Prioriser les CVE : comment combiner CVSS, EPSS et CISA KEV

Maxime ALAY-EDDINE
août 29, 2023

Depuis 2015, Cyberwatch développe des solutions pour détecter, prioriser, et corriger vos vulnérabilités informatiques. Cette expérience nous a permis de proposer plusieurs méthodes de priorisation des CVE auprès de nos clients, reposant sur le classique score CVSS complet ou sur des techniques plus récentes comme le score EPSS (Exploit Prediction Scoring System) ou le CISA KEV (Known Exploited Vulnerabilities). Avec la troisième version du score EPSS sortie en 2023, et l’ajout des indicateurs du CISA KEV dans les fiches du NVD, ces dernières techniques prennent de plus en plus d’importance pour bien prioriser les CVE.

Cependant, une analyse poussée des CVE montre que l’utilisation combinée des scores CVSS, EPSS, et du CISA KEV, donne des résultats bien supérieurs à l’utilisation isolée de chacun de ces scores.

Dans cet article, Cyberwatch vous propose ainsi une nouvelle méthode de priorisation des vulnérabilités CVE, appelée « priorisation 3D », qui combine les 3 dimensions CVSS / EPSS et CISA KEV.

Prioriser les CVE avec la méthode 1D : utilisation du score CVSS

La méthode traditionnelle d’analyse des vulnérabilités repose sur le score CVSS. Ce score, souvent utilisé à partir des données fournies par les autorités (score dit « de base »), doit alors être enrichi à l’aide de données supplémentaires : les données temporelles, et environnementales, pour donner un score adapté aux enjeux de chaque organisation.

Cela donne une méthode de priorisation reposant sur un score unique, que nous appellerons méthode 1D.

Cette méthode a comme principal avantage d’être simple à mettre en oeuvre, et de donner un score reconnu par l’ensemble du marché : toute personne travaillant dans la gestion des vulnérabilités connaît le score CVSS, et score n’est donc jamais remis en question par un auditeur externe.

Cette méthode a cependant comme inconvénient de générer une charge de travail assez importante pour les équipes qui auraient mal défini leurs données temporelles ou environnementales :

  • plus de 25 000 CVE ont été publiées en 2022, soit plus de 68 nouvelles vulnérabilités par jour ;
  • la moyenne du score CVSS de base des CVE publiées en 2022 est de 7.8 sur 10, et plus de 50% des CVE ont un score supérieur à 7 sur 10, impliquant que plus de la moitié des vulnérabilités publiées en 2022 ont une sévérité Elevée ou Critique (d’après les échelles de base du NVD).
Nombre de vulnérabilités publiées par année (source NVD)
Nombre de CVE publiées par année (source NVD)

Or, si utiliser correctement les données temporelles et environnementales du CVSS est une opération très simple, c’est une opération qui est, en pratique, peu réalisée. Pour la partie environnementale, elle nécessite d’interroger les équipes en charge des actifs, ce qui introduit de la friction dans le processus de MCS (Maintien en Conditions de Sécurité).

Il est donc facile de se contenter d’une utilisation partielle du CVSS, et de retrouver avec beaucoup trop de vulnérabilités à traiter.

La méthode de priorisation 1D est donc idéale pour des utilisateurs avertis, ou les organisations où le MCS est déjà mûr, mais complexe pour les organisations qui démarrent leur gestion des vulnérabilités.

Ceci est particulièrement vrai lorsque les organisations cherchent en réalité à identifier les vulnérabilités exploitées par des pirates : parmi les 224 000 CVE de la base du NVD, seules 92 000 ont au moins un kit d’attaque public (aussi appelé « exploit ») disponible sur Internet.

Recherche sur les vulnérabilités avec kit d'attaque public (source Cyberwatch)
Recherche sur les CVE avec kit d’attaque public (source Cyberwatch)

Prioriser les CVE avec une combinaison des scores CVSS et EPSS : la méthode 2D

Afin d’aider les organisations à mieux prioriser leurs vulnérabilités, le FIRST, créateur du CVSS, a introduit en 2019 un nouveau score nommé EPSS (Exploit Prediction Scoring System). Ce score vise à donner une probabilité qu’une vulnérabilité soit utilisée avec succès au cours des prochains mois.

