L'augmentation du nombre de rapports de vulnérabilité et l'accumulation croissante de vulnérabilités et d'expositions critiques (CVE) conspirent pour mettre les entreprises en danger. La nouvelle métrique LEV (Likely Exploited Vulnérabilités) du NIST peut vous aider. Voici comment.
L'état de la cybersécurité de CVE
Le programme CVE du NIST suit les vulnérabilités historiques et émergentes pour aider les entreprises à réduire leur risque de cybersécurité. Selon une récente mise à jour du NIST, l'agence accuse toutefois un retard dans le traitement et la classification des nouveaux CVE. Ce retard s'explique en partie par l'augmentation du nombre de rapports. En 2024, les soumissions CVE ont augmenté de 32 %, et le NIST affirme que « le taux de soumissions continuera d'augmenter en 2025 ».
Les processus manuels associés à une pénurie de professionnels qualifiés ont également un impact sur l'arriéré. Alors que le NIST prévoit de gagner en efficacité en revoyant les processus internes et en automatisant les tâches dans la mesure du possible, le retard en matière de CVE va probablement s'aggraver avant de s'améliorer.
Cela pose un défi pour les entreprises qui dépendent des données CVE pour orienter les pratiques de cybersécurité. Alors que les cybercriminels explorent sans cesse de nouveaux moyens d'exploiter les systèmes les plus courants, les retards dans les rapports et les analyses créent une faille dans la sécurité. Les applications et les API de confiance des entreprises peuvent présenter des risques non détectés, offrant ainsi aux pirates plus de temps pour agir sans intervention de sécurité.
Presque, mais pas tout à fait : KEV et EPSS
Les rapports CVE étant en retard, d'autres programmes tels que le catalogue Known Exploited Vulnerabilities (KEV) et le Exploit Prediction Scoring System (EPSS) proposent des moyens de réduire les risques.
Comprendre KEV
La liste KEV est tenue à jour par la CISA. Elle contient plus de 1 300 vulnérabilités qui ont été exploitées dans la nature. Il s'agit donc d'une source d'informations sur la sécurité couramment utilisée, car elle aide les équipes à mieux comprendre l'origine des risques et la manière dont elles peuvent y répondre efficacement. Compte tenu du grand nombre de vulnérabilités répertoriées, il n'est pas possible de se défendre contre l'ensemble du catalogue. Les équipes doivent plutôt déterminer quelles sont les vulnérabilités qui présentent le plus de risques et prendre des mesures ciblées pour empêcher la compromission.
Explorer l'EPSS
EPSS a été développé en 2018 par des professionnels de la sécurité au sein du FIRST (Forum of Incident Response and Security Teams). Ce système de notation tient compte de plusieurs facteurs, notamment la présence d'exploits accessibles au public, la complexité des processus d'exploitation, la popularité du code vulnérable et toutes les données réelles recueillies à partir de sources telles que les systèmes de détection d'intrusion (IDS) ou les honeypots.
À l'aide de ces données, EPSS prédit la probabilité qu'une vulnérabilité soit exploitée sur une période donnée, généralement de 30 jours. En outre, le modèle indique à quel moment le risque est le plus élevé et le plus faible au cours de cette période de 30 jours. La version la plus récente d'EPSS a été publiée en mars 2025.
Les deux programmes aident à réduire le risque de compromission, mais ils comportent également des mises en garde. Bien que KEV signale environ 1 300 vulnérabilités, ces préoccupations de sécurité n'entraînent pas toutes le même niveau de risque. Comme l'indique un article récent de Security Week, l'analyse de 25 bugs KEV qui ont un impact sur les applications natives du cloud a révélé que 10 d'entre eux étaient soit techniquement inexploitables, soit nécessitaient des conditions d'exécution extrêmement spécifiques. Par conséquent, elles ne représentent pas des menaces immédiates ou exploitables. Pour tirer le meilleur parti des données KEV, les équipes de cybersécurité doivent tenir compte du contexte des vulnérabilités, ce qui demande du temps et des efforts par rapport aux autres pratiques de sécurité.
EPSS, quant à lui, aide les entreprises à mieux comprendre le risque de menace en prédisant la probabilité d'une compromission réelle, généralement sur une période de 30 jours. Le défi ici ? Le paysage de la cybersécurité peut changer de manière significative en 30 jours, ce qui rend l'EPSS utile pour la planification à long terme, mais moins applicable aux opérations quotidiennes.
Comment LEV peut contribuer à uniformiser les règles du jeu
LEV propose une nouvelle approche de la gestion des vulnérabilités, qui se concentre sur le calcul de la probabilité qu'un bug ait déjà été exploité par des acteurs malveillants, même si cette exploitation n'a pas été observée.
LEV est une formule qui fournit des mises à jour quotidiennes de :
- Les probabilités qu'un CVE ait déjà été exploité
- Les probabilités qu'une CVE soit exploitée.
Voici la formule :
Avec LEV, les équipes de cybersécurité reçoivent des données, y compris :
- Nom, date et description du CVE
- Probabilité d'exploitation antérieure
- Score EPSS maximal pour les fenêtres de 30 jours sélectionnées
- Date du score EPSS maximal dans chacune de ces fenêtres
- Une liste des logiciels ou des codes affectés, décrits à l'aide de l'énumération commune des produits (Common Product Enumeration - CPE).
Selon le livre blanc du NIST LEV : « Ces résultats peuvent être utilisés pour mesurer la proportion attendue de CVE qui ont été exploitées et l'exhaustivité des listes KEV. Ces résultats peuvent également améliorer la hiérarchisation des priorités en matière de remédiation des vulnérabilités basée sur KEV et EPSS. »
À la conquête du compromis : un effort collaboratif
LEV est un nouvel outil puissant dans l'arsenal de cybersécurité du NIST, mais ce n'est pas une solution miracle. Bien que davantage d'informations sur les implications réelles des CVE existants contribuent à réduire le risque de compromission, le LEV est plus efficace lorsqu'il est associé à d'autres actifs tels que EPSS et KEV, et associé à des outils de cybersécurité avancés tels que la détection multimodale des menaces par IA.
Les efforts de collaboration fournissent aux entreprises des informations essentielles sur ce qui s'est déjà passé, sur ce qui se passe actuellement et sur ce qui est susceptible de se passer dans les jours ou les semaines à venir. Le résultat est une approche plus proactive de la cybersécurité qui permet de contrecarrer les efforts des pirates et d'arrêter les compromis avant qu'ils ne commencent.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter