Prioriser les risques : l’approche intégrée du KEV, EPSS et CVSS
Prioriser les risques : l’approche intégrée du KEV, EPSS et CVSS
Dans un monde où les menaces cybers évoluent quotidiennement, la capacité à anticiper et à prioriser les risques est essentielle. Le Common Vulnerability Scoring System (CVSS) est une norme universelle utilisée pour évaluer la gravité des vulnérabilités informatiques. Depuis sa création en 2005, le CVSS a évolué à travers différentes versions pour s’adapter aux besoins croissants des professionnels de la cybersécurité.
Deux notations complémentaires ont fait progressivement leur apparition afin d’apporter une lecture sous un nouvel angle : le Known Exploited Vulnerabilities (KEV) de la CISA et l’Exploit Prediction Scoring System (EPSS).
L’Exploit Prediction Scoring System
Qu’est-ce-que l’EPSS ?
L’Exploit Prediction Scoring System (EPSS) est un système qui vise à estimer la probabilité qu’une vulnérabilité logicielle soit exploitée. Il aide à mieux prioriser les efforts de remédiation des vulnérabilités. Contrairement à d’autres normes de l’industrie qui capturent les caractéristiques intrinsèques d’une vulnérabilité et fournissent des mesures de gravité, l’EPSS se distingue par sa capacité à évaluer la menace en utilisant des informations actuelles sur les menaces provenant de CVE et des données réelles d’exploitation des vulnérabilités.
Le modèle EPSS produit un score de probabilité entre 0 et 1 (0 et 100%), où un score plus élevé indique une plus grande probabilité que la vulnérabilité soit exploitée. L’EPSS est considéré comme un standard émergent développé par un groupe de bénévoles comprenant des chercheurs, des praticiens, des universitaires et du personnel gouvernemental.
Pour obtenir une évaluation pratiquement en temps réel de toutes les vulnérabilités divulguées publiquement, l’EPSS SIG (Special Interest Group) travaille à améliorer la maturité de la collecte et de l’analyse des données. Cela nécessite de développer des partenariats avec des fournisseurs de données et d’établir une infrastructure permettant de fournir une interface publiquement accessible pour les scores EPSS. Les données les plus critiques sont celles qui identifient les cas où des vulnérabilités ont été réellement exploitées. Ces informations peuvent être collectées à partir de diverses sources, notamment des systèmes de détection d’intrusion, des honeypots, des observations de réseaux, des analyses de malwares, et d’autres réseaux de capteurs spécialisés.
Quel est l’objectif de l’EPSS ?
L’objectif principal de l’Exploit Prediction Scoring System (EPSS) est de mieux prioriser les vulnérabilités à corriger, en se basant sur le risque réel d’exploitation. En d’autres termes, l’EPSS aide à identifier les vulnérabilités qui sont non seulement théoriquement dangereuses, mais aussi celles qui sont susceptibles d’être activement exploitées par des attaquants.
Le système utilise un modèle basé sur des données intégrant des informations actuelles sur les menaces et des données historiques d’exploitation des vulnérabilités. Le score EPSS est notamment utile pour les organisations qui doivent gérer un grand nombre de vulnérabilités et qui ont besoin de se concentrer sur les plus critiques pour leur environnement.
Comment accompagne-t-il dans la compréhension des risques ?
L’EPSS (Exploit Prediction Scoring System) accompagne dans la compréhension des risques en attribuant à chaque vulnérabilité un score de probabilité, exprimé à l’aide d’un nombre comprit entre 0 et 1 (ce qui équivaut à un pourcentage de 0% à 100%). Ce score est calculé en utilisant un modèle prédictif qui prend en compte divers facteurs, tels que les tendances des menaces, les données historiques sur les exploits et la criticité de la vulnérabilité.
Un score plus élevé signifie qu’il y a une plus grande probabilité que la vulnérabilité soit exploitée dans le futur. Par exemple, un score de 0.8 ou 80% indique un risque élevé d’exploitation, tandis qu’un score de 0.1 ou 10% suggère un risque faible. En se basant sur ces scores, les utilisateurs peuvent identifier et prioriser les vulnérabilités qui nécessitent une attention immédiate leur permettant de répondre plus rapidement et plus efficacement aux menaces potentielles.
