La vision de Cyber Academy
La gestion des vulnérabilités est le cycle de découverte, de priorisation, de remédiation et de vérification des vulnérabilités dans votre parc. Les scanners remontent des milliers d'alertes ; la discipline réside dans la priorisation (criticité des actifs, disponibilité des exploits, exposition métier) plutôt que dans le scan lui-même. CVE, CVSS et KEV en sont le vocabulaire de base.
Un cycle, pas un scan
La gestion des vulnérabilités est souvent réduite au « lancement du scanner », mais le scan est la partie facile. La discipline est un cycle qui se répète : tenir un inventaire exact de ce que vous possédez, découvrir les faiblesses de ces actifs, prioriser la poignée qui compte vraiment, les corriger, et vérifier que le correctif a tenu. Un scanner moderne vous remettra des milliers de constats sur un parc moyen. Traiter cette liste comme une file de tâches, c'est ainsi que les équipes s'épuisent pendant que leur exposition réelle reste ouverte. La valeur réside dans l'entonnoir, des milliers de constats bruts jusqu'au petit ensemble sur lequel vous agissez cette semaine.
Cela dépend aussi de quelque chose que la plupart des équipes sous-estiment : connaître son parc. Une vulnérabilité sur un serveur exposé à Internet hébergeant une application métier critique est un problème différent de la même faille sur une machine de test isolée. Sans inventaire des actifs ni propriété, la priorisation n'a aucune base sur laquelle s'appuyer, ce qui explique pourquoi le cycle commence par la découverte et l'identification plutôt que par le scan lui-même.
Le vocabulaire : CVE, CVSS et KEV
Trois points de référence portent l'essentiel de la conversation sur la priorisation, et les praticiens les utilisent en combinaison plutôt que seuls.
| Terme | Ce que c'est | Ce que cela vous indique |
|---|---|---|
| CVE | Un identifiant unique pour une vulnérabilité divulguée publiquement | Un nom commun pour que tout le monde parle de la même faille à travers les outils et les avis de sécurité. |
| CVSS | Un cadre de notation qui évalue la gravité | À quel point la faille est grave en théorie, par son impact et ses caractéristiques d'exploitabilité. Un point de départ, pas un verdict. |
| KEV | Un catalogue de vulnérabilités connues comme étant exploitées dans la nature | Si des attaquants l'utilisent réellement en ce moment, ce qui élève fortement la priorité dans le monde réel. |
L'erreur courante consiste à trier par score CVSS et à travailler de haut en bas. Un CVSS élevé sur un actif que personne ne peut atteindre compte moins qu'une faille de gravité moyenne figurant dans un catalogue de vulnérabilités connues comme exploitées sur un système exposé. Les programmes matures combinent la gravité théorique avec des signaux réels : existe-t-il un exploit fonctionnel, la vulnérabilité est-elle activement exploitée, et à quel point l'actif affecté est-il exposé et critique. C'est cette combinaison, et non le score brut, qui pilote la file.
La priorisation est tout le travail
La formulation honnête est que la priorisation est le produit de la gestion des vulnérabilités. Les entrées sont la criticité de l'actif, la disponibilité d'un exploit et l'exposition métier, et la sortie est une décision défendable sur ce qui est corrigé en premier et ce qui attend. C'est là que la fonction justifie sa valeur, car aucune équipe ne peut ni ne devrait tout corriger d'un coup.
- Criticité de l'actif : ce que le système fait pour l'entreprise et ce qu'il peut atteindre s'il est compromis.
- Disponibilité d'un exploit : l'existence d'un exploit fonctionnel et le fait que la faille soit utilisée dans la nature.
- Exposition métier : l'actif est-il exposé à Internet, quelles données détient-il, et quelles mesures de compensation se trouvent déjà en amont.
Où cela s'inscrit dans la gouvernance
La gestion des vulnérabilités est rarement facultative dès lors que vous êtes à l'intérieur d'un cadre reconnu. Un SMSI ISO/IEC 27001 attend un processus défini de gestion des vulnérabilités techniques, et les auditeurs demanderont à voir le cycle en fonctionnement, et pas seulement une licence de scanner.
Le NIST Cybersecurity Framework considère l'identification et la gestion des vulnérabilités comme essentielles aux fonctions Identify et Protect, et des réglementations comme NIS2 et DORA supposent que les organisations recherchent et corrigent activement les faiblesses plutôt que d'attendre qu'un incident les révèle. Dans tous les cas, la preuve qu'un évaluateur souhaite a la même forme : comment vous découvrez, comment vous priorisez, les SLA selon lesquels vous corrigez, et les métriques qui prouvent que le cycle se referme.
Frequently asked questions
01Quelle est la différence entre la gestion des vulnérabilités et la gestion des correctifs ?
La gestion des vulnérabilités est le cycle complet de découverte, priorisation, correction et vérification des faiblesses dans votre parc. La gestion des correctifs est le processus opérationnel plus restreint d'application d'un correctif publié selon un SLA défini, avec vérification. Le déploiement de correctifs est une voie de remédiation courante au sein de la gestion des vulnérabilités, mais pas la seule.
02Devrais-je simplement corriger d'abord les scores CVSS les plus élevés ?
Non. Le CVSS évalue la gravité théorique mais ignore si la faille est atteignable, exploitée dans la nature ou présente sur un actif critique. Un meilleur ordre combine le CVSS avec la disponibilité d'un exploit, le statut de vulnérabilité connue comme exploitée et votre propre criticité et exposition des actifs.
03Que sont CVE, CVSS et KEV ?
CVE est l'identifiant commun d'une vulnérabilité divulguée spécifique. CVSS est un cadre qui note la gravité d'une vulnérabilité. KEV est un catalogue de vulnérabilités connues comme étant activement exploitées, ce qui élève fortement leur priorité dans le monde réel.
04Pourquoi l'inventaire des actifs fait-il partie de la gestion des vulnérabilités ?
Vous ne pouvez pas prioriser ce que vous ne pouvez pas voir. La même faille est anodine sur une machine de test isolée et urgente sur un serveur critique pour l'activité et exposé. Un inventaire et une propriété exacts sont ce qui vous permet de transformer une liste plate de constats en un ordre de remédiation défendable.
05La gestion des vulnérabilités est-elle requise pour la conformité ?
En pratique oui, dans la plupart des cadres. ISO/IEC 27001 attend un processus géré pour les vulnérabilités techniques, le NIST CSF l'intègre dans les fonctions Identify et Protect, et des réglementations comme NIS2 et DORA supposent que vous recherchez et corrigez activement les faiblesses. Les évaluateurs recherchent le cycle, les SLA et les métriques, et pas seulement un rapport de scan.