Priorisation des vulnérabilités : au-delà des scores CVSS

Pourquoi CVSS seul est insuffisant

CVSS mesure la sévérité intrinsèque d'une vulnérabilité – le niveau de gravité potentiel dans le pire des cas. Il ne mesure pas la probabilité d'exploitation, l'existence d'un exploit public, la fonction de l'actif affecté, ni si des contrôles compensatoires réduisent le risque. Une vulnérabilité CVSS 9.8 sans exploit public dans un système à usage interne est moins urgente qu'une vulnérabilité CVSS 7.5 avec un kit d'exploitation actif ciblant des systèmes de paiement exposés sur Internet.

EPSS : Système de notation de la prédiction d'exploitation

EPSS prédit la probabilité qu'une vulnérabilité soit exploitée dans la nature dans les 30 jours suivants, en se basant sur des données d'exploitation réelles. Un score EPSS de 0,97 signifie une probabilité d'exploitation de 97 %. Combiné à CVSS, EPSS permet de distinguer la sévérité théorique du risque pratique. Les CVE avec un CVSS élevé mais un EPSS faible peuvent souvent être dépriorisées. Les CVE avec un CVSS modéré mais un EPSS élevé doivent être traitées en priorité.

SSVC : Catégorisation des vulnérabilités spécifique aux parties prenantes

SSVC, développé par la CISA et Carnegie Mellon, remplace les scores numériques par des arbres de décision. Il évalue l'état d'exploitation (aucun, PoC, actif), l'impact technique (partiel, total), la prévalence de la mission (minimale, support, essentielle) et produit une action recommandée : Suivre, Suivre*, Assister ou Agir. SSVC produit des résultats plus exploitables que les scores numériques.

Priorisation contextuelle

La priorisation la plus efficace ajoute votre contexte métier spécifique : que fait le système affecté ? Quelles données contient-il ? Est-il exposé sur Internet ou à usage interne uniquement ? Des contrôles compensatoires sont-ils en place ? Quel est le rayon d'explosion en cas de compromission ? Cette analyse contextuelle est l'endroit où les tests manuels d'experts de Penetrify apportent le plus de valeur – les testeurs évaluent les résultats dans le contexte de votre environnement spécifique, produisant des évaluations de la sévérité qui reflètent le risque réel pour l'entreprise plutôt que des scores théoriques.

Un workflow de priorisation pratique

Étape 1 : Filtrer par EPSS > 0,1 (vulnérabilités avec une probabilité d'exploitation significative). Étape 2 : Classer par criticité des actifs (exposés sur Internet, données sensibles, générant des revenus). Étape 3 : Vérifier les contrôles compensatoires qui réduisent le risque effectif. Étape 4 : Appliquer l'arbre de décision SSVC pour l'action recommandée. Étape 5 : Attribuer des délais de correction en fonction de la priorité résultante. Ce workflow réduit vos 847 résultats aux 30 à 50 qui exigent véritablement une attention immédiate.

Conclusion

CVSS est un point de départ, pas un cadre de priorisation. Superposez EPSS pour la probabilité d'exploitation, SSVC pour les décisions exploitables et l'analyse contextuelle pour la pertinence de l'entreprise. Les experts testeurs de Penetrify fournissent la priorisation contextuelle que la notation automatisée ne peut pas offrir – car savoir qu'une vulnérabilité existe est moins important que de savoir si elle est importante pour votre entreprise.

Foire Aux Questions

Qu'est-ce que l'EPSS ?

Le système de notation de la prédiction d'exploitation (EPSS) prédit la probabilité qu'une vulnérabilité soit exploitée dans la nature dans les 30 jours. Il utilise des données d'exploitation réelles pour distinguer la gravité théorique du risque pratique.

Dois-je cesser d'utiliser CVSS ?

Non – continuez à utiliser CVSS comme base de référence, mais ne l'utilisez pas comme seule mesure de priorisation. Superposez EPSS pour la probabilité d'exploitation et l'analyse contextuelle pour la pertinence commerciale.