Blue Team Field NotesDFIR · SOC · Vulnerability Management
Gestion des vulnérabilités

CVSS, EPSS, KEV et contexte

Programme de vulnérabilités, priorisation par risque, SLA, exceptions, patching et indicateurs.

CVSS

CVSS décrit la sévérité technique selon des métriques. Il ne représente pas à lui seul le risque de ton organisation.

EPSS

EPSS estime la probabilité d'exploitation dans une période donnée. Utilise la valeur et le percentile comme signal complémentaire, pas comme décision unique.

CISA KEV

Le catalogue Known Exploited Vulnerabilities indique une exploitation connue et doit fortement influencer la priorité lorsque le produit est présent.

Formule de priorisation interne

Exemple de score simple :

Priorité = Sévérité technique
         + Exposition
         + Criticité métier
         + Exploitation connue/probable
         - Contrôles compensatoires

Matrice

Situation Priorité indicative
KEV + Internet + actif critique urgente
CVSS élevé + interne segmenté haute ou moyenne selon contexte
CVSS moyen + exploit actif haute
CVSS critique mais faux positif clôture documentée
produit EOL projet de remplacement, pas simple patch

Validation

Vérifie la version, la configuration, l'exposition et les correctifs backportés. Ne publie pas un risque critique basé uniquement sur une bannière.

À retenir

La priorité doit être explicable à un responsable métier : quel actif, quel scénario, quelle probabilité, quel impact et quelle échéance.

Références officielles