Score EPSS – Exploit Prediction Scoring System
Le Score EPSS (Exploit Prediction Scoring System) permet aux organisations de comprendre les vulnérabilités et leurs potentiels d’exploitation.
Le Score EPSS (Exploit Prediction Scoring System) s’impose comme un outil indispensable dans le domaine de la cybersécurité, permettant aux organisations de comprendre les vulnérabilités et leurs potentiels d’exploitation.
Dans cet article de blog, nous allons définir et explorer les rouages de ce score, ses avantages concrets et son intégration au sein des stratégies de sécurité.
Comment fonctionne le score EPSS ?
L’EPSS est un système de notation qui permet d’estimer la probabilité qu’une vulnérabilité logicielle soit exploitée dans les 30 prochains jours. Il s’agit d’un outil précieux pour les équipes de sécurité informatique, car il peut les aider à prioriser leurs efforts de correction des vulnérabilités.
Le score EPSS est un nombre compris entre 0 et 1. 0 indique qu’il est très peu probable que la vulnérabilité soit exploitée et 1 indique qu’il est très probable qu’elle le soit.
Le score est calculé à l’aide d’un modèle statistique qui prend en compte un certain nombre de facteurs, notamment :
- Les caractéristiques de la vulnérabilité : Il s’agit de facteurs tels que le type de vulnérabilité, la gravité de la vulnérabilité et le nombre de logiciels affectés.
- L’historique de l’exploitation : Cela inclut des informations sur le fait que la vulnérabilité a déjà été exploitée dans le passé et sur la fréquence de son exploitation.
- Les renseignements sur les menaces : Il s’agit d’informations sur les acteurs de la menace qui sont susceptibles d’exploiter la vulnérabilité et sur leurs motivations.
- La disponibilité d’un exploit : L’existence d’un exploit public accessible augmente considérablement le risque d’exploitation, d’où un impact sur le score EPSS.
- La gravité intrinsèque de la vulnérabilité : Les failles critiques, aux potentiels impacts dévastateurs, obtiennent généralement des scores EPSS plus élevés.
- Le vecteur d’attaque : L’accessibilité à distance, facilitant l’exploitation, augmente la criticité et donc le score EPSS.
- L’impact métier : Les systèmes critiques et les données sensibles sont des cibles privilégiées, ce qui se traduit par un score EPSS plus élevé.
En plus du score EPSS, le système fournit également un percentile EPSS. Le percentile EPSS indique le pourcentage de vulnérabilités pour lesquelles le score EPSS est inférieur ou égal au score EPSS de la vulnérabilité en question. Par exemple, un percentile EPSS de 85 % indique que la vulnérabilité est plus susceptible d’être exploitée que 85 % des autres vulnérabilités analysées.
L’EPSS peut être utilisé de différentes manières pour prioriser les vulnérabilités.
- Une approche courante consiste à classer les vulnérabilités par leur score EPSS, en remédiant d’abord aux vulnérabilités qui ont le score le plus élevé.
- Une autre approche consiste à définir un seuil de score EPSS et à ne remédier qu’aux vulnérabilités dont le score est supérieur à ce seuil.
L’EPSS est un outil précieux pour les équipes de sécurité informatique, mais il est important de l’utiliser conjointement avec d’autres facteurs lors de la priorisation des vulnérabilités.
Pourquoi le score EPSS est-il important ?
L’importance du score EPSS réside dans sa capacité à fournir aux responsables de la sécurité une vision plus réaliste du risque réel posé par une vulnérabilité. En effet, le CVSS ne prend pas en compte des facteurs tels que la disponibilité d’un exploit, la motivation des attaquants ou la spécificité de l’environnement cible.
L’EPSS, quant à lui, s’appuie sur des données provenant de diverses sources, telles que les CVE (Common Vulnerabilities & Exposures) et les informations sur les exploits réels, pour estimer la probabilité qu’une faille soit effectivement exploitée.
Pourquoi combiner EPSS et CVSS ?
On combine le score CVSS et l’EPSS pour avoir une meilleure évaluation du risque de sécurité informatique.
- CVSS mesure la sévérité : Le Common Vulnerability Scoring System (CVSS) attribue un score basé sur la facilité d’exploitation et l’impact potentiel d’une vulnérabilité. Il s’agit d’une mesure objective de la gravité inhérente d’une faille de sécurité.
