← Retour au blog
Recherche 20 min de lecture

Gestion des vulnérabilités : le guide complet

Chaque jour, environ 80 nouvelles CVE sont publiées. Sans approche systématique pour trouver, prioriser et corriger les vulnérabilités, vous jouez à la roulette russe avec votre entreprise. 60 % des violations impliquent une vulnérabilité connue et non corrigée.

80+
Nouvelles CVE par jour
60 %
Violations via CVE connues
4,88 M$
Coût moyen d'une violation
15 jours
Délai moyen d'exploitation

Qu'est-ce que la gestion des vulnérabilités ?

ℹ️ Définition

La gestion des vulnérabilités est le processus continu et systématique d'identification, d'évaluation, de priorisation, de remédiation et de vérification des vulnérabilités de sécurité dans l'ensemble des actifs informatiques d'une organisation. Ce n'est pas un scan ponctuel — c'est un programme continu qui réduit le risque organisationnel au fil du temps.

Les vulnérabilités couvrent plusieurs catégories :

Évaluation vs gestion

Une évaluation des vulnérabilités vous indique ce qui ne va pas (ponctuel). La gestion des vulnérabilités garantit que les problèmes sont corrigés — et le restent (programme continu avec priorisation, suivi, vérification et amélioration).


Pourquoi la gestion des vulnérabilités est essentielle

⚠️ Les risques métier

Amendes réglementaires : NIS2 impose la gestion des vulnérabilités — jusqu'à 10 M€ ou 2 % du chiffre d'affaires. Responsabilité en cas de violation : Le RGPD exige des « mesures techniques appropriées ». Rançongiciels : WannaCry, Log4Shell, MOVEit — tous exploitaient des failles connues et corrigeables. Assurance : Les assureurs cyber auditent la gestion des correctifs et ajustent les primes ou refusent les sinistres.


Le cycle de vie de la gestion des vulnérabilités

Cycle continu en 5 phases

Phase 1 : Découvrir

On ne peut pas protéger ce qu'on ne connaît pas. Maintenez un inventaire à jour de tous les actifs informatiques et scannez en continu. Métriques clés : couverture des actifs, fréquence de scan, délai depuis le dernier scan.

Phase 2 : Prioriser

Toutes les vulnérabilités ne se valent pas. Un score CVSS critique ne signifie pas automatiquement un risque critique. Considérez l'exploitabilité, la criticité de l'actif, l'exposition, les contrôles compensatoires et le contexte métier.

Phase 3 : Remédier

Les options incluent le patching, les modifications de configuration, les contrôles compensatoires (WAF, correctif virtuel), l'acceptation formelle du risque, ou la mise au rebut du système.

Phase 4 : Vérifier

⚠️ Ne sautez pas la vérification

Une vulnérabilité « corrigée » qui ne l'est pas réellement donne un faux sentiment de sécurité. Effectuez toujours un re-scan, des tests de non-régression et une validation de la configuration après la remédiation.

Phase 5 : Rapporter et améliorer

Servez plusieurs audiences : équipes sécurité (tableaux de bord tactiques), direction informatique (rapports stratégiques), dirigeants (risque métier), et auditeurs (preuves de conformité).


Gestion des vulnérabilités basée sur les risques

⚠️ La priorisation uniquement par CVSS est insuffisante

Volume : Des dizaines de milliers de résultats critiques/élevés — impossible de tout corriger. Fausse urgence : Beaucoup de CVE critiques ne sont jamais exploitées. Manque de contexte : Une vulnérabilité moyenne sur un système de paiement peut être plus risquée qu'une critique sur un serveur de développement isolé.

Risque = Menace × Vulnérabilité × Impact

La gestion des vulnérabilités basée sur les risques (RBVM) combine la sévérité de la vulnérabilité avec le renseignement sur les menaces (est-elle exploitée ?), la criticité de l'actif (quelle importance ?), et l'exposition (accessible depuis Internet ?). Cela réduit le backlog actionnable de 80 à 90 %.


CVSS vs EPSS : priorisation moderne

AspectCVSSEPSS
Ce qu'il mesureSévérité de la vulnérabilité (0–10)Probabilité d'exploitation (0–100 %)
Mises à jourEssentiellement statiqueQuotidienne
FocusCe qui pourrait arriverCe qui va arriver
LimitationSeulement ~15 % des critiques sont exploitéesNe prend pas en compte le contexte de l'actif

Utilisez les deux ensemble

CVSS élevé + EPSS élevé → Critique, remédiation immédiate. CVSS élevé + EPSS faible → Planifié selon le SLA standard. CVSS faible + EPSS élevé → Priorité élevée, à investiguer (potentiellement sous-évalué). CVSS faible + EPSS faible → Traiter lors de la maintenance régulière.


