← Écrits / Détection
Détection
Scorer le risque, pas la sévérité : sortir du CVSS statique
12 JUIN 2026 · 9 MIN DE LECTURE
Un CVSS élevé n’est pas un risque élevé. La sévérité décrit la faille ; le risque décrit ce qu’elle met en jeu, sur quel actif, atteignable comment, et exploité ou non sur le terrain.
La plupart des programmes que j’ai croisés trient par CVSS décroissant. C’est une note de gravité intrinsèque, hors contexte : elle ne sait rien de la criticité de l’actif touché, de son exposition réelle, ni de la probabilité qu’une faille soit vraiment exploitée.
Les trois signaux à croiser
Criticité d’actif
Ce que l’actif met en jeu pour l’entreprise. Décidé une fois, indépendamment de toute CVE.
Exposition
Atteignabilité réelle dans la topologie du SI.
Menace effective
EPSS (probabilité) + CISA KEV (exploitation active connue).
Verbatim
On ne priorise pas une note. On priorise un risque · contextualisé, daté, recalculé.
· Journal de décision, Juin 2026
risk = criticality(asset) * exposure(asset) * threat(cve) # EPSS x KEV
Trois dimensions distinctes, multipliées mais jamais fusionnées : chacune évolue de son côté.