Handling the CVE Flood With EPSS, (Mon, Apr 20th)
Mis à jour :
Prioriser la gestion des vulnérabilités avec l’EPSS
Face à une croissance exponentielle du nombre de CVE publiées chaque année (plus de 40 000 en 2024), le score CVSS classique — qui mesure la sévérité théorique — s’avère insuffisant pour la priorisation opérationnelle. L’Exploit Prediction Scoring System (EPSS) offre une alternative efficace en évaluant la probabilité réelle d’exploitation d’une faille dans les 30 prochains jours.
Points clés :
- Limites du CVSS : Il évalue l’impact théorique mais ne reflète pas l’activité réelle des attaquants sur le terrain.
- Modèle EPSS : Utilise l’apprentissage automatique (XGBoost) et environ 1 400 signaux dynamiques (données du darknet, PoC, renseignements sur les menaces) pour prédire le risque d’exploitation à court terme.
- Score probabiliste : Exprimé entre 0.00001 et 1.0, il permet de hiérarchiser les interventions sur les failles réellement dangereuses.
Recommandations :
- Intégration API : Automatiser la récupération des scores EPSS via l’API fournie par le FIRST pour enrichir les outils de surveillance (SIEM, log management).
- Priorisation dynamique : Ajuster les niveaux d’alerte des outils de détection (comme Wazuh) en fonction du score EPSS plutôt que de se fier uniquement à la criticité théorique du CVSS.
- Automatisation du triage : Définir des seuils de risque (par exemple, un score > 0.50 pour une priorité “haute” et > 0.90 pour “critique”) afin de concentrer les ressources de remédiation sur les vulnérabilités activement exploitées.
Note : L’article ne mentionne pas de CVE spécifique en tant que vulnérabilité à corriger, mais utilise “CVE-2026-23099” à titre d’exemple technique pour illustrer l’appel API.