L’EPSS est donc un outil d’évaluation précieux pour la prise de décision. Il aide à traduire la complexité des vulnérabilités en une mesure simple et compréhensible permettant une allocation plus efficace des ressources pour la remédiation des vulnérabilités. Il participe donc grandement à renforcer la posture de sécurité globale d’une organisation.
Known Exploited Vulnerabilities
Qu’est-ce-que le KEV ?
Le catalogue KEV (Known Exploited Vulnerabilities) est une initiative de l’agence gouvernementale américaine “Cybersecurity and Infrastructure Security Agency” (CISA). Il constitue une base de données accessible répertoriant les vulnérabilités logicielles ayant été activement exploitées par des acteurs malveillants.
Cette liste est régulièrement mise à jour, offrant ainsi aux utilisateurs une ressource fiable pour repérer les failles de sécurité critiques.
Il représente un outil essentiel pour la détection proactive et la prévention des cyberattaques. Grâce au catalogue KEV, les entreprises peuvent optimiser l’allocation de leurs ressources et améliorer leur posture de sécurité globale en se concentrant principalement sur les vulnérabilités connues et exploitées.
Quel est l’objectif du KEV ?
Le catalogue KEV est une source centralisée de référence pour les vulnérabilités connues ayant été exploitées de manière malveillante. En mettant en lumière ces vulnérabilités, il guide les organisations dans la concentration de leurs efforts de remédiation. Cette approche permet une gestion plus efficiente des vulnérabilités et une meilleure préparation contre les cyberattaques.
Les vulnérabilités sont classées par fournisseur, par produit et par date, avec une description détaillée de la faille ainsi que les mesures recommandées pour la corriger.
L’objectif du KEV est donc de rendre les données sur les vulnérabilités exploitées accessibles et exploitables, afin d’améliorer la protection contre les cyberattaques et de faciliter la gestion des risques.
Comment aide-t-il dans la compréhension des risques ?
Le catalogue KEV de la CISA joue un rôle crucial dans la compréhension des risques en cybersécurité. Il aide les organisations à identifier les vulnérabilités qui ont été activement exploitées et à comprendre le contexte dans lequel ces exploitations se produisent.
Nous pouvons distinguer plusieurs étapes :
1. Identification des vulnérabilités exploitées.
Le KEV fournit une liste des vulnérabilités connues pour avoir été exploitées par des acteurs malveillants.
2. Priorisation des efforts de remédiation.
Une vulnérabilité répertoriée dans le KEV présente un risque élevé d’être à nouveau exploitée. Il aide ainsi les organisations à prioriser leurs efforts de remédiation.
3. Contextualisation des menaces.
Chaque entrée dans le KEV inclut des détails sur la manière dont la vulnérabilité a été exploitée, ainsi que des informations sur les campagnes malveillantes connues. Cela donne aux organisations une meilleure compréhension des méthodes utilisées par les cybercriminels et des types d’attaques auxquels elles pourraient être confrontées.
4. Mise en œuvre des mesures d’atténuation. Le KEV fournit également des recommandations sur les mesures d’atténuation et les correctifs disponibles.
Intégration du KEV et de l’EPSS dans la priorisation des risques
La gestion des vulnérabilités repose sur une priorisation efficace, permettant de concentrer les efforts sur les menaces les plus critiques. L’intégration des outils KEV (Known Exploited Vulnerabilities) et EPSS (Exploit Prediction Scoring System) renforce cette approche en offrant une vision contextualisée et basée sur les probabilités d’exploitation des failles.
Une complémentarité contextuelle
Le KEV joue un rôle clé en offrant une contextualisation détaillée des vulnérabilités activement exploitées. Chaque entrée dans ce catalogue inclut des informations précises sur le contexte d’exploitation, telles que les méthodes employées par les attaquants, les campagnes malveillantes associées, et les mesures correctives recommandées. Cette granularité permet aux organisations de se concentrer immédiatement sur les menaces les plus pertinentes et d’agir rapidement pour limiter les risques d’exploitation récurrente.