Outils de gestion des vulnérabilités

Catégories de scanners

Choisir le bon outil

Critères d'évaluation clés

Essayez KENSAI gratuitement

Découvrez vos vulnérabilités avant les attaquants. Analyse propulsée par l'IA avec priorisation basée sur les risques.

Lancer un scan gratuit →

Intégration de la conformité

RéférentielExigence en gestion des vulnérabilitésSanction
NIS2Article 21 : « gestion et divulgation des vulnérabilités » comme mesure minimaleJusqu'à 10 M€ / 2 % du CA
DORAGestion des risques TIC, évaluations régulières des vulnérabilitésApplication sectorielle
RGPDArticle 32 : « mesures techniques appropriées »Jusqu'à 20 M€ / 4 % du CA
ISO 27001A.8.8 : Gestion des vulnérabilités techniquesRisque de certification
PCI DSS 4.0Scans ASV externes trimestriels, scans internes, tests d'intrusion annuelsAmendes PCI pour non-conformité

Construire un programme de gestion des vulnérabilités

SLA de remédiation (exemple)

Niveau de risqueExposé sur InternetInterne critiqueInterne standard
Critique24 heures72 heures7 jours
Élevé7 jours14 jours30 jours
Moyen30 jours60 jours90 jours
Faible90 jours180 joursProchaine maintenance

Métriques clés à suivre


Comment KENSAI automatise la gestion des vulnérabilités

Découverte continue

KENSAI scanne les applications web, les API et l'infrastructure avec une base de données de 332 000+ CVE mise à jour en continu. Identifie les vulnérabilités connues et les erreurs de configuration sur toute votre surface d'attaque.

Priorisation propulsée par l'IA

Va au-delà du CVSS : croise le renseignement sur les menaces actives, prend en compte les données d'exploitation réelles, réduit les faux positifs grâce à une analyse intelligente, et fournit une priorisation basée sur les risques pour vous concentrer sur l'essentiel.

Rapports de conformité automatisés

Chaque scan génère des rapports alignés sur NIS2, RGPD, DORA et ISO 27001 — preuves documentées de gestion et divulgation des vulnérabilités pour les auditeurs et régulateurs.

Recommandations de remédiation

Des recommandations de correction exploitables pour chaque découverte. Réduit le temps et l'expertise nécessaires pour clôturer les vulnérabilités.

Tarification

Professionnel : 990 €/mois — idéal pour les entreprises en croissance. Entreprise : 2 490 €/mois — fonctionnalités avancées et volumes de scan supérieurs.


FAQ

Qu'est-ce que la gestion des vulnérabilités ?

Le processus continu d'identification, d'évaluation, de priorisation, de remédiation et de vérification des vulnérabilités de sécurité. Contrairement aux évaluations ponctuelles, c'est un programme continu avec découverte structurée, priorisation basée sur les risques et remédiation suivie avec des SLA définis.

Qu'est-ce que la gestion des vulnérabilités basée sur les risques ?

La RBVM priorise par risque réel (renseignement sur les menaces + criticité de l'actif + exposition) plutôt que par la seule sévérité CVSS. Réduit le backlog actionnable de 80 à 90 % et concentre les ressources sur les vulnérabilités véritablement dangereuses.

Quelle est la différence entre CVSS et EPSS ?

CVSS évalue la sévérité (statique, 0–10). EPSS prédit la probabilité d'exploitation (dynamique, mise à jour quotidiennement). Utilisés ensemble, ils fournissent le contexte de sévérité et la probabilité d'exploitation pour une priorisation supérieure.

À quelle fréquence les scans de vulnérabilités doivent-ils être exécutés ?

Critiques/exposés sur Internet : au moins hebdomadaire (quotidien ou continu de préférence). Internes : mensuel minimum. Après des changements significatifs : systématiquement. La tendance est au scan continu.

Comment la gestion des vulnérabilités soutient-elle la conformité NIS2 ?

L'article 21 de NIS2 exige explicitement la « gestion et divulgation des vulnérabilités ». Un programme conforme doit démontrer une découverte systématique, une priorisation basée sur les risques, des SLA définis, une vérification, une surveillance continue et des processus documentés.

Quelle est la métrique la plus importante ?

Le MTTR pour les vulnérabilités critiques/à haut risque — il mesure directement la rapidité avec laquelle vous fermez vos fenêtres d'exposition les plus dangereuses.

Essayez KENSAI gratuitement

Prenez le contrôle de votre gestion des vulnérabilités. Découverte, priorisation et rapports de conformité propulsés par l'IA.

Lancer un scan gratuit →

La sécurité n'est pas optionnelle.

🗡️ L'équipe KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home