Chaque année, le programme CVE recense plus de 29 000 nouvelles vulnérabilités, un chiffre en hausse constante depuis 2017. Pour les entreprises, la question n'est plus de savoir si leur infrastructure contient des failles, mais combien et lesquelles sont réellement exploitables. La gestion des vulnérabilités — scanner, prioriser et corriger — est un processus continu qui réduit méthodiquement la surface d'attaque. Sans elle, chaque jour qui passe augmente la probabilité d'une compromission.
Le cycle de gestion des vulnérabilités
Phase 1 : Inventaire et découverte
Impossible de protéger ce qu'on ne connaît pas. La première étape consiste à dresser un inventaire exhaustif des actifs : serveurs, postes de travail, équipements réseau, applications web, services cloud, objets connectés. Selon une étude Axonius, 69 % des entreprises découvrent des actifs inconnus lors de leur premier scan — des équipements non supervisés qui constituent autant de portes d'entrée potentielles pour les attaquants.
Phase 2 : Scan et identification
Les scanners de vulnérabilités analysent chaque actif pour identifier les failles connues. Les outils leaders du marché — Nessus (Tenable), Qualys VMDR, Rapid7 InsightVM — testent des dizaines de milliers de signatures de vulnérabilités en quelques heures. Un scan authentifié (avec des identifiants système) détecte 40 % de vulnérabilités supplémentaires par rapport à un scan non authentifié, car il accède aux informations internes du système d'exploitation et des applications installées.
Prioriser intelligemment avec le CVSS et au-delà
Comprendre le score CVSS
Le CVSS (Common Vulnerability Scoring System) attribue un score de 0 à 10 à chaque vulnérabilité. Un score supérieur à 9 est considéré comme critique. Mais le CVSS seul est insuffisant pour prioriser : une vulnérabilité critique sur un serveur de test isolé est moins urgente qu'une vulnérabilité moyenne sur un serveur de production exposé à internet.
Le contexte fait la différence
- Exploitabilité : un exploit public existe-t-il ? Est-il activement utilisé par des attaquants (Exploited in the Wild) ?
- Exposition : l'actif est-il accessible depuis internet ou uniquement depuis le réseau interne ?
- Criticité métier : quelles seraient les conséquences d'une compromission de cet actif pour l'activité ?
- Compensations : des mesures de mitigation (pare-feu, segmentation, WAF) réduisent-elles le risque réel ?
Le framework SSVC (Stakeholder-Specific Vulnerability Categorization) du CERT/CC propose une approche décisionnelle qui intègre ces facteurs pour aboutir à quatre actions : traiter immédiatement, planifier, surveiller ou accepter le risque.
Corriger efficacement : le patch management
Stratégie de déploiement des correctifs
Le déploiement de correctifs suit un processus rigoureux : test en environnement de pré-production, déploiement par vagues (pilote, puis progressif), puis validation post-déploiement. Les correctifs critiques (score CVSS ≥ 9 avec exploit actif) doivent être appliqués dans un délai de 48 heures. Les correctifs importants dans les 7 jours. Les autres dans le cycle mensuel standard.
- Testez le correctif sur un échantillon représentatif de machines (5 à 10 % du parc).
- Surveillez les retours pendant 24 heures avant d'élargir le déploiement.
- Documentez chaque déploiement pour assurer la traçabilité et faciliter le rollback si nécessaire.
Gérer les systèmes non patchables
Certains systèmes ne peuvent pas être mis à jour : applications métier legacy, équipements industriels, systèmes embarqués. Pour ces actifs, appliquez des mesures compensatoires : segmentation réseau stricte, surveillance renforcée, virtual patching via le WAF ou l'IPS. Le pentest régulier permet de vérifier que ces compensations sont réellement efficaces.
Automatiser et mesurer
Indicateurs clés de performance
- MTTD (Mean Time to Detect) : temps moyen entre la publication d'une vulnérabilité et sa détection dans votre infrastructure. Objectif : moins de 72 heures.
- MTTR (Mean Time to Remediate) : temps moyen de correction. Objectif : 7 jours pour les vulnérabilités critiques, 30 jours pour les importantes.
- Taux de couverture : pourcentage des actifs effectivement scannés par rapport à l'inventaire total.
L'intégration du scan de vulnérabilités avec votre SIEM et votre solution EDR crée une boucle de détection-correction qui réduit continuellement la surface d'attaque.
En résumé : maîtrisez votre gestion des vulnérabilités
Un programme de gestion des vulnérabilités mature ne se résume pas à lancer un scanner une fois par trimestre. C'est un cycle continu qui s'articule autour de quatre phases essentielles.
Découverte : maintenez un inventaire exhaustif et à jour de tous vos actifs — serveurs, postes, équipements réseau, applications SaaS. Vous ne pouvez pas protéger ce que vous ne connaissez pas.
Évaluation : scannez l'ensemble du périmètre au minimum une fois par semaine. Croisez les résultats avec les bases CVE et le catalogue KEV (Known Exploited Vulnerabilities) de la CISA pour identifier les failles activement exploitées dans la nature.
Priorisation : ne corrigez pas tout en même temps. Utilisez un score combinant la criticité CVSS, l'exposition réseau de l'actif et sa valeur métier. Une faille moyenne sur un serveur exposé à Internet est plus urgente qu'une faille critique sur un poste isolé.
Remédiation : fixez des SLA de correction clairs — 48 heures pour les critiques exploitées, 15 jours pour les hautes, 30 jours pour les moyennes. Suivez le taux de conformité à ces SLA comme indicateur clé de votre posture de sécurité. C'est cette discipline qui transforme un scan en véritable réduction du risque.
ACME propose un service de gestion des vulnérabilités continu : scans hebdomadaires, priorisation contextuelle, patch management automatisé et reporting mensuel. Nos clients bénéficient d'un MTTR moyen de 5 jours sur les vulnérabilités critiques, contre une moyenne sectorielle de 60 jours.
FAQ
À quelle fréquence faut-il scanner son infrastructure ?
Les bonnes pratiques recommandent un scan complet hebdomadaire et un scan ciblé après chaque changement majeur (déploiement d'un nouveau serveur, mise à jour applicative, modification réseau). Les actifs exposés à internet doivent être scannés quotidiennement. Les référentiels PCI-DSS imposent un scan trimestriel au minimum, mais cette fréquence est insuffisante pour une posture de sécurité proactive.
Le scan de vulnérabilités peut-il perturber la production ?
Un scan authentifié bien configuré a un impact minimal sur les performances (moins de 5 % de charge CPU supplémentaire). Planifiez les scans en heures creuses pour les systèmes sensibles. Les scanners modernes proposent des profils « safe check » qui désactivent les tests intrusifs susceptibles de provoquer un déni de service. En revanche, un scan non authentifié envoie davantage de requêtes pour compenser le manque d'informations, ce qui peut générer plus de trafic.
Quelle est la différence entre un scan de vulnérabilités et un pentest ?
Le scan de vulnérabilités est automatisé et identifie les failles connues à grande échelle. Le pentest (test d'intrusion) est réalisé manuellement par un expert qui exploite les vulnérabilités pour démontrer leur impact réel et identifier les chaînes d'attaque complexes. Les deux sont complémentaires : le scan assure une couverture continue, le pentest valide ponctuellement la posture de sécurité en profondeur.