Que sont les SLA de correction ?

Les SLA de correction definissent le delai maximal autorise entre la disponibilite d'un correctif et son deploiement, en fonction de la severite de la vulnerabilite. Les SLA courants sont : vulnerabilites critiques (CVSS 9.0-10.0) sous 24 a 72 heures, vulnerabilites elevees (CVSS 7.0-8.9) sous 7 a 14 jours, vulnerabilites moyennes (CVSS 4.0-6.9) sous 30 jours, et vulnerabilites faibles (CVSS 0.1-3.9) sous 90 jours. Les SLA doivent etre documentes dans la politique et suivis pour les preuves de conformite.

Quelle est la difference entre la gestion des correctifs et la gestion des vulnerabilites ?

La gestion des vulnerabilites est le processus plus large de decouverte, d'evaluation, de priorisation et de remediation des vulnerabilites — la correction est une methode de remediation. La gestion des vulnerabilites comprend l'analyse des vulnerabilites, la priorisation basee sur les risques, la remediation (qui peut inclure la correction, les modifications de configuration ou les controles compensatoires) et la verification. La gestion des correctifs se concentre specifiquement sur le deploiement des mises a jour logicielles fournies par les editeurs pour corriger les vulnerabilites connues.

Comment appliquer des correctifs sans provoquer d'interruption de service ?

Les strategies pour minimiser les interruptions comprennent : l'utilisation de fenetres de maintenance pendant les periodes de faible trafic, la mise en oeuvre de deploiements bleu-vert ou canary pour les applications, l'application de correctifs a chaud du systeme d'exploitation lorsque cela est supporte (live patching du noyau Linux, hot patching Windows), l'utilisation de mises a jour progressives dans les environnements containerises, le maintien de systemes redondants pouvant etre corriges en sequence, et le test des correctifs dans des environnements de pre-production avant le deploiement en production.

Qu'est-ce qu'un controle compensatoire pour les correctifs ne pouvant pas etre appliques ?

Lorsqu'un correctif ne peut pas etre immediatement applique (incompatibilite systeme, contraintes operationnelles