EPSS (Exploit Prediction Scoring System)
L’EPSS estime la probabilité qu’une vulnérabilité soit exploitée dans les 30 prochains jours. Il complète le CVSS pour prioriser les correctifs par le risque réel.
L’Exploit Prediction Scoring System, développé au sein du FIRST, attribue à chaque CVE une probabilité d’exploitation dans les 30 jours à venir, entre 0 et 1. Le score est produit par un modèle statistique entraîné sur des données d’exploitation observées, publication d’exploits, mentions dans les kits offensifs, télémétrie d’attaques réelles, et il est recalculé quotidiennement pour l’ensemble des CVE publiées.
Son apport se comprend en le comparant au CVSS : celui-ci répond à « quelle serait la gravité si la faille était exploitée ? », l’EPSS répond à « quelle est la probabilité qu’elle le soit ? ». Or les deux réponses divergent souvent. La grande majorité des CVE, y compris critiques sur le papier, ne sont jamais exploitées ; à l’inverse, certaines failles moyennement notées sont massivement utilisées parce qu’un exploit public fiable circule.
En pratique, la priorisation moderne croise les trois signaux : l’exploitation avérée du KEV d’abord, la probabilité EPSS ensuite, la sévérité CVSS enfin, le tout pondéré par l’exposition réelle de l’actif concerné. Une faille très probable sur un service exposé à Internet ne se traite pas au même rythme qu’une faille improbable sur un serveur interne.