AccueilGlossaire › EPSS (Exploit Prediction Scoring System)

EPSS (Exploit Prediction Scoring System)

Sécurité

Score probabiliste ML estimant la chance qu'une CVE soit exploitée dans 30 jours.

L'EPSS (Exploit Prediction Scoring System) est un système de scoring développé par le FIRST.org SIG (Special Interest Group) qui estime, pour chaque CVE publiée, la probabilité (0 à 100%) qu'elle soit exploitée in-the-wild dans les 30 prochains jours. Lancé en 2019 et passé en version 3 en 2023, EPSS comble une limitation majeure du CVSS : la non-prise en compte de la probabilité d'exploitation.

Méthodologie : modèle de machine learning entraîné sur des données empiriques d'exploitation observée (sourcées de feeds threat intelligence, honeypots, IDS logs, Shadowserver, GreyNoise, AlienVault OTX) corrélées avec ~1500 features par CVE : caractéristiques techniques (CVSS metrics, CWE category, vendor/product affecté), signaux d'exploitation (présence d'exploit PoC sur GitHub/ExploitDB/Metasploit/Nuclei, mentions dans threat reports, traffic on Twitter/X), références CISA KEV, et bien d'autres. Le modèle (gradient boosting) est ré-entraîné régulièrement et publié quotidiennement pour ~200 000 CVE.

Usage opérationnel : (1) priorisation patch — focaliser les efforts sur les CVE à fort EPSS (>10%) plutôt que sur le CVSS pur ; (2) statistiquement, ~95% des exploits proviennent du top 5% EPSS, démontrant l'efficacité ; (3) couplage CVSS + EPSS + KEV donne une vue 3D : CVSS = impact technique, EPSS = probabilité, KEV = confirmé ; (4) intégration vulnerability scanners (Tenable depuis 2022, Qualys, Rapid7, Snyk, Wiz, Orca).

Visualisation pertinente : matrice 2D CVSS × EPSS permet d'identifier les vulns "sweet spot" (haut CVSS + haut EPSS = urgence absolue) vs les "fausses urgences" (haut CVSS + bas EPSS = théoriquement grave mais probabilité faible d'exploitation à court terme).

Limitations : prédictif statistique, pas certain (faux positifs/négatifs possibles) ; n'inclut pas le contexte asset (un EPSS 50% sur un serveur internal isolé est moins urgent que sur un Internet-facing) ; orienté volumes d'attaques opportunistes, moins fiable pour les attaques ciblées zero-day. Néanmoins, EPSS + KEV + CVSS forme désormais le triptyque de priorisation des Vulnerability Management programs modernes.

Certifications qui couvrent ce concept
CySA+ Security+ CISSP CISM
Termes liés
CVSS (Common Vulnerability Scoring System) CISA KEV (Known Exploited Vulnerabilities) Zero-Day (0-Day Vulnerability) Threat Hunting

Préparez vos certifications IT gratuitement

200+ certifications, 400 000+ questions, examens blancs chronométrés.

Voir le catalogue →
← Retour au glossaire