CVSS vs EPSS vs KEV : comment prioriser les CVE qui comptent
CVSS vs EPSS vs KEV : trois signaux qui classent les vulnérabilités différemment. Pourquoi CloudKey patche KEV d'abord, EPSS ensuite, CVSS en dernier.
CVSS vs EPSS vs KEV : c’est la question à laquelle chaque file de patchs doit répondre. Lequel de ces trois signaux vous dit quoi corriger cette semaine ? CVSS évalue la gravité hypothétique, EPSS prédit la probabilité d’exploitation à 30 jours, et le catalogue KEV de la CISA confirme une exploitation observée dans la nature. Ils classent la même CVE différemment, et la plupart des files de patchs laissent gagner le mauvais signal.
Voici un guide de terrain court sur la manière dont CloudKey ordonne CVSS vs EPSS vs KEV : statut KEV d’abord, probabilité EPSS ensuite, CVSS seulement après. Si votre équipe corrige encore d’abord le CVSS le plus élevé, vous corrigez probablement la mauvaise CVE cette semaine.
CVSS vs EPSS vs KEV en un coup d’œil
| Signal | Ce qu’il mesure | Source | À utiliser pour |
|---|---|---|---|
| CVSS | Gravité hypothétique si exploitée | NVD (spécification FIRST CVSS) | Seuil de triage, pas l’ordre de la file |
| EPSS | Probabilité d’exploitation à 30 jours | Modèle FIRST EPSS | Patcher les non-encore-exploitées |
| KEV | Exploitation confirmée dans la nature | Catalogue KEV de la CISA | Patcher maintenant, preuves à l’appui |
Ce qu’est vraiment KEV
Le catalogue Known Exploited Vulnerabilities est une liste tenue par la CISA, regroupant les CVE pour lesquels existe une preuve confirmée d’exploitation active. Une CVE n’entre dans KEV que lorsqu’une exploitation observée vise une cible réelle, pas un simple code de démonstration théorique.
Deux chiffres rendent cette liste importante :
- Environ 1 200 CVE figurent sur KEV à ce jour, contre plus de 200 000 CVE catalogués par NVD. Soit environ 0,6 %.
- Les études d’EPSS et de groupes académiques placent la part des CVE listés KEV qui finissent exploitées à des ordres de grandeur au-dessus de la population générale.
Si vous corrigiez uniquement les CVE listés KEV et rien d’autre, vous couvririez la majorité des attaques réelles contre votre environnement, pour une fraction de l’effort d’ingénierie d’une file « patcher tout ce qui est critique ».
Pourquoi CVSS seul classe mal la file
Les scores CVSS sont calculés à partir de propriétés techniques intrinsèques : vecteur d’attaque, complexité, privilèges requis, impact. Utiles, mais ils prédisent la gravité dans l’abstrait, pas la probabilité d’exploitation.
Deux conséquences en découlent :
- Un CVSS 9.8 sur un produit de niche sans outillage attaquant disponible est moins urgent qu’un CVSS 7.5 sur un appareil de périmètre largement déployé déjà massivement exploité.
- La distribution CVSS est lourde en haut. Environ 17 % des CVE atteignent 9.0 ou plus. Si tout est critique, rien ne l’est.
Résultat : une file qui perd son signal. Les équipes s’épuisent à trier des « critiques » alors que le vrai vecteur de brèche se trouve à mi-chemin de la liste, avec un 7.5.
Deux vrais CVE qui le prouvent
CVE-2024-3400 : Palo Alto GlobalProtect
Une injection de commande dans PAN-OS GlobalProtect. Score CVSS de base : 10.0. Listée KEV dans les jours qui ont suivi la divulgation. EPSS au-dessus de 0,95 en une semaine.
Tous les signaux alignés. Même une file CVSS-seule l’aurait attrapée. La question intéressante est la suivante.