Ce score est calculé à partir d’un modèle mathématique, établi à l’aide de l’ensemble des CVE publiées jusqu’à présent. L’idée est de prendre la liste des CVE connues comme exploitées avec succès, de définir une liste de marqueurs pour l’ensemble des CVE, puis d’utiliser un modèle mathématique de la bibliothèque XGBoost, pour identifier quelles valeurs parmi tous ces marqueurs sont corrélées à des CVE réellement exploitées.

Cependant, comme toute méthode, celle-ci peut générer des résultats étonnants. Par exemple, la CVE-2020-1577 a un score EPSS à 79,06%, alors que Microsoft précise que l’exploitation de cette vulnérabilité est peu probable.

La CVE-2020-1577 a un score EPSS de 79,06%
La CVE-2020-1577 a un score EPSS de 79,06%
L'exploitation de la CVE-2020-1577 est peu probable d'après Microsoft
L’exploitation de la CVE-2020-1577 est peu probable d’après Microsoft

A l’inverse, la CVE-2021-36934, considérée par Microsoft comme probablement exploitable, n’a un score EPSS que de 0,09%.

L'exploitation de la CVE-2021-36934 est jugée comme assez probable par Microsoft
L’exploitation de la CVE-2021-36934 est jugée comme assez probable par Microsoft
La CVE-2021-36934 a un EPSS de 0.09%
La CVE-2021-36934 a un EPSS de 0.09%

Cela donne un exemple concret d’une limite du score EPSS, qui ne doit pas être utilisé comme une métrique unique, sous peine d’apporter de nouveaux problèmes dans les analyses de vulnérabilités, et de rater des vulnérabilités importantes.

Dans ce cadre, Cyberwatch recommande de passer à une approche combinée entre les 2 scores : il s’agit ainsi de se concentrer sur les CVE qui ont à la fois un score CVSS complet supérieur ou égal à une certaine valeur, mais de filtrer en même temps sur un seuil EPSS pertinent. Cette méthode, qui combine les 2 scores, sera ici appelée méthode 2D.

Les seuils en question peuvent être adaptés à chaque système d’information. De manière graphique, on peut représenter le résultat de cette stratégie de priorisation à partir des données du FIRST, avec des seuils de 20% pour l’EPSS et de 7 sur 10 pour le CVSS :

Représentation graphique des CVE prioritaires lorsqu'elles dépassent un seuil donné pour le CVSS et l'EPSS
Représentation graphique des CVE prioritaires lorsqu’elles dépassent un seuil donné pour le CVSS et l’EPSS

Cette approche s’adapte tout particulièrement au score CVSS complet, qui fait apparaître les scores temporels et environnementaux. Dans le cas de la CVE-2020-1577 par exemple, la CVE sera écartée sur les actifs peu critiques dont les critères environnementaux seront aux niveaux « exigence basse » ou « exigence moyenne », mais considérée comme prioritaire pour les actifs critiques où les exigences environnementales seront à la valeur « élevée » (car son score CVSS complet sera alors de 7,6 sur 10).

Néanmoins, les lecteurs les plus attentifs feront remarquer que cette approche ne résout pas le cas de la CVE-2021-36934, en raison d’un score EPSS trop bas. Ceci est résolu par la méthode 3D, qui sera proposée à tous nos clients dans Cyberwatch version 13.

Prioriser les CVE à l’aide des indicateurs CVSS, EPSS, et du CISA KEV : une priorisation 3D

Le CISA KEV est un catalogue de vulnérabilités connues pour être réellement exploitées. Cette liste est maintenue par le CISA (pour Cybersecurity and Infrastructure Security Agency, l’agence américaine de cybersécurité et de sécurité des infrastructures), tandis que KEV est simplement l’acronyme de Known Exploited Vulnerabilities. Le CISA KEV contient ainsi les CVE que les autorités recommandent de traiter dans les plus brefs délais, en raison d’attaques avérées.

Depuis 2022, dans le cadre du BOD 22-01, une partie des autorités américaine doit notamment prévoir un plan d’action pour toute CVE mentionnée dans ce catalogue.

La simple présence d’une CVE dans ce catalogue devrait donc entraîner une réaction rapide face à celle-ci, afin d’y remédier, et ce, quel que soit ses scores CVSS ou EPSS.

