Notation de gravité CRA : CVSS, EPSS et KEV

Le Règlement sur la cyberrésilience de l'UE (Règlement (UE) 2024/2847) impose aux fabricants de remédier aux vulnérabilités « sans retard » (Annexe I Partie II point 2) et de signaler celles qui sont activement exploitées dans les 24 heures (Article 14(1)), mais ne nomme aucun système de notation. CVSS, EPSS et le catalogue CISA KEV sont les outils du secteur utilisés pour satisfaire à ces obligations. Cette page traite de ce que chacun mesure, de la manière de les combiner dans une priorisation défendable, et de la façon dont la notation se connecte au signalement au titre de l'Article 14 et à la divulgation coordonnée des vulnérabilités.

Synthèse

  • Le CRA n'impose aucun système de notation. L'Annexe I Partie II point 2 exige une remédiation « sans retard » mais laisse la mesure opérationnelle à la discrétion des fabricants.
  • CVSS mesure la gravité intrinsèque sur une échelle de 0 à 10 : caractéristiques de la vulnérabilité indépendantes de toute exploitation observée dans la nature.
  • EPSS mesure la probabilité d'exploitation sur une échelle de 0 à 1 : probabilité d'une exploitation observée dans les 30 prochains jours, calculée par le groupe de travail EPSS SIG du FIRST.
  • CISA KEV est le signal binaire « activement exploité » qui informe le plus directement les décisions de signalement au titre de l'Article 14(1), bien que l'Article 14(1) soit plus large que la seule inclusion dans KEV.
  • CVSS, EPSS et KEV combinés donnent une matrice de priorisation défendable ; aucun signal seul n'est suffisant.
  • Les déclencheurs de signalement de l'Article 14 sont factuels, non pilotés par les scores. L'exploitation active et l'incident grave sont déterminés au regard des définitions légales, les scores servant de preuves à l'appui.
0-10
Plage CVSS
gravité intrinsèque
0-1
Probabilité EPSS
probabilité d'exploitation sur 30 jours
24h
Alerte précoce SRP Article 14
activement exploité
€15M / 2,5%
Amende Article 64
le montant le plus élevé

Les quatre chiffres qui encadrent les décisions de gravité CRA : gravité intrinsèque, probabilité d'exploitation, horloge de signalement et plafond des sanctions.

Ce que dit le CRA sur la notation

Lisez le règlement directement et vous ne trouverez aucune mention de CVSS, EPSS ou de tout autre système de notation nommé. Le langage opérationnel pertinent figure à l'Annexe I Partie II, qui liste les exigences de gestion des vulnérabilités que chaque fabricant doit respecter pendant toute la période d'assistance :

  • Le point 2 exige des fabricants de « traiter et remédier aux vulnérabilités sans retard, notamment en fournissant des mises à jour de sécurité ».
  • Le point 4 exige, dès qu'une mise à jour de sécurité est disponible, que les fabricants partagent des informations sur la vulnérabilité corrigée « notamment une description des vulnérabilités, des informations permettant aux utilisateurs d'identifier le produit comportant des éléments numériques concerné, les impacts des vulnérabilités, leur gravité et des informations claires et accessibles aidant les utilisateurs à remédier aux vulnérabilités ».

L'Article 13(8) place ces obligations sous une exigence de traitement « efficace » pendant toute la période d'assistance. L'expression « sans retard » à l'Annexe I Partie II point 2 et « sans retard injustifié » à l'Article 14 fixent la norme temporelle. Ni l'une ni l'autre n'est un nombre de jours fixe. Toutes deux sont soumises à l'interprétation des autorités de surveillance du marché et, en dernier ressort, des juridictions nationales.

La notation est la manière dont les fabricants démontrent cette interprétation lors des audits et enquêtes. Un fabricant capable de présenter une politique de gravité documentée, un système de suivi qui enregistre CVSS et EPSS à l'entrée, un SLA lié aux niveaux de gravité, et des horodatages de remédiation respectant ces SLA dispose d'une position « sans retard » défendable. Un fabricant qui ne le peut pas n'en dispose pas.

Pour le régime général de traitement de l'Annexe I Partie II, voir la gestion des vulnérabilités. Pour les cadences de signalement de l'Article 14, voir le signalement des vulnérabilités.

