CVSS, EPSS, KEV et contexte
Programme de vulnérabilités, priorisation par risque, SLA, exceptions, patching et indicateurs.
CVSS
CVSS décrit la sévérité technique selon des métriques. Il ne représente pas à lui seul le risque de ton organisation.
EPSS
EPSS estime la probabilité d'exploitation dans une période donnée. Utilise la valeur et le percentile comme signal complémentaire, pas comme décision unique.
CISA KEV
Le catalogue Known Exploited Vulnerabilities indique une exploitation connue et doit fortement influencer la priorité lorsque le produit est présent.
Formule de priorisation interne
Exemple de score simple :
Priorité = Sévérité technique
+ Exposition
+ Criticité métier
+ Exploitation connue/probable
- Contrôles compensatoires
Matrice
| Situation | Priorité indicative |
|---|---|
| KEV + Internet + actif critique | urgente |
| CVSS élevé + interne segmenté | haute ou moyenne selon contexte |
| CVSS moyen + exploit actif | haute |
| CVSS critique mais faux positif | clôture documentée |
| produit EOL | projet de remplacement, pas simple patch |
Validation
Vérifie la version, la configuration, l'exposition et les correctifs backportés. Ne publie pas un risque critique basé uniquement sur une bannière.
La priorité doit être explicable à un responsable métier : quel actif, quel scénario, quelle probabilité, quel impact et quelle échéance.