Table des Matières
1 Introduction : au-delà du CVSS
La gestion des vulnérabilités est le pilier fondamental de toute stratégie de cybersécurité. Pourtant, les organisations sont submergées : en 2025, plus de 28 000 CVE ont été publiées, un record historique qui continue d'être battu chaque année. Face à ce déluge, l'approche traditionnelle consistant à prioriser les patchs sur la base du score CVSS (Common Vulnerability Scoring System) a atteint ses limites structurelles. Le CVSS, conçu comme une mesure de la sévérité technique d'une vulnérabilité, ne capture ni la probabilité réelle d'exploitation, ni le contexte spécifique de l'organisation, ni la valeur métier des actifs affectés.
Les données sont éloquentes : environ 60% des CVE publiées reçoivent un score CVSS classé "High" ou "Critical" (score supérieur à 7.0), mais moins de 5% sont effectivement exploitées dans la nature. Traiter toutes les vulnérabilités "Critical" avec la même urgence est non seulement impossible — aucune équipe n'a les ressources pour patcher des milliers de vulnérabilités critiques simultanément — mais aussi contre-productif, car les vulnérabilités réellement dangereuses se noient dans la masse. Ce constat a donné naissance au paradigme du Risk-Based Vulnerability Management (RBVM), qui utilise le machine learning pour prédire quelles vulnérabilités seront effectivement exploitées et prioriser les efforts de remédiation en conséquence.
L'Exploit Prediction Scoring System (EPSS), développé par le FIRST (Forum of Incident Response and Security Teams), est l'implémentation la plus influente de cette approche. EPSS utilise un modèle de machine learning pour estimer la probabilité qu'une CVE soit exploitée dans les 30 jours suivants, fournissant un score entre 0 et 1 qui complète le CVSS avec une dimension prédictive. En combinant EPSS, les données du catalogue KEV (Known Exploited Vulnerabilities) de la CISA, et le contexte organisationnel spécifique, les équipes de sécurité peuvent réduire de 80% le volume de vulnérabilités nécessitant une action urgente tout en couvrant plus de 95% des vulnérabilités effectivement exploitées.
Chiffre clé : Selon les données FIRST, un seuil EPSS de 0.1 (10% de probabilité d'exploitation) capture environ 80% des vulnérabilités qui seront effectivement exploitées, tout en ne représentant que 5% du volume total des CVE. C'est un ratio d'efficacité 16x supérieur à la priorisation par CVSS seul.
2 EPSS v4 : architecture et features
L'EPSS version 4, déployée en 2025, représente une évolution majeure du système de prédiction d'exploitation. Le modèle utilise un ensemble de gradient boosted trees (XGBoost) entraîné sur des données historiques d'exploitation couvrant plusieurs années. Les features d'entrée sont organisées en plusieurs catégories complémentaires qui capturent différentes facettes de la probabilité d'exploitation d'une vulnérabilité.
Les features intrinsèques de la CVE incluent les métriques CVSS v3.1 (vecteur d'attaque, complexité, privilèges requis, interaction utilisateur, scope, impact CIA), le type de vulnérabilité (CWE), les produits et vendeurs affectés, et l'âge de la CVE. Les features de contexte d'exploitation intègrent la disponibilité d'un exploit public (détecté par scanning de GitHub, Exploit-DB, Metasploit, Nuclei templates), les mentions sur les réseaux sociaux et forums de sécurité (Twitter/X, Reddit, forums underground), les références dans les rapports de threat intelligence (Mandiant, CrowdStrike, Recorded Future), et l'historique d'exploitation observée (honeypots, IDS/IPS). Les features temporelles capturent la dynamique d'exploitation : la vitesse de publication d'un exploit après la divulgation, la tendance des mentions, et le temps écoulé depuis la publication.
Le modèle EPSS v4 intègre également des features dérivées de NLP extraites des descriptions CVE et des advisories de sécurité. Des embeddings textuels capturent la sémantique des descriptions de vulnérabilités, permettant au modèle d'identifier des patterns linguistiques associés aux vulnérabilités fréquemment exploitées. Le modèle est ré-entraîné quotidiennement sur les données les plus récentes, et les scores EPSS sont mis à jour chaque jour pour refléter l'évolution du paysage des menaces. L'API EPSS est publique et gratuite, permettant l'intégration dans n'importe quel outil de gestion de vulnérabilités via une simple requête REST.
3 ML pour le risk-based scoring
Le risk-based scoring va au-delà d'EPSS en intégrant le contexte organisationnel spécifique. La formule conceptuelle est : Risque = Probabilité d'exploitation x Impact métier x Exposition. EPSS fournit la probabilité d'exploitation, mais l'impact et l'exposition doivent être calculés à partir des données internes de l'organisation. Les plateformes RBVM comme Tenable Vulnerability Priority Rating (VPR), Qualys TruRisk, et Rapid7 Real Risk Score implémentent cette approche en combinant des modèles ML propriétaires avec les données contextuelles de l'organisation.
L'impact métier est dérivé de la criticité des actifs affectés, elle-même déterminée par la CMDB (Configuration Management Database), les classifications de données, et les dépendances applicatives. Un serveur de production hébergeant des données clients critiques et exposé sur Internet a un profil de risque radicalement différent d'un serveur de test interne, même pour la même vulnérabilité. L'exposition évalue l'accessibilité de l'actif vulnérable : un actif directement accessible depuis Internet (identifiable par l'intégration avec les outils d'ASM comme Censys, Shodan, ou CrowdStrike Falcon Surface) présente un risque immédiat, tandis qu'un actif isolé dans un segment réseau protégé nécessite un mouvement latéral préalable, réduisant significativement la probabilité d'exploitation réussie.
Les modèles ML de risk-based scoring utilisent des architectures d'ensemble learning qui combinent plusieurs signaux hétérogènes. Un premier modèle prédit la probabilité d'exploitation (comparable à EPSS), un second estime l'impact potentiel en fonction des caractéristiques de l'actif, et un troisième évalue l'exposition réseau. Les scores individuels sont combinés par un meta-learner qui produit le score de risque final. Cette architecture modulaire permet de mettre à jour chaque composant indépendamment : les scores d'exploitation peuvent être mis à jour quotidiennement (comme EPSS), tandis que les scores d'impact et d'exposition sont recalculés à chaque modification de la CMDB ou des résultats de scan.
4 Intégration scanner + CMDB
L'intégration entre les scanners de vulnérabilités, la CMDB et les modèles de priorisation ML constitue le fondement technique d'un programme RBVM efficace. Les scanners de vulnérabilités (Tenable Nessus/io, Qualys VMDR, Rapid7 InsightVM, Microsoft Defender Vulnerability Management) identifient les vulnérabilités présentes sur chaque actif. La CMDB (ServiceNow, BMC Helix) fournit le contexte métier : propriétaire de l'actif, criticité business, classification des données, dépendances applicatives, et SLA de remédiation. Le moteur de priorisation ML croise ces données avec les scores EPSS, le catalogue KEV et la threat intelligence pour produire une liste priorisée d'actions de remédiation.
L'architecture d'intégration typique utilise un data lake centralisé qui agrège les résultats de scan, les données CMDB, les scores EPSS (via l'API FIRST) et les feeds de threat intelligence. Un pipeline ETL normalise les données (mapping entre les identifiants d'actifs des différents scanners et de la CMDB, normalisation des identifiants CVE, résolution des conflits entre scanners), puis alimente le modèle de scoring qui produit un score de risque contextuel pour chaque combinaison actif-vulnérabilité. Les résultats sont injectés dans le système de ticketing (Jira, ServiceNow) avec des tickets de remédiation automatiquement créés et assignés au propriétaire de l'actif, avec un SLA calculé en fonction du score de risque.
5 Prédiction d'exploitation (KEV)
Le catalogue Known Exploited Vulnerabilities (KEV) de la CISA recense les vulnérabilités dont l'exploitation active a été confirmée. En février 2026, le catalogue contient plus de 1 200 CVE. Pour les agences fédérales américaines, la remédiation des vulnérabilités KEV est obligatoire dans les délais prescrits par la directive BOD 22-01. Mais le KEV est par nature réactif : une vulnérabilité n'y est ajoutée qu'après la confirmation de l'exploitation, ce qui peut survenir des semaines ou des mois après la publication de l'exploit.
Les modèles ML de prédiction KEV cherchent à anticiper quelles CVE seront ajoutées au catalogue KEV avant qu'elles ne le soient effectivement. Ces modèles analysent les caractéristiques historiques des CVE qui ont été ajoutées au KEV pour identifier les patterns prédictifs. Les features les plus prédictives incluent la disponibilité d'un exploit public dans les 7 jours suivant la publication, le type de vulnérabilité (les RCE et les authentification bypass sont surreprésentés dans le KEV), le vendeur affecté (certains vendeurs ont un taux de KEV plus élevé), et l'attention médiatique (un pic de mentions sur les réseaux sociaux précède souvent l'ajout au KEV). Des recherches récentes ont démontré qu'un modèle ML bien calibré peut prédire l'ajout au KEV avec une précision de 85%, offrant aux organisations un délai d'anticipation de plusieurs semaines.