Cyberwatch recommande ainsi une approche utilisant pleinement la méthode 2D, mais enrichie des informations du CISA KEV : une CVE sera ainsi considérée comme prioritaire si ses scores CVSS et EPSS dépassent des seuils définis par l’utilisateur, ou si elle est mentionnée par le CISA KEV. Nous appellerons cette méthode « méthode 3D ».

Cette méthode 3D permet de mieux gérer les situations comme celles de la CVE-2021-36934, dont l’EPSS est de 0,09%, mais qui est justement mentionnée par le catalogue KEV. Graphiquement, cela donne :

Stratégie de priorisation des CVE avec une méthode combinant à la fois les scores CVSS et EPSS, et les données du CISA KEV
Stratégie de priorisation des CVE avec une méthode combinant à la fois les scores CVSS et EPSS, et les données du CISA KEV

Pour aller plus loin : prioriser les CVE à l’aide d’autres catalogues comme le CERTFR-ALE

Si les Etats-Unis ont le CISA KEV, la France a aussi son propre catalogue avec les alertes du CERTFR de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), référencées au format CERTFR-<ANNEE>-ALE.

Contrairement à ce que l’on pourrait penser, les CVE mentionnées dans le CISA KEV et dans le CERTFR-ALE ne sont pas exactement les mêmes : le CERTFR-ALE mentionnera par exemple beaucoup plus souvent des CVE liées à des technologies libres largement répandues dans les administrations publiques françaises, comme Zimbra ou GLPI. Le même biais se retrouve avec le CISA KEV qui mentionnera des CVE liées à des technologies moins répandues dans les administrations françaises comme Cobalt Strike (suite logicielle très poussée, utilisée pour les tests d’intrusion).

Par exemple, la CVE-2022-35947, propre à GLPI, figure dans le CERTFR-ALE mais pas dans le CISA KEV. De même, la CVE-2022-39197 de Cobalt Strike est présente dans le CISA KEV mais pas dans le CERTFR-ALE.

CVE-2022-35947 est présente dans le CERTFR-ALE mais pas dans le CISA KEV
CVE-2022-35947 est présente dans le CERTFR-ALE mais pas dans le CISA KEV
CVE-2022-39197 est présente dans le CISA KEV mais pas dans le CERTFR-ALE
CVE-2022-39197 est présente dans le CISA KEV mais pas dans le CERTFR-ALE

Nous recommandons ainsi que les analystes qui suivent les publications de l’ANSSI ne se reposent pas seulement sur le CISA KEV, mais utilisent aussi le CERTFR ALE comme une source complémentaire d’informations pour leur stratégie de priorisation.

Cyberwatch version 13 intègrera cette nouvelle méthode de priorisation 3D, et permettra de suivre à la fois les catalogues du CISA KEV et du CERTFR-ALE

La prochaine version de la solution Cyberwatch Vulnerability Manager, prévue pour septembre 2023, prendra en compte les résultats de nos études sur les meilleurs moyens de prioriser les vulnérabilités, et permettra de configurer automatiquement une stratégie de priorisation à partir des données du CVSS, de l’EPSS, et du catalogue CISA KEV. Ces paramètres seront directement accessibles dans le menu Criticités :

Personnalisation de la stratégie de priorisation 3D dans Cyberwatch version 13
Personnalisation de la stratégie de priorisation 3D dans Cyberwatch version 13

Vous pourrez ainsi prioriser les CVE automatiquement, et avec ces nouvelles méthodes.

Découvrez notre solution de détection et priorisation des vulnérabilités

Cyberwatch est un éditeur français spécialisé dans la gestion des vulnérabilités. Nous proposons une solution simple à prendre en main, facile à déployer, qui permet de détecter et prioriser les CVE, mais aussi de les corriger à l’aide d’un module natif de Patch Management.

Notre plateforme est construite pour vous aider à gagner du temps dans votre processus de maintien en conditions de sécurité, et implémente des stratégies de priorisation efficaces.

Demandez dès maintenant une démonstration sur le formulaire dédié !

Vous avez des questions ?

Vous souhaitez une démonstration ?

Contactez-nous et nos experts reviendront vers vous sous 24h.

Votre demande