- EPSS mesure la probabilité d’exploitation : L’Exploit Prediction Scoring System (EPSS) est une valeur probabiliste qui reflète la chance qu’un code exploit soit disponible pour une vulnérabilité donnée. Il tient compte de facteurs comme l’historique des exploits et l’activité des attaquants.
En combinant ces deux mesures, on obtient une vision plus complète du risque. Le CVSS vous indique la gravité potentielle des dégâts si la vulnérabilité est exploitée, tandis que l’EPSS vous indique la probabilité que cela se produise réellement.
Explication avec un graphique de l’intérêt de mêler EPSS et CVSS
Dans le graphe ci-dessus, les scores CVSS et EPSS de multiples CVE ont été corrélés.
En abscisses se trouve les scores CVSS sur une échelle de 0 à 10, plus on se rapproche de 0, moins la vulnérabilité est sévère, plus le score se rapproche de 10, plus la faille est considérée comme sévère.
En ordonnées se trouve les scores EPSS, sur une échelle de 0 à 1. Un score EPSS proche de 0 indique une faible probabilité d’exploitation, un score proche des 1 indique, quant à lui, une très forte probabilité d’exploitation.
Dans ce graphe, chaque point jaune indique une CVE, ainsi, les couleurs se rapprochant de violet indiquent que de nombreuses CVE sont représentées au même seuil.
Ainsi, on peut remarquer que de nombreuses CVE possédant des scores CVSS très élevés ont en réalité des scores EPSS assez faibles.
Il convient donc logiquement de prioriser les vulnérabilités CVE possédant à la fois des scores CVSS élevés mais aussi des scores EPSS, d’exploitation, élevés également.
Les avantages d’utiliser le score EPSS
L’EPSS se distingue des autres systèmes de notation des vulnérabilités par plusieurs atouts majeurs, qui en font un outil précieux pour la gestion des failles de sécurité.
1. Prédiction affinée de l’exploitabilité
L’EPSS s’appuie sur un modèle mathématique élaboré qui intègre une multitude de facteurs pour évaluer la probabilité d’exploitation d’une vulnérabilité.
Cette approche sophistiquée permet à l’EPSS d’être souvent plus précis que le CVSS dans l’identification des vulnérabilités réellement exploitables.
Prenons l’exemple d’une vulnérabilité récente affectant un logiciel couramment utilisé. Le CVSS pourrait lui attribuer un score élevé en raison de son impact potentiel. Cependant, si l’analyse EPSS révèle que les conditions nécessaires à son exploitation sont rares ou complexes, elle recevra un score plus bas, reflétant mieux le risque réel.
2. Priorisation optimisée des vulnérabilités
L’EPSS génère un pourcentage compris entre 0 et 100, offrant un classement clair des vulnérabilités en fonction de leur niveau de criticité.
Cette classification facilite le ciblage des efforts de remédiation, en permettant aux équipes de sécurité de s’attaquer en priorité aux failles les plus urgentes.
Imaginez un système d’information avec des dizaines de vulnérabilités détectées. Le score EPSS permet de trier rapidement ces failles et de se concentrer d’abord sur celles présentant un risque d’exploitation imminent, optimisant ainsi l’allocation des ressources dédiées à la sécurité.
3. Meilleure compréhension des tendances des menaces
L’analyse des scores EPSS attribués aux différentes vulnérabilités d’un système d’information peut révéler des tendances importantes en matière de menaces.
Par exemple, si un nombre significatif de failles obtiennent un score EPSS élevé, cela peut indiquer que le système est particulièrement exposé à un type d’attaque spécifique.
Ces informations précieuses permettent d’orienter les stratégies de sécurité et de prévention en ciblant les menaces les plus redoutées.
Prenons l’hypothèse d’une organisation constatant une recrudescence de scores EPSS élevés pour des failles liées aux emails. Cela suggère un risque accru d’attaques par phishing ou par malwares diffusés par email. L’organisation peut alors renforcer ses mesures de sécurité sur la messagerie, sensibiliser ses employés aux risques et mettre en place des solutions de filtrage plus sophistiquées.
4. Reconnaissance croissante de l’industrie
L’EPSS gagne en reconnaissance au sein de l’industrie de la cybersécurité, et est de plus en plus intégré aux outils et services de gestion des vulnérabilités.
