← Tous les guides

Qu'est-ce que l'EPSS ?

L'EPSS (Exploit Prediction Scoring System) est un score, de 0 à 1, qui estime la probabilité qu'une vulnérabilité soit exploitée dans les 30 prochains jours. Maintenu par le FIRST et recalculé chaque jour, il complète le CVSS en répondant non pas « est-ce grave ? » mais « est-ce probable ? ».

Qu'est-ce que l'EPSS ?

L'EPSS attribue à chaque CVE une probabilité d'exploitation à 30 jours, exprimée de 0 à 1 (soit 0 à 100 %). Un EPSS de 0.92 signifie : ~92 % de chances que la faille soit exploitée dans le mois. C'est un modèle prédictif et piloté par les données, mis à jour quotidiennement par le FIRST.

Score et percentile : ne pas confondre

L'EPSS fournit deux chiffres :

  • le score — la probabilité absolue (ex. 0,40 = 40 %) ;
  • le percentile — le classement relatif par rapport à toutes les CVE.

Comme l'immense majorité des CVE ont un score très faible, un score apparemment modeste peut correspondre à un percentile très élevé. Un score de 0,40 peut ainsi placer une CVE dans le top 1 % des plus susceptibles d'être exploitées.

Comment c'est calculé

L'EPSS s'appuie sur un modèle d'apprentissage automatique nourri de signaux du monde réel : présence de preuves de concept, mentions dans les sources publiques, éditeur, type de faille, âge de la CVE, activité d'exploitation observée… Comme ces signaux évoluent, l'EPSS d'une CVE change dans le temps — une faille peut grimper brutalement quand un exploit apparaît.

EPSS vs CVSS : probabilité contre gravité

C'est la complémentarité essentielle :

CVSSEPSS
Répond àÀ quel point c'est grave ?Quelle probabilité d'exploitation ?
Échelle0 à 100 à 1 (probabilité)
Évolue ?Stable (base)Recalculé chaque jour

Une CVSS 9 avec un EPSS de 0,01 peut attendre ; une CVSS 6 avec un EPSS de 0,8 est urgente.

EPSS vs KEV : anticiper contre constater

L'EPSS prédit (une probabilité, avant toute exploitation observée) ; le KEV constate (un fait avéré). L'EPSS est tourné vers l'avenir et couvre toutes les CVE ; le KEV est la vérité terrain mais ne couvre que ce qui est déjà exploité. On utilise les deux : le KEV pour l'urgence absolue, l'EPSS pour anticiper la suite.

Comment l'utiliser : seuils de priorisation

Une approche courante : traiter en priorité les CVE de votre parc dont l'EPSS dépasse un seuil (par exemple 10 %), en plus de toutes les CVE au KEV. Comme la grande majorité des CVE ont un EPSS quasi nul, ce filtre concentre l'effort sur la petite minorité réellement à risque — un gain énorme par rapport au tri par CVSS seul.

Les limites

L'EPSS reste une probabilité, pas une garantie : un score faible n'exclut pas une exploitation, un score élevé ne la certifie pas. Il ne remplace ni le KEV (le fait observé) ni votre connaissance du contexte. C'est un excellent signal de tri, à combiner, pas un oracle.

Dans votre veille

La priorisation moderne croise quatre signaux : votre stack (êtes-vous concerné ?), le KEV (exploité ?), l'EPSS (probable ?) et le CVSS (grave ?). TechWatchAlert applique automatiquement cette logique aux CVE de votre parc.

Questions fréquentes

Qui maintient l'EPSS ?
Le FIRST (Forum of Incident Response and Security Teams), qui publie aussi le CVSS.
Un EPSS de 0,5, c'est élevé ou faible ?
Élevé. La plupart des CVE ont un EPSS inférieur à 0,1 ; un score de 0,5 place une vulnérabilité parmi les plus susceptibles d'être exploitées.
EPSS ou CVSS pour prioriser ?
Les deux : ils sont complémentaires. Le CVSS dit la gravité, l'EPSS la probabilité. Idéalement, on croise les deux avec le KEV et votre exposition.
L'EPSS remplace-t-il le KEV ?
Non. L'EPSS est une prédiction ; le KEV est un fait. Une CVE au KEV se corrige en priorité, quel que soit son EPSS.
À quelle fréquence l'EPSS change-t-il ?
Tous les jours : le modèle est recalculé quotidiennement, donc le score d'une CVE peut évoluer rapidement.
Sources & références officiellesEPSS — FIRST.org/epss · Modèle et données — first.org/epss/data_stats.
Veille CVE ciblée sur votre stack

Recevez seulement les CVE qui touchent vraiment votre parc.

Déclarez votre stack une fois. On vous prévient dès qu'une faille concerne un de vos produits, déjà priorisée par le KEV et l'EPSS, sur le canal que vous voulez. Quelques minutes pour démarrer.

Créer mon compte gratuit Voir les tarifs
  • Gratuit, sans carte bancaire
  • Conçu & hébergé en France 🇫🇷
  • Sans engagement

Sur le même sujet

Qu'est-ce qu'une CVE ?L'identifiant public d'une vulnérabilité.Qu'est-ce que le CVSS ?La gravité d'une vulnérabilité, de 0 à 10.Le catalogue CISA KEVLes vulnérabilités activement exploitées.Sources de donnéesLes flux que nous agrégeons et recoupons.