Avec le KEV, les vulnérabilités qui ont déjà été exploitées sont immédiatement identifiées comme prioritaires.
De son côté, l’EPSS apporte une perspective anticipative, complétant le travail du KEV par une vision prédictive. En s’appuyant sur des données historiques et actuelles, ainsi que sur des modèles statistiques avancés, l’EPSS attribue un score de probabilité (de 0 à 1) à chaque vulnérabilité, indiquant son risque d’exploitation future. Cela aide à identifier les menaces émergentes qui, bien que non exploitées aujourd’hui, pourraient devenir critiques dans un avenir proche.
Avec l’EPSS, les vulnérabilités à haut risque potentiel sont mises en lumière, permettant d’anticiper les attaques.
En conjuguant les forces du KEV et de l’EPSS, les organisations disposent non seulement d’un état des lieux précis, mais aussi d’une feuille de route contextuelle pour anticiper et traiter efficacement les vulnérabilités, renforçant ainsi leur posture de sécurité globale.
Par exemple :
• Une vulnérabilité listée dans le KEV avec un score EPSS élevé devient une priorité absolue,
• Une faille non listée dans le KEV, mais avec un score EPSS bas, peut être placée en surveillance sans correction immédiate.
Renforcer la posture de sécurité globale
En combinant ces deux approches, les organisations adoptent une stratégie de remédiation équilibrée, qui repose sur des données fiables et actualisées.
Cette méthodologie permet de :
• Réduire le temps de réponse face aux vulnérabilités critiques.
• Anticiper les exploitations futures grâce à des insights basés sur des modèles prédictifs.
• Favoriser une approche proactive de la sécurité informatique.
En intégrant le KEV et l’EPSS, les entreprises améliorent significativement leur posture de sécurité, limitent les risques d’exposition, et adoptent une gestion des vulnérabilités alignée sur les menaces réelles.
Exemple avec Log4Shel (CVE-2021-44228)
Log4Shell (CVE-2021-44228) est une vulnérabilité critique dans la bibliothèque Log4j utilisée par de nombreuses applications et a été découverte en décembre 2021. Elle a immédiatement été incluse dans le catalogue KEV car des attaques actives ont été observées dès sa divulgation. Les attaquants utilisaient cette faille pour exécuter des commandes à distance et compromettre des systèmes critiques dans des secteurs variés (santé, finance, infrastructures essentielles).
CVE : CVE-2021-44228 (Log4Shell)
CVSS Score : CVSS v3.1. Base Score : 10.0 (Gravité maximale). Impact critique sur la confidentialité, l’intégrité et la disponibilité des systèmes.
KEV : Immédiatement incluse dans le KEV en raison d’attaques actives observées dès sa divulgation. Utilisée pour exécuter des commandes à distance et compromettre des systèmes critiques dans divers secteurs tels que la santé, les finances et les infrastructures essentielles.
EPSS : Score initial supérieur à 0.95 (95 %), indiquant une très forte probabilité d’exploitation. Prévisions basées sur des modèles prédictifs et des données historiques.
Résultat combiné : Le cas de Log4Shell montre comment le CVSS Score, combiné au KEV et à l’EPSS, fournit une vision complète de la gravité et de l’urgence d’une vulnérabilité.
• Le CVSS Score met en évidence la gravité intrinsèque de la faille.
• Le KEV confirme si cette vulnérabilité est activement exploitée, apportant des informations factuelles.
• L’EPSS évalue la probabilité d’exploitation future, permettant une gestion proactive des priorités.
En résumé
La gestion des vulnérabilités ne peut plus se limiter à des évaluations statiques basées uniquement sur des métriques techniques. L’intégration du CVSS Score, du KEV, et de l’EPSS offre une vision complète et dynamique pour prioriser efficacement les efforts de sécurité.
En combinant ces outils, les organisations peuvent transformer leur gestion des vulnérabilités en une approche proactive et contextuelle. Cette synergie permet non seulement de réagir rapidement aux menaces actuelles, mais aussi de hiérarchiser les vulnérabilités susceptibles de devenir critiques, tout en optimisant l’allocation des ressources.
