain.

Les scores EPSS sont mis à jour quotidiennement, ce qui reflète la nature dynamique des menaces et de l’exploitation des vulnérabilités. À tout moment, un changement dans le paysage des attaques (publication d’un exploit, discussion sur un forum, détection dans des honeypots) peut faire varier la probabilité qu’une CVE soit ciblée.

Cette actualisation fréquente fait de l’EPSS un outil plus réactif que le CVSS, dont les scores changent rarement une fois publiés. Pour tirer pleinement parti de l’EPSS, il est donc recommandé d’intégrer des flux ou API automatisés pour suivre les scores en continu.

Le modèle EPSS est développé et maintenu par la communauté FIRST (Forum of Incident Response and Security Teams), en collaboration avec des chercheurs, des analystes de données et des professionnels de la cybersécurité. Il s'agit d'un projet ouvert et collaboratif, dont les méthodes sont documentées publiquement, et les résultats mis à jour régulièrement.

Ce modèle repose sur des données statistiques massives et des techniques de machine learning. Il est conçu pour être transparent, reproductible et accessible gratuitement, ce qui en fait un outil fiable et adapté aux besoins opérationnels des équipes de sécurité, même en dehors du périmètre américain ou gouvernemental.