Chaque mois, des milliers de vulnérabilités (CVE) sont publiées. Aucune organisation ne peut tout corriger immédiatement. La vraie compétence n'est donc pas de « tout patcher », mais de corriger ce qui compte, dans le bon ordre. Voici comment passer du flux de CVE à une remédiation efficace.
CVE, CVSS : de quoi parle-t-on ?
Une CVE est l'identifiant unique d'une vulnérabilité connue. Le score CVSS lui attribue une gravité théorique de 0 à 10. Utile, mais insuffisant : une faille « critique » sur un composant que vous n'exposez pas est moins urgente qu'une faille « moyenne » sur votre portail public activement attaqué. Le score seul ne dit pas votre risque réel.
Prioriser par l'exposition et l'exploitabilité
Pour trier le bruit, croisez trois questions :
- Suis-je exposé ? Le composant vulnérable est-il présent, accessible, et depuis où (Internet, interne) ?
- Est-ce exploité ? Le catalogue KEV de la CISA recense les vulnérabilités activement exploitées ; le score EPSS estime la probabilité d'exploitation. Une faille déjà exploitée passe en tête.
- Quel impact métier ? Que protège ou expose le système concerné ?
Cette lecture par le risque rejoint la maîtrise de la surface d'attaque : on ne peut prioriser que ce que l'on a d'abord inventorié.
Traiter chaque CVE critique en urgence sature les équipes et retarde les vrais sujets. Mieux vaut un processus qui remonte en priorité les failles exposées et exploitées, quitte à traiter le reste selon un rythme soutenable.
Un cycle, pas une action ponctuelle
La gestion des vulnérabilités se pilote en boucle :
- Inventorier les actifs et leurs composants (on ne corrige que ce qu'on connaît).
- Détecter les vulnérabilités par des scans réguliers et la veille (CERT-FR, éditeurs).
- Prioriser par le risque réel, pas par le seul CVSS.
- Remédier : correctif, contournement ou réduction d'exposition quand le patch n'est pas disponible.
- Vérifier que la correction est effective, et suivre les dérives dans le temps.
En résumé
Gérer ses vulnérabilités, ce n'est pas courir après chaque CVE, c'est transformer un flux ingérable en une file d'attente priorisée par le risque. Inventaire, veille, priorisation par l'exposition et l'exploitabilité, remédiation vérifiée : c'est un processus continu, et c'est ce qui distingue une organisation qui subit d'une organisation qui maîtrise.
Kenawek vous aide à cartographier votre exposition, prioriser par le risque et suivre la remédiation jusqu'au bout. Parlons-en.