La gestion des vulnérabilités consiste à identifier, analyser, prioriser et corriger les failles de sécurité avant qu’elles ne soient exploitées. Bien qu’elle ne soit pas l’aspect le plus spectaculaire de la cybersécurité, sa nature proactive en fait un pilier essentiel.
En effet, si les organisations se concentrent souvent sur le Detect & Respond, une sécurité efficace repose autant sur le Assess & Prevent. À l’image de la sécurité physique : une alarme (Detect & Respond) ne suffit pas si l’on n’a pas de serrure (Assess & Prevent).
Les systèmes obsolètes, non corrigés face aux dernières vulnérabilités, représentent des cibles de choix pour les cybercriminels. L’analyse incidents de ransomware menée par la société de cyber risk intelligence Bitsight livre d’ailleurs un constat sans appel:
Les organisations dont le rythme de déploiement des correctifs est lent, sont sept fois plus susceptibles d’être victimes d’une attaque par ransomware que celles qui patchent régulièrement leurs systèmes.
Les vulnérabilités identifiées reçoivent généralement un identifiant unique CVE (Common Vulnerabilities and Exposures). Leur criticité est ensuite évaluée à l’aide de systèmes de notation comme le CVSS (Common Vulnerability Scoring System) ou le VPR (Vulnerability Priority Rating) de Tenable.
De nombreux CISO estiment que chaque nouvelle vulnérabilité identifiée doit être corrigée immédiatement. Pourtant, cette approche n’est pas toujours la plus efficace pour optimiser les ressources. Ces dernières années, seule une infime proportion - environ 2 % - des nouvelles CVE a réellement été exploitée.
En revanche, les données cumulées révèlent qu’environ 6 % de l’ensemble des CVE publiées ont été exploitées dans la réalité en 2024, selon le rapport de Cyentia intitulé «A Visual Exploration of Exploits in the Wild». Cela prouve que les cybercriminels ne ciblent pas uniquement les failles récentes, mais aussi des vulnérabilités plus anciennes laissées de côté par les organisations.
Ces statistiques prouvent que des SLA stricts qui imposent une remédiation rapide des vulnérabilités doivent évoluer vers une approche plus nuancée, basée sur le risque. Au-delà des scores CVSS et/ou VPR d’une vulnérabilité, il est crucial de prendre en compte le contexte des systèmes concernés : sont-ils internes ou externes ? Hébergent-ils des services critiques ? Quand est prévu le prochain cycle de patching ? Cette approche permet de concentrer les efforts là où l’impact potentiel sur le business est le plus fort.
Une gestion efficace des vulnérabilités commence par une gestion des actifs via une CMDB (Configuration Management Database), afin de garantir une visibilité complète sur l’ensemble de vos systèmes - qu’ils soient on-premise ou dans le cloud, IT ou OT. Il convient ensuite de croiser les scores de vulnérabilité avec le contexte de ces actifs pour établir une priorisation basée sur le risque (comme mentionné précédemment : leur localisation et leur criticité). L’ensemble doit s’inscrire dans un processus global continu, permettant enfin de passer d’un patching réactif à une gestion proactive des risques.
La gestion de la conformité permet aux organisations de s’aligner sur les exigences réglementaires, les normes sectorielles et les bonnes pratiques. Dans le domaine de la cybersécurité, elle consiste à analyser les configurations des systèmes IT, à les évaluer, puis à les corriger ou les renforcer pour répondre aux exigences établies.
Pour ce faire, les organisations s'appuient généralement sur les benchmarks du CIS (Center for Internet Security). Ces référentiels de configuration regroupent les bonnes pratiques pour sécuriser différentes familles de produits : des systèmes d’exploitation pour des serveurs comme Windows et Linux, aux configurations applicatives pour les serveurs web et les bases de données.
Tout comme pour la gestion des vulnérabilités, une gestion de la conformité efficace repose sur une bonne gestion des actifs via une CMDB. Il est essentiel d’identifier l’ensemble de votre environnement IT, afin de pouvoir attribuer à chaque actif sa propre baseline de configuration. Ce n’est qu’ainsi que vous aurez la certitude que vos scans CIS couvrent correctement l’intégralité de vos systèmes.
Une fois encore, comme pour la gestion des vulnérabilités, les écarts par rapport aux baselines doivent être enrichis par le contexte de l’actif pour permettre une priorisation basée sur le risque. Les points de contrôle CIS (mesures de protection) les plus critiques peuvent alors être déployés en priorité. Le tout doit s’intégrer à l’échelle de l’organisation, assurant un suivi continu de la conformité de l’environnement IT et garantissant le renforcement de l’ensemble des composants de l’infrastructure.
Comme cette explication le montre clairement, la gestion des vulnérabilités et la gestion de la conformité commencent toutes deux par la maîtrise des actifs, tirent parti du contexte pour une priorisation basée sur le risque et doivent être pleinement intégrées aux processus métiers de l’organisation. Leur convergence permet dès lors de générer des gains opérationnels tangibles, qui résultent des modes d’intégration suivants :
These benefits arise from the following types of integrations:
Des réglementations récentes comme NIS2 mettent elles aussi en avant l’importance de ces approches intégrées, orientées risque.