Processus de gestion des vulnérabilités : le guide complet

Intelligence › Guides › Gestion des vulnérabilités

Corriger des failles au fil de l'eau ne tient pas dans la durée. Ce qui tient, c'est un processus : un cycle répétable qui transforme le flot continu de vulnérabilités en un nombre limité d'actions priorisées et tracées. Voici comment le construire, que vous partiez de rien ou que vous vouliez structurer l'existant.

L'essentiel décideur
La gestion des vulnérabilités n'est pas « passer un scanner de temps en temps ». C'est un cycle continu en six étapes — inventaire, veille, évaluation, remédiation, vérification, reporting — avec des délais de correction écrits selon la criticité. L'objectif n'est pas le « zéro vulnérabilité » (impossible), mais de toujours traiter les bonnes failles à temps, et de pouvoir le prouver.

Le cycle de gestion des vulnérabilités

Exemple de SLA de remédiation par niveau de priorité

Des délais clairs et écrits transforment « il faudrait patcher » en engagement mesurable. À adapter à votre contexte et à votre tolérance au risque.

Le cycle, étape par étape technique

1. Inventaire. Le socle. Sans connaître vos actifs (matériels, logiciels, versions, services exposés sur Internet, dépendances), aucune priorisation n'a de sens. Tenez un inventaire vivant ; identifiez en particulier la surface exposée.

2. Veille. Agrégez des sources fiables : NVD (CVE), KEV (CISA), EPSS (FIRST), avis éditeurs et CERT. L'enjeu n'est pas d'avoir plus d'info, mais de la filtrer sur votre parc.

3. Évaluation & priorisation. Le cœur du réacteur. Croisez gravité (CVSS), probabilité (EPSS) et exploitation avérée (KEV), pondérés par l'exposition réelle de l'actif chez vous. Une CVSS 9.8 sur un service non exposé et jamais attaqué ne vaut pas une 7.5 exploitée en façade.

4. Remédiation. Patch quand c'est possible ; sinon contournement ou mesure compensatoire (segmentation, restriction d'accès, désactivation, MFA) pour réduire l'exposition en attendant.

5. Vérification. Un correctif déployé n'est pas un correctif effectif. Re-scannez / re-testez pour confirmer.

6. Reporting. Mesurez : nombre de failles critiques ouvertes, délai moyen de remédiation (MTTR), respect des SLA. C'est ce qui rend le processus pilotable — et auditable (utile pour ISO 27001 ou NIS2).

Définir des SLA de remédiation

Le levier le plus sous-estimé : écrire des délais cibles par niveau de priorité. Cela transforme une intention floue en engagement mesurable.

Priorité	Critère type	Délai cible
P0	KEV, ou exploité + exposé	24–48 h
P1	CVSS ≥ 7 et EPSS élevé	7 jours
P2	Grave mais peu probable	30 jours
P3	Faible impact / interne	Cycle normal (90 j)

Erreur fréquente : viser la perfection. Un processus imparfait mais régulier et tracé protège bien mieux qu'un grand audit annuel suivi de six mois d'inaction.

Par où commencer concrètement

Semaine 1 : inventaire des actifs exposés sur Internet. C'est là que se jouent la majorité des compromissions.
Semaine 2 : branchez une veille filtrée sur votre parc (FactualRisk fait exactement ça : priorisation P0–P3 prête à l'emploi).
Semaine 3 : écrivez vos SLA et nommez un responsable par étape.
En continu : 30 min/semaine de traitement + un reporting mensuel simple (MTTR, P0 ouvertes).

Si vous voulez démarrer ce processus sans partir d'une page blanche, c'est typiquement le genre de cadrage que j'accompagne — adapté à vos moyens réels.

Pour aller plus loin

Comprendre l'EPSS Le catalogue KEV Prioriser sans équipe sécu La base CVE priorisée

Prioriser ça dans VOTRE SI ?

La donnée est gratuite. Pour un avis sur l'impact réel sur votre parc et un plan de remédiation, on en parle.

Réserver un call 30 min →