Chaque jour, des dizaines de nouvelles vulnérabilités sont publiées. Les corriger toutes est impossible — et inutile : la grande majorité ne sera jamais exploitée. L'EPSS est l'outil qui vous dit lesquelles méritent vraiment votre attention, en estimant leur probabilité d'exploitation réelle.
Une CVSS élevée ne signifie pas qu'une faille sera exploitée. L'EPSS apporte la dimension manquante : la probabilité réelle. Le coin haut-droit (grave + probable) est votre priorité absolue.
L'EPSS est un modèle de machine learning maintenu par le FIRST (Forum of Incident Response and Security Teams). Il est ré-entraîné quotidiennement sur des signaux d'exploitation réels (scans, exploits publiés, mentions, télémétrie réseau) et produit pour chaque CVE un score entre 0.0 et 1.0 = probabilité d'observation d'une exploitation sous 30 jours.
Il n'existe pas de seuil « officiel ». En pratique, les repères communs sont :
| Score EPSS | Lecture | Action type |
|---|---|---|
≥ 0.50 | Exploitation très probable | Traiter en urgence |
0.20 – 0.50 | Probabilité élevée | Prioriser cette semaine |
0.10 – 0.20 | À surveiller | Préparer le correctif |
< 0.10 | Faible probabilité | Cycle de patch normal |
Sur FactualRisk, le seuil de signalement « EPSS élevé » est fixé à 0.20. Attention à ne pas confondre EPSS et KEV : le KEV (catalogue de la CISA) liste les failles dont l'exploitation est déjà avérée (certitude), tandis que l'EPSS est une prédiction. Une CVE au KEV doit être traitée quel que soit son EPSS.
C'est exactement la logique appliquée sur chaque fiche CVE de FactualRisk : un score d'action qui combine gravité, probabilité d'exploitation et exploitation avérée — pour vous dire quoi traiter, et dans quel ordre.
La donnée est gratuite. Pour un avis sur l'impact réel sur votre parc et un plan de remédiation, on en parle.
Réserver un call 30 min →