Richard Hofrance Bankouezi · Consultant cyberdéfense MÉRIDIEN 002 · 47.0°N // 2.3°E · UTC+2 Disponible · missions Q3 2027
Richard Hofrance Bankouezi
← Écrits / Détection
Détection

Scorer le risque, pas la sévérité : sortir du CVSS statique

12 JUIN 2026 · 9 MIN DE LECTURE

Un CVSS élevé n’est pas un risque élevé. La sévérité décrit la faille ; le risque décrit ce qu’elle met en jeu, sur quel actif, atteignable comment, et exploité ou non sur le terrain.

La plupart des programmes que j’ai croisés trient par CVSS décroissant. C’est une note de gravité intrinsèque, hors contexte : elle ne sait rien de la criticité de l’actif touché, de son exposition réelle, ni de la probabilité qu’une faille soit vraiment exploitée.

Les trois signaux à croiser
Criticité d’actif
Ce que l’actif met en jeu pour l’entreprise. Décidé une fois, indépendamment de toute CVE.
Exposition
Atteignabilité réelle dans la topologie du SI.
Menace effective
EPSS (probabilité) + CISA KEV (exploitation active connue).
Verbatim
On ne priorise pas une note. On priorise un risque · contextualisé, daté, recalculé.
· Journal de décision, Juin 2026
risk = criticality(asset) * exposure(asset) * threat(cve)  # EPSS x KEV
Trois dimensions distinctes, multipliées mais jamais fusionnées : chacune évolue de son côté.
Richard Hofrance Bankouezi
Concevoir la défense.
La tenir · avec vous.
Me contacter
MÉRIDIEN 002 · 47.0°N // 2.3°E · UTC+2
Disponible Q3 2027 · réponse < 48 h
© 2026 Richard Hofrance Bankouezi
Mentions légales · Conditions · Confidentialité