CVE-2024-21887 : injection de commande Ivanti Connect Secure
Score CVSS de base : 9.1, plus bas qu’une longue liste d’avis publiés la même semaine. Listée KEV presque immédiatement, combinée à une exploitation active enchaînée avec un contournement d’authentification. EPSS supérieur à 0,94.
Une équipe CVSS-d’abord l’aurait placée derrière plusieurs 9.8 sans exploitation observée. Une équipe KEV-d’abord l’a corrigée le jour de la publication. Les équipes touchées l’ont été pendant que leur file affichait encore ce constat comme niveau deux.
Ce ne sont pas des anomalies. C’est la règle pour les équipements de périmètre en 2024 et 2025 : KEV identifie les CVE vraiment urgents des jours à des semaines avant un classement CVSS-seul.
Où s’inscrit EPSS
EPSS est le système Exploit Prediction Scoring System de FIRST. Il produit une probabilité entre 0 et 1 qu’un CVE soit exploité dans les 30 prochains jours, dérivée du code d’exploitation observé, des avis fournisseurs, et d’autres signaux.
KEV est binaire et historique : il dit « ceci a été exploité ». EPSS est probabiliste et prospectif : il dit « ceci sera probablement exploité bientôt ». Utilisés ensemble, ils couvrent la chronologie :
- Listé KEV : patchez maintenant, preuves à l’appui.
- EPSS supérieur à 0,7 et pas encore listé KEV : patchez au prochain sprint, avant l’atterrissage sur KEV.
- EPSS sous 0,1 et hors KEV : classé, mais pas dans vos dix premiers.
VulnMonitor de CloudKey réconcilie les trois signaux avec votre inventaire d’actifs, puis classe les quelques CVE qui comptent pour votre stack dans une file quotidienne.
Comment CloudKey classe
Chaque constat dans VulnMonitor passe par quatre vérifications avant d’atterrir dans votre file, dans cet ordre :
- Le CVE est-il sur KEV ?
- Quel est son score EPSS, et la tendance est-elle à la hausse ?
- Quel est le score CVSS de base ?
- Le CVE correspond-il à un actif de votre inventaire, et cet actif est-il atteignable ?
La quatrième question compte autant que les trois premières. Un CVE listé KEV sur un hôte non exposé à Internet et hors du périmètre d’accès à privilèges reste important, mais ce n’est pas la même urgence qu’un CVE listé KEV sur un équipement de périmètre exposé.
Un constat classé par KEV et atteignabilité est celui qui survit à la revue et mérite l’heure d’ingénierie. Le reste passe en voie rapide vers un durcissement trimestriel.
Trois actions à changer dans votre file cette semaine
Trois étapes concrètes pour ordonner CVSS vs EPSS vs KEV cette semaine :
- Étiquetez chaque CVE de votre tracker avec son statut KEV. Si votre scanner ne l’exporte pas, récupérez le flux CISA et joignez sur l’ID CVE.
- Triez par KEV d’abord, EPSS ensuite, CVSS en troisième. Cessez d’utiliser « Critique / Élevé / Moyen / Faible » comme filtre principal.
- Re-testez chaque correctif. Un CVE listé KEV « patché » sans re-test n’est pas clos. Les tests d’intrusion CloudKey incluent le re-test dans chaque engagement.
Ce n’est pas un exercice de recherche. Les dix premiers constats d’une file KEV-d’abord ferment plus de risque réel que les cinq cents suivants d’une file CVSS-d’abord. Le budget patch que cela vous achète compte plus que le rapport généré.
Sources
Continuer la lecture
Ce que contient un bon rapport de surveillance dark web
Un rapport de surveillance dark web CloudKey, section par section : constats ouverts, attestations de re-test, et ce que les auditeurs demandent en premier.
Réconciliation SBOM et inventaire d'actifs en pratique
La réconciliation SBOM et inventaire d'actifs associe chaque manifeste signé à l'hôte qui l'exécute, pour que la file de CVE classe le risque sur des systèmes réels.