La gestion des vulnérabilités et de leurs correctifs fait partie des fondamentaux de la sécurité opérationnelle. Les CVE sont utilisés depuis longtemps pour identifier et catégoriser les vulnérabilités publiques. La première liste CVE a été lancée par un groupe de travail issu du MITRE en 1999, connu aussi pour son catalogue ATT&CK beaucoup utilisé en CTI. Le FIRST, association de CSIRT très actif dans le domaine des vulnérabilités publie et met à jour le système CVSS qui fixe une note de criticité pour chaque vulnérabilité en fonction de paramètres déterminés par les spécifications. Le FIRST propose aussi depuis 2019 l’indicateur EPSS (Exploit Prediction Scoring System) pour évaluer la vraisemblance qu’une vulnérabilité puisse être exploitée. Le modèle a été présenté lors d’un Black Hat aux Etats-Unis. L’objectif est de mieux prioriser les processus de remédiation qui peuvent être lourds dans des groupes aux systèmes d’information complexes et répartis dans de nombreuses filiales et pays. Ce type de scoring est un exemple de mesure quantitative du risque, mis en œuvre par exemple dans la méthode FAIR.