6 Automatisation du patch management
L'automatisation du patch management piloté par ML transforme la remédiation d'un processus manuel et réactif en un pipeline continu et intelligent. Le ML intervient à quatre niveaux : la priorisation (quoi patcher en premier), le scheduling (quand patcher sans impacter la production), le grouping (quels patchs appliquer ensemble pour minimiser les redémarrages), et la validation (vérifier que le patch n'a pas introduit de régression).
Les plateformes de patch management intelligent comme Tanium, Microsoft Intune avec Autopatch, Ivanti Neurons et Automox intègrent des capacités ML pour optimiser le déploiement des patchs. Tanium utilise l'IA pour évaluer le risque de chaque patch (probabilité de régression basée sur l'historique des patchs similaires) et recommander un ordre de déploiement qui minimise le risque global. Microsoft Autopatch applique une stratégie de déploiement en anneaux (rings) pilotée par ML : les patchs sont d'abord déployés sur un groupe test, puis progressivement étendu après validation automatique de l'absence de régression. Automox utilise le ML pour adapter les fenêtres de maintenance aux patterns d'utilisation de chaque endpoint, minimisant l'impact utilisateur.
7 ROI de la priorisation IA
Le retour sur investissement de la priorisation ML des vulnérabilités est démontrable et substantiel. L'étude FIRST sur EPSS montre que la priorisation par EPSS permet de couvrir 80% des vulnérabilités exploitées en ne traitant que 5% du volume total, contre 50% du volume avec le CVSS seul pour la même couverture. Pour une organisation gérant 10 000 vulnérabilités critiques/hautes, cela représente une réduction de 4 500 à 500 vulnérabilités à traiter en priorité — une économie de 90% en effort de remédiation tout en améliorant la couverture des menaces réelles.
En termes financiers, le coût moyen de remédiation d'une vulnérabilité (analyse, test du patch, déploiement, validation) est estimé entre 50 et 200 euros selon la complexité de l'environnement. Pour une grande organisation patchant 5 000 vulnérabilités par mois, une réduction de 80% du volume grâce à la priorisation ML représente une économie annuelle de 2,4 à 9,6 millions d'euros en coûts directs de remédiation, sans compter la réduction du risque de compromission résultant d'une couverture améliorée des vulnérabilités véritablement dangereuses. Le MTTR (Mean Time to Remediate) pour les vulnérabilités critiques diminue typiquement de 60 jours à 15 jours grâce à la focalisation des ressources sur les menaces réelles.
8 Conclusion et recommandations
La priorisation intelligente des vulnérabilités par ML n'est plus une option mais une nécessité face à l'explosion du nombre de CVE publiées chaque année. EPSS v4 fournit un socle solide et gratuit pour la prédiction d'exploitation, et son intégration dans les workflows existants est accessible à toute organisation. Combiné avec le catalogue KEV, le contexte organisationnel (CMDB, ASM) et les outils de patch management intelligent, le ML transforme la gestion des vulnérabilités d'une corvée Sisyphéenne en un processus maîtrisé et mesurable.
Pour démarrer, nous recommandons une approche en trois phases : premièrement, intégrer EPSS dans vos dashboards de vulnérabilités existants pour visualiser l'impact de la priorisation ML. Deuxièmement, enrichir vos données de scan avec le contexte CMDB et les données d'exposition pour calculer un score de risque contextuel. Troisièmement, automatiser la création de tickets de remédiation et le déploiement des patchs en fonction des scores de risque. L'investissement initial est minimal (EPSS est gratuit, les intégrations scanner/CMDB sont standardisées), et le ROI est immédiat et mesurable.
Recommandation prioritaire : Commencez par intégrer EPSS dès aujourd'hui via l'API FIRST (api.first.org/data/v1/epss). Remplacez le tri par CVSS par un tri combiné EPSS + KEV + CVSS. Mesurez le gain en couverture et en volume. Les résultats parleront d'eux-mêmes.
Besoin d'un accompagnement expert ?
Nos consultants vous accompagnent dans la mise en place d'un programme de gestion des vulnérabilités piloté par IA. Devis personnalisé sous 24h.