Ce facteur favorise le partage des données sur les vulnérabilités entre les organisations et facilite la collaboration en matière de lutte contre les cybermenaces.
L’adoption croissante de l’EPSS permet de mutualiser les efforts et d’accroître l’efficacité globale de la cybersécurité.
Le résumé des avantages du score EPSS
En plus des points susmentionnés, il est important de souligner que l’EPSS est un système en constante évolution.
En résumé, l’EPSS offre un ensemble d’avantages qui le positionnent comme un outil incontournable pour la gestion des vulnérabilités. Sa capacité à prédire avec précision l’exploitabilité des failles, à prioriser les actions de remédiation et à fournir des insights sur les tendances des menaces en fait un atout indispensable pour les équipes de sécurité actuelles.
Les limites du score EPSS
Le système de cotation des prévisions d’exploitation (EPSS) est un outil précieux pour aider les cyberdéfenseurs à prioriser les efforts de correction des vulnérabilités. Cependant, il est crucial de comprendre ses limites avant de l’utiliser.
Focalisation sur la probabilité d’exploitation, non sur la gravité
Le score EPSS ne mesure que la probabilité d’exploitation d’une faille, omettant la gravité de ses conséquences potentielles. Une vulnérabilité avec un score EPSS élevé peut s’avérer moins grave qu’une autre avec un score faible si cette dernière entraine des dommages plus importants en cas d’exploitation.
Fiabilité basée sur des données historiques
L’EPSS s’appuie sur des données historiques, ce qui peut limiter sa précision pour les nouvelles vulnérabilités ou celles encore peu exploitées.
Nature statistique du modèle
L’EPSS étant un modèle statistique, il est toujours possible qu’une vulnérabilité avec un faible score EPSS soit exploitée, et inversement.
Absence de prise en compte des facteurs environnementaux spécifiques
L’EPSS ne tient pas compte des particularités de chaque organisation, comme leur profil de risque ou leurs pratiques de sécurité.
Nos conseils d’utilisation du score EPSS
Combiner l’EPSS avec d’autres outils de gestion des vulnérabilités
- Les systèmes de cotation de la gravité comme le CVSS permettent d’évaluer la sévérité des impacts potentiels d’une vulnérabilité, offrant une vue plus complète pour la priorisation.
- Les outils d’analyse des menaces permettent d’identifier les menaces les plus pertinentes pour l’organisation, aidant à prioriser les vulnérabilités exploitables par ces vecteurs d’attaque.
- Les solutions de gestion des vulnérabilités peuvent automatiser le processus de scan, de détection et de hiérarchisation des vulnérabilités, facilitant la gestion des données EPSS.
Prendre en compte le profil de risque organisationnel
Les organisations exposées à certains types d’attaques, comme les attaques par rançongiciel, peuvent prioriser les vulnérabilités exploitables par ces vecteurs.
Les secteurs d’activité réglementés peuvent avoir des exigences spécifiques en matière de gestion des vulnérabilités, à prendre en compte lors de la priorisation.
La taille et la maturité de l’organisation peuvent influencer la capacité à gérer un grand nombre de vulnérabilités, impactant la priorisation.
Mettre à jour continuellement les informations sur les menaces
L’EPSS est régulièrement mis à jour avec de nouvelles informations sur les vulnérabilités et les exploits. Il est crucial d’utiliser la dernière version disponible et de se tenir informé des nouvelles menaces affectant l’organisation.
Des sources de renseignement sur les menaces comme les alertes du CERT ou les rapports de recherche sur les vulnérabilités peuvent aider à identifier les nouvelles menaces et à mettre à jour les priorités en conséquence.
Utiliser l’EPSS comme un outil décisionnel, et non comme une solution définitive
L’EPSS aide à identifier les vulnérabilités les plus urgentes à corriger, mais le jugement professionnel et l’analyse du contexte sont indispensables avant de prendre des décisions.
Des facteurs tels que les ressources disponibles, les impacts potentiels sur les opérations et les dépendances entre les systèmes doivent être pris en compte pour affiner les priorités.
Une communication claire entre les équipes de sécurité et les autres parties prenantes est essentielle pour garantir que les décisions de correction des vulnérabilités soient alignées sur les objectifs globaux de l’organisation.