Chaque jour, environ 80 nouvelles CVE sont publiées. Sans approche systématique pour trouver, prioriser et corriger les vulnérabilités, vous jouez à la roulette russe avec votre entreprise. 60 % des violations impliquent une vulnérabilité connue et non corrigée.
La gestion des vulnérabilités est le processus continu et systématique d'identification, d'évaluation, de priorisation, de remédiation et de vérification des vulnérabilités de sécurité dans l'ensemble des actifs informatiques d'une organisation. Ce n'est pas un scan ponctuel — c'est un programme continu qui réduit le risque organisationnel au fil du temps.
Les vulnérabilités couvrent plusieurs catégories :
Une évaluation des vulnérabilités vous indique ce qui ne va pas (ponctuel). La gestion des vulnérabilités garantit que les problèmes sont corrigés — et le restent (programme continu avec priorisation, suivi, vérification et amélioration).
Amendes réglementaires : NIS2 impose la gestion des vulnérabilités — jusqu'à 10 M€ ou 2 % du chiffre d'affaires. Responsabilité en cas de violation : Le RGPD exige des « mesures techniques appropriées ». Rançongiciels : WannaCry, Log4Shell, MOVEit — tous exploitaient des failles connues et corrigeables. Assurance : Les assureurs cyber auditent la gestion des correctifs et ajustent les primes ou refusent les sinistres.
On ne peut pas protéger ce qu'on ne connaît pas. Maintenez un inventaire à jour de tous les actifs informatiques et scannez en continu. Métriques clés : couverture des actifs, fréquence de scan, délai depuis le dernier scan.
Toutes les vulnérabilités ne se valent pas. Un score CVSS critique ne signifie pas automatiquement un risque critique. Considérez l'exploitabilité, la criticité de l'actif, l'exposition, les contrôles compensatoires et le contexte métier.
Les options incluent le patching, les modifications de configuration, les contrôles compensatoires (WAF, correctif virtuel), l'acceptation formelle du risque, ou la mise au rebut du système.
Une vulnérabilité « corrigée » qui ne l'est pas réellement donne un faux sentiment de sécurité. Effectuez toujours un re-scan, des tests de non-régression et une validation de la configuration après la remédiation.
Servez plusieurs audiences : équipes sécurité (tableaux de bord tactiques), direction informatique (rapports stratégiques), dirigeants (risque métier), et auditeurs (preuves de conformité).
Volume : Des dizaines de milliers de résultats critiques/élevés — impossible de tout corriger. Fausse urgence : Beaucoup de CVE critiques ne sont jamais exploitées. Manque de contexte : Une vulnérabilité moyenne sur un système de paiement peut être plus risquée qu'une critique sur un serveur de développement isolé.
La gestion des vulnérabilités basée sur les risques (RBVM) combine la sévérité de la vulnérabilité avec le renseignement sur les menaces (est-elle exploitée ?), la criticité de l'actif (quelle importance ?), et l'exposition (accessible depuis Internet ?). Cela réduit le backlog actionnable de 80 à 90 %.
| Aspect | CVSS | EPSS |
|---|---|---|
| Ce qu'il mesure | Sévérité de la vulnérabilité (0–10) | Probabilité d'exploitation (0–100 %) |
| Mises à jour | Essentiellement statique | Quotidienne |
| Focus | Ce qui pourrait arriver | Ce qui va arriver |
| Limitation | Seulement ~15 % des critiques sont exploitées | Ne prend pas en compte le contexte de l'actif |
CVSS élevé + EPSS élevé → Critique, remédiation immédiate. CVSS élevé + EPSS faible → Planifié selon le SLA standard. CVSS faible + EPSS élevé → Priorité élevée, à investiguer (potentiellement sous-évalué). CVSS faible + EPSS faible → Traiter lors de la maintenance régulière.
Découvrez vos vulnérabilités avant les attaquants. Analyse propulsée par l'IA avec priorisation basée sur les risques.
Lancer un scan gratuit →| Référentiel | Exigence en gestion des vulnérabilités | Sanction |
|---|---|---|
| NIS2 | Article 21 : « gestion et divulgation des vulnérabilités » comme mesure minimale | Jusqu'à 10 M€ / 2 % du CA |
| DORA | Gestion des risques TIC, évaluations régulières des vulnérabilités | Application sectorielle |
| RGPD | Article 32 : « mesures techniques appropriées » | Jusqu'à 20 M€ / 4 % du CA |
| ISO 27001 | A.8.8 : Gestion des vulnérabilités techniques | Risque de certification |
| PCI DSS 4.0 | Scans ASV externes trimestriels, scans internes, tests d'intrusion annuels | Amendes PCI pour non-conformité |
| Niveau de risque | Exposé sur Internet | Interne critique | Interne standard |
|---|---|---|---|
| Critique | 24 heures | 72 heures | 7 jours |
| Élevé | 7 jours | 14 jours | 30 jours |
| Moyen | 30 jours | 60 jours | 90 jours |
| Faible | 90 jours | 180 jours | Prochaine maintenance |
KENSAI scanne les applications web, les API et l'infrastructure avec une base de données de 332 000+ CVE mise à jour en continu. Identifie les vulnérabilités connues et les erreurs de configuration sur toute votre surface d'attaque.
Va au-delà du CVSS : croise le renseignement sur les menaces actives, prend en compte les données d'exploitation réelles, réduit les faux positifs grâce à une analyse intelligente, et fournit une priorisation basée sur les risques pour vous concentrer sur l'essentiel.
Chaque scan génère des rapports alignés sur NIS2, RGPD, DORA et ISO 27001 — preuves documentées de gestion et divulgation des vulnérabilités pour les auditeurs et régulateurs.
Des recommandations de correction exploitables pour chaque découverte. Réduit le temps et l'expertise nécessaires pour clôturer les vulnérabilités.
Professionnel : 990 €/mois — idéal pour les entreprises en croissance. Entreprise : 2 490 €/mois — fonctionnalités avancées et volumes de scan supérieurs.
Le processus continu d'identification, d'évaluation, de priorisation, de remédiation et de vérification des vulnérabilités de sécurité. Contrairement aux évaluations ponctuelles, c'est un programme continu avec découverte structurée, priorisation basée sur les risques et remédiation suivie avec des SLA définis.
La RBVM priorise par risque réel (renseignement sur les menaces + criticité de l'actif + exposition) plutôt que par la seule sévérité CVSS. Réduit le backlog actionnable de 80 à 90 % et concentre les ressources sur les vulnérabilités véritablement dangereuses.
CVSS évalue la sévérité (statique, 0–10). EPSS prédit la probabilité d'exploitation (dynamique, mise à jour quotidiennement). Utilisés ensemble, ils fournissent le contexte de sévérité et la probabilité d'exploitation pour une priorisation supérieure.
Critiques/exposés sur Internet : au moins hebdomadaire (quotidien ou continu de préférence). Internes : mensuel minimum. Après des changements significatifs : systématiquement. La tendance est au scan continu.
L'article 21 de NIS2 exige explicitement la « gestion et divulgation des vulnérabilités ». Un programme conforme doit démontrer une découverte systématique, une priorisation basée sur les risques, des SLA définis, une vérification, une surveillance continue et des processus documentés.
Le MTTR pour les vulnérabilités critiques/à haut risque — il mesure directement la rapidité avec laquelle vous fermez vos fenêtres d'exposition les plus dangereuses.
Prenez le contrôle de votre gestion des vulnérabilités. Découverte, priorisation et rapports de conformité propulsés par l'IA.
Lancer un scan gratuit →La sécurité n'est pas optionnelle.
🗡️ L'équipe KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →