Dans un contexte où seules 5 % des vulnérabilités sont activement exploitées, mais où 16 % sont patchées chaque mois, la rationalisation de l’effort de remédiation devient stratégique. Le NIST propose une métrique probabiliste pour estimer l’exploitation passée des vulnérabilités : le LEV (Likely Exploited Vulnerabilities).
La méthodologie de l’attaque
La proposition du NIST repose sur une équation de probabilité calculée à partir de l’historique des scores EPSS. Contrairement à EPSS, qui anticipe les exploitations futures sur une fenêtre de 30 jours, LEV estime la probabilité que la vulnérabilité ait déjà été exploitée dans le passé. Cette distinction en fait un outil complémentaire aux listes KEV (Known Exploited Vulnerabilities) qui, elles, se basent sur des preuves confirmées mais souvent incomplètes.
Le cœur du modèle LEV applique une approche mathématique fondée sur l’agrégation pondérée des probabilités EPSS historiques. Deux versions de l’algorithme (LEV et LEV2) sont proposées, la seconde étant plus fine mais plus coûteuse en ressources.
Trois phases d’infection
Dans l’approche LEV, on identifie une triple dynamique exploitée par les attaquants :
- Identification initiale via un score EPSS faible mais croissant dans le temps.
- Période de maturation, où la vulnérabilité est testée ou exploitée de manière opportuniste.
- Phase d’exploitation active, capturée indirectement par l’élévation de la probabilité cumulée LEV.
Chaque jour supplémentaire augmente la possibilité qu’une CVE ait été exploitée. Ce mécanisme explique pourquoi les vulnérabilités anciennes affichent souvent des scores LEV plus élevés.
Rôle du double fichier
Le modèle s’appuie sur la combinaison de deux sources essentielles :
- Scores journaliers EPSS (issus de modèles machine learning prédictifs).
- Listes KEV existantes, pour ajuster les probabilités connues à 1.0 lorsque la CVE est officiellement confirmée comme exploitée.
Un mécanisme de Composite_Probability() permet d’ajuster dynamiquement les priorités de remédiation : max (EPSS, KEV, LEV).
Échec des antivirus classiques
Les mécanismes classiques de détection ou d’antivirus ne peuvent pas identifier une CVE si elle n’est pas encore exploitée de manière visible ou confirmée. Or, c’est précisément cette zone grise que LEV tente de cartographier.
En analysant la distribution des scores LEV (voir p. 17 du rapport), on constate que la majorité des vulnérabilités présentent une probabilité très faible (< 0.1). Pourtant, des centaines de CVE avec une probabilité > 0.9 ne figurent pas dans les KEV lists, révélant un angle mort critique dans les politiques de sécurité basées uniquement sur l’existant confirmé.
Les contremesures recommandées
Le NIST propose plusieurs cas d’usage du LEV pour renforcer la posture de cybersécurité :
- Complémentarité des KEV : Vérifier la complétude des listes KEV et identifier les CVE hautement probables mais absentes.
- Révision des seuils de remédiation : Appliquer des seuils LEV (ex. > 0.8) pour prioriser les CVE critiques.
- Analyse de performance EPSS : Corriger les biais EPSS sur les CVE historiquement exploitées en les remplaçant ou pondérant via LEV.
- Indicateur de maturité : Utiliser LEV comme indicateur de risque résiduel pour les systèmes legacy.
Vers une posture proactive
Le LEV ne remplace ni EPSS ni KEV, mais vient combler une lacune stratégique : l’identification probabiliste des vulnérabilités exploitées sans confirmation publique.
En ajoutant cette métrique à la toolbox des CERT, SOC et RSSI, il devient possible de prioriser intelligemment la remédiation, sans attendre la confirmation d’un incident ou l’intégration d’une CVE dans une liste KEV.
NIST appelle d’ailleurs à une collaboration du secteur privé pour affiner les performances du modèle via des jeux de données de détection, aujourd’hui majoritairement propriétaires.
Enjoy !
Sources :