CVSS : gravité intrinsèque

Le Common Vulnerability Scoring System, maintenu par le CVSS SIG du FIRST, note une vulnérabilité sur une échelle de 0,0 à 10,0. Il constitue le score de gravité intrinsèque dominant dans le secteur et le score que la plupart des entrées CVE publient.

CVSS comporte trois types de scores :

Score de base

Capture les caractéristiques de la vulnérabilité qui ne changent pas dans le temps ni selon les déploiements : vecteur d'attaque, complexité, privilèges requis, interaction utilisateur, portée, et impact sur la confidentialité, l'intégrité et la disponibilité. C'est ce que la plupart des entrées CVE publient et ce que les gens entendent par « le score CVSS ».

Score temporel

Ajuste le Score de base pour les facteurs variables dans le temps : maturité du code d'exploitation, niveau de remédiation, confiance dans le signalement. Rarement renseigné dans les entrées CVE publiques.

Score environnemental

Ajuste le Score de base en fonction de votre contexte de déploiement : criticité des actifs, contrôles compensatoires, impact réel dans votre environnement. C'est le score qu'un fabricant doit calculer pour son propre produit.

CVSS v4.0 a été publié par FIRST en novembre 2023. Il affine v3.1 avec des métriques d'exigences d'attaque plus précises et des métriques supplémentaires pour la sécurité, l'automatisabilité, la récupération et la densité de valeur. L'adoption est progressive : la plupart des flux CVE publient encore v3.1, et le support des outils pour v4.0 reste inégal. Ingérez les deux lorsqu'ils sont disponibles et ne traitez pas la transition comme une remise à zéro du carnet de dette.

CVSS seul est insuffisant. Les travaux empiriques montrent de manière constante que la plupart des vulnérabilités notées « élevé » ou « critique » par CVSS ne sont jamais observées comme exploitées. Une file pilotée uniquement par CVSS consume la capacité d'ingénierie sur des risques théoriques pendant que de vraies exploitations passent inaperçues.

EPSS : probabilité d'exploitation

L'Exploit Prediction Scoring System, également maintenu par FIRST via son EPSS SIG, prédit la probabilité qu'un CVE soit exploité dans la nature dans les 30 prochains jours. EPSS publie une probabilité entre 0 et 1 et un rang percentile par rapport à l'ensemble des CVE.

EPSS est calculé par un modèle d'apprentissage automatique qui ingère les attributs CVE (métriques CVSS, CWE, fournisseur et produit concerné, ancienneté) et des signaux publics (disponibilité de PoC, télémétrie d'exploitation des partenaires contributeurs, mentions dans les renseignements sur les menaces). Les scores sont actualisés quotidiennement. Un nouveau CVE sans PoC public score généralement en dessous de 0,05 ; un CVE avec un PoC armé peut dépasser 0,5 en quelques jours.

EPSS seul est également insuffisant. Un faible score EPSS aujourd'hui n'est pas une garantie pour demain : lorsqu'un chercheur publie un exploit fonctionnel, le score bouge. EPSS doit être réévalué en continu, pas seulement à l'entrée.

CISA KEV : exploitation confirmée

Le catalogue Known Exploited Vulnerabilities, maintenu par la US Cybersecurity and Infrastructure Security Agency, est une liste binaire « cette vulnérabilité est-elle actuellement exploitée ». Un CVE figure dans le catalogue ou il n'y figure pas. CISA ajoute un CVE lorsqu'elle dispose de preuves fiables d'une exploitation active contre n'importe quelle cible.

KEV est une source gouvernementale américaine, mais c'est le catalogue public le plus autoritaire d'exploitations confirmées disponible pour les défenseurs hors communauté du renseignement. Les fabricants européens l'utilisent largement car aucun catalogue équivalent de l'ENISA n'existe à ce jour.

Aux fins de l'Article 14(1), l'inclusion dans KEV est un signal fort qu'une vulnérabilité est « activement exploitée » au sens du règlement. Ce n'est pas le seul signal : l'Article 14(1) est plus large et se déclenche pour toute vulnérabilité activement exploitée, y compris celles détectées via des signalements clients, la télémétrie interne ou des renseignements sur les menaces qui n'ont pas encore atteint la CISA. Une vulnérabilité exploitée contre vos clients mais pas encore dans KEV déclenche tout de même l'Article 14(1). La détermination au titre de l'Article 14(1) est factuelle, non fondée sur des listes.

Combiner CVSS, EPSS et KEV dans une matrice de priorisation CRA

Aucun signal seul n'est suffisant. L'approche défendable consiste à combiner les trois et à lier les SLA de remédiation au niveau combiné. Le diagramme ci-dessous montre pourquoi : un CVSS 9,8 sans exploitation observée représente un risque réel moindre qu'un CVSS 7 avec EPSS 0,95 et une inscription dans KEV, même si le premier semble pire dans une file pilotée par CVSS seul.

Plan de priorisation CVSS par EPSS avec superposition KEV Un plan à deux dimensions avec CVSS sur l'axe horizontal (0 à 10) et EPSS sur l'axe vertical (0 à 1). Six zones de priorité colorent le graphique : Urgence en haut à droite lorsque CVSS est supérieur ou égal à 9 et EPSS dépasse 0,5 ; Élevé dans trois zones plus grandes (EPSS élevé avec CVSS moyen, CVSS élevé avec EPSS moyen, et la bande supérieure droite CVSS plus EPSS) ; Moyen pour CVSS 4 à 6,9 avec EPSS faible ; Faible pour CVSS inférieur à 4. Les CVE inscrits dans KEV sont remontés en Urgence quelle que soit leur position. Quatre CVE de référence numérotés illustrent qu'un CVSS 9,8 avec EPSS 0,01 se situe dans la zone Élevé par gravité intrinsèque seule, tandis qu'un CVSS 7,5 avec EPSS 0,95 et inscription KEV se situe en Urgence malgré un CVSS inférieur. Pourquoi un seul signal ne suffit pas : plan CVSS × EPSS avec superposition KEV Urgence Élevé Élevé Élevé Moyen Faible 0 4 7 9 10 Score de base CVSS (gravité intrinsèque) 0,0 0,5 1,0 EPSS (prob. d'exploitation 30 jours) A B C D CVE de référence représentés ci-dessus A. CVSS 9,8 / EPSS 0,01. Zone Élevé par gravité intrinsèque, aucune exploitation observée. B. CVSS 7,5 / EPSS 0,95 / inscrit KEV (★). Urgence : KEV remonte toujours en Urgence quelle que soit la position CVSS ou EPSS. C. CVSS 5,5 / EPSS 0,7. Élevé par EPSS seul, gravité intrinsèque de niveau moyen. D. CVSS 4,0 / EPSS 0,05. Moyen.
Priorisation à deux signaux : CVSS capture la gravité intrinsèque, EPSS capture la probabilité d'exploitation observée, KEV est la superposition binaire d'exploitation active. CVE-A (CVSS élevé, EPSS quasi nul) et CVE-B (CVSS moyen, inscrit dans KEV) sont inversés en priorité par rapport à une file pilotée par CVSS seul.
Niveau Combinaison de signaux SLA de remédiation Implication CRA
Urgence CVSS Critique (9,0+) ET (inscrit KEV OU EPSS > 0,5) Jours, pas semaines Candidat au signalement Article 14(1) si l'exploitation vise votre produit
Élevé CVSS Élevé (7,0-8,9) OU EPSS > 0,5 30 jours La position « sans retard » est fragilisée au-delà de 30 jours
Moyen CVSS Moyen (4,0-6,9), EPSS < 0,5, non inscrit dans KEV 90 jours Défendable au titre de l'Annexe I Partie II point 2 avec documentation
Faible CVSS Faible (< 4,0) Prochain cycle de mise à jour régulier Documenter le report dans le registre de gestion des vulnérabilités

La matrice est la politique du fabricant, non une exigence du CRA. La coucher par écrit donne aux autorités de surveillance du marché une base documentée et reproductible pour les décisions de remédiation qu'elles scruteront après qu'une vulnérabilité grave devient publique. Les autorités n'accepteront pas « nous avons corrigé quand nous avons pu » comme défense au titre de l'Annexe I Partie II point 2 ; elles accepteront « notre politique classe chaque CVE à l'entrée, ce CVE s'est trouvé dans le niveau Élevé, nous avons livré dans les 30 jours du SLA, voici les horodatages ».

Cartographie de la gravité sur les déclencheurs de signalement de l'Article 14

L'Article 14 se divise en deux flux avec les mêmes horloges de 24 heures et 72 heures mais des délais de rapport final différents :

  • Vulnérabilité activement exploitée (Article 14(1) et 14(2)). Alerte précoce de 24 heures, notification de vulnérabilité de 72 heures, rapport final de 14 jours à compter de la disponibilité d'une mesure corrective ou d'atténuation.
  • Incident grave (Article 14(3) et 14(4)). Alerte précoce de 24 heures, notification d'incident de 72 heures, rapport final de 1 mois à compter de la notification de 72 heures.

Aucun déclencheur n'est un seuil CVSS. « Activement exploité » est une détermination factuelle : un acteur malveillant a utilisé la vulnérabilité contre votre produit. L'Article 14(5) définit un « incident grave » comme un incident qui « affecte négativement ou est susceptible d'affecter négativement la capacité d'un produit comportant des éléments numériques à protéger la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données ou fonctions sensibles ou importantes » ou qui « a conduit ou est susceptible de conduire à l'introduction ou à l'exécution d'un code malveillant dans un produit comportant des éléments numériques ou dans les réseaux et systèmes d'information d'un utilisateur ».

CVSS et EPSS appuient la détermination. Un CVE Critique avec EPSS > 0,9 et une inscription KEV suggère fortement un contexte Article 14(1) dès lors que vous disposez de preuves que l'exploitation vise votre produit. Ils ne remplacent pas la détermination. L'horloge de 24 heures se déclenche au moment où le fabricant prend conscience de l'exploitation active, non au moment où le score CVSS dépasse un quelconque seuil.

Pour la cadence complète de l'Article 14, voir le signalement des vulnérabilités. Pour le canal d'entrée amont qui produit souvent le premier signal d'exploitation, voir la divulgation coordonnée des vulnérabilités.

Opérationnaliser la notation dans votre processus de gestion des vulnérabilités

Un processus de notation aligné sur le CRA comporte six composantes concrètes :

  1. Ingérer CVSS au moment du scan. Votre pipeline SBOM-vers-CVE doit attacher les scores de base CVSS à chaque constat dès la première détection. Voir le guide SBOM pour les mécanismes de cartographie sous-jacents.
  2. Actualiser EPSS quotidiennement. Une tâche nocturne qui recalcule les vulnérabilités ouvertes constitue le minimum.
  3. Surveiller CISA KEV. Abonnez-vous au flux KEV et remontez automatiquement toute vulnérabilité ouverte qui entre dans le catalogue.
  4. Définir des SLA par niveau dans votre système de suivi. Les niveaux et délais doivent être lisibles par machine afin que les éléments en retard remontent sans triage humain.
  5. Déclencher une escalade lors des franchissements de seuil. Lorsqu'EPSS dépasse 0,5 pour un constat ouvert, lorsque KEV ajoute l'un de vos CVE, ou lorsqu'un client signale une exploitation active, l'élément passe automatiquement en niveau Urgence.
  6. Automatiser la cartographie SBOM-composant-vers-CVE. La cartographie manuelle ne tient pas à l'échelle et constitue la source la plus courante de vulnérabilités manquées lors des audits.

L'intégration à la Plateforme de signalement unique de l'ENISA est un chantier distinct mais connexe. Voir l'intégration à la SRP ENISA.

Erreurs courantes

  • Chasser les CVSS-9 en ignorant les EPSS-0,95. Une vulnérabilité CVSS-7 avec EPSS 0,95 et un PoC public représente un risque réel plus élevé qu'un CVSS-9,8 avec EPSS 0,01.
  • Supposer que KEV est exhaustif. KEV est le meilleur catalogue public, mais il est en retard. Une exploitation active contre vos clients peut précéder l'inscription KEV de plusieurs jours ou semaines.
  • Traiter CVSS comme une échéance. Un CVSS Critique ne signifie pas « corriger en 24 heures ». Il signifie « regarder en premier ». L'échéance vient de votre SLA de politique, de l'EPSS, du statut KEV et, en dernier ressort, de la norme « sans retard » de l'Annexe I Partie II point 2.
  • Omettre d'actualiser les scores EPSS. Une vulnérabilité notée EPSS 0,02 à l'entrée et jamais recalculée stagnera dans votre file de faible priorité pendant que de vraies exploitations se développent en dehors de votre champ de vision.
  • Ignorer les modificateurs environnementaux CVSS. Un score de base CVSS de 9,8 contre un composant que votre produit n'instancie jamais n'est pas un 9,8 dans votre environnement. Documentez le score environnemental et le raisonnement.
  • Utiliser CVSS ou EPSS comme déclencheur de l'Article 14. L'Article 14(1) se déclenche sur une exploitation active factuelle. Un score est une preuve à l'appui, non la détermination.

Foire aux questions

Le CRA nous impose-t-il d'utiliser CVSS ?

Non. Le CRA ne cite ni CVSS ni aucun autre système de notation. L'Annexe I Partie II point 4 vous impose de communiquer la « gravité » lors de la divulgation d'une vulnérabilité corrigée, mais ne précise pas l'échelle. CVSS est la valeur par défaut du secteur et l'échelle la plus facile à défendre en audit. Une échelle personnalisée ou alternative produisant des résultats opérationnels équivalents est acceptable si elle est documentée et appliquée de manière cohérente.

EPSS est-il obligatoire au titre du CRA ?

Non. EPSS n'est pas mentionné dans le règlement. Il aide à démontrer la norme « sans retard » de l'Annexe I Partie II point 2 car il montre que la priorisation a suivi la probabilité d'exploitation réelle, et pas seulement la gravité intrinsèque. Un fabricant qui ignore la probabilité d'exploitation et corrige uniquement par rang CVSS aura du mal à justifier une remédiation lente d'un constat EPSS élevé après coup.

Comment la notation affecte-t-elle l'horloge de 24 heures de l'Article 14 ?

Elle ne change pas le moment où l'horloge démarre. L'horloge démarre au moment où le fabricant prend conscience de l'exploitation active, quelle que soit la valeur CVSS. La notation aide à trier quels signaux entrants atteignent le seuil de prise de conscience, mais une fois l'exploitation établie de manière crédible, l'horloge tourne même si le score CVSS n'est pas encore finalisé.

Pouvons-nous utiliser un système de notation personnalisé ?

Oui, à condition de pouvoir le défendre en audit. Un schéma combinant le contexte du modèle de menace interne avec des signaux externes est acceptable s'il est documenté, appliqué de manière cohérente, et produit des résultats de remédiation alignés sur la norme « sans retard » de l'Annexe I Partie II point 2. La valeur par défaut du secteur, CVSS plus EPSS plus KEV, est la voie de moindre résistance car toute autorité de surveillance du marché la reconnaîtra.

Le CRA sanctionne-t-il un score de gravité erroné ?

Le CRA sanctionne le défaut de traitement efficace des vulnérabilités (Annexe I Partie II) et le défaut de signalement au titre de l'Article 14. Une politique de notation défendable avec une application documentée est ce qui protège le fabricant. Un score individuel erroné ne constitue pas une violation ; c'est l'absence ou l'incohérence du processus qui en constitue une.

Faut-il utiliser CVSS v3.1 ou v4.0 ?

Les deux, lorsqu'ils sont disponibles. CVSS v4.0 a été publié par FIRST en novembre 2023 et affine v3.1 avec des métriques d'exigences d'attaque plus précises et des métriques supplémentaires pour la sécurité, l'automatisabilité, la récupération et la densité de valeur. L'adoption est progressive : la plupart des flux CVE publics publient encore v3.1, et le support des outils pour v4.0 reste inégal. Ingérez les deux signaux lorsque la source les fournit, et ne traitez pas la transition de v3.1 à v4.0 comme une remise à zéro du carnet de dette.

Prochaines étapes pour un processus de notation défendable au titre du CRA

  1. Documentez votre politique de gravité : niveaux, signaux (CVSS, EPSS, KEV), SLA par niveau, règles d'escalade.
  2. Câblez l'ingestion CVSS dans votre pipeline SBOM-vers-CVE au moment du scan. Voir le guide de la grappe SBOM.
  3. Programmez une tâche d'actualisation EPSS quotidienne et un abonnement CISA KEV avec escalade automatique lorsqu'un CVE suivi entre dans le catalogue.
  4. Cartographiez chaque vulnérabilité ouverte sur un niveau dès aujourd'hui et assignez des responsables pour tout élément dépassant son SLA.
  5. Liez vos critères de prise de conscience au titre de l'Article 14 aux mêmes signaux afin que les décisions de notation et de signalement ne puissent pas diverger. Voir le guide de signalement Article 14.
  6. Conservez un registre courant de chaque décision de gravité et de son horodatage de remédiation afin que « sans retard » soit documenté, non seulement affirmé.