Évaluation des Vulnérabilités

Pourquoi C'est Important

Les entreprises modernes gèrent des milliers d'actifs cloud, on-premises, mobiles et IoT. Chacun peut héberger des vulnérabilités connues (CVEs), des mauvaises configurations ou des paramètres insécures. Sans programme systématique, les organisations sont aveugles aux faiblesses que les attaquants trouveront.

La violation Equifax 2017 a exploité une vulnérabilité Apache Struts non corrigée divulguée deux mois plus tôt. Log4Shell (CVE-2021-44228) a donné l'exécution distante sur des millions de systèmes. L'évaluation de vulnérabilités est un prérequis à la gestion des risques.

Le Processus

1. Découverte des Actifs

On ne peut pas protéger ce qu'on ne connaît pas. Combinez découverte réseau, télémétrie d'agents, APIs cloud, intégration CMDB et gestion de surface d'attaque externe.

2. Scan

Le scan authentifié donne de bien meilleurs résultats que le non authentifié.

3. Validation

Les scanners produisent des faux positifs. Validez les findings critiques manuellement ou via corrélation.

4. Priorisation

Risque = CVSS × EPSS × Criticité × Exposition

Indicateurs critiques :
- CVE dans CISA KEV (exploitation prouvée)
- EPSS > 50 %
- Actif exposé à Internet
- Données sensibles
- Pas de contrôles compensatoires

5. Remédiation

Patchs, changements de configuration, contrôles compensatoires ou acceptation documentée. SLAs par sévérité : Critique 7 jours, Élevé 30 jours, Moyen 90 jours.

6. Vérification

Re-scan pour confirmer. MTTR comme KPI clé.

Standards et Sources

• CVE (MITRE), NVD, CWE
• CISA KEV : vulnérabilités exploitées
• EPSS : probabilité d'exploitation

Meilleures Pratiques

1. Scan continu plutôt que trimestriel.
2. Scans authentifiés dès que possible.
3. Priorisation par risque (CVSS + EPSS + contexte).
4. CISA KEV en priorité immédiate.
5. Intégration ticketing pour SLAs.
6. Mesurer le MTTR.

Concepts Liés

• Gestion des Risques
• Threat Hunting
• Cadre de Sécurité
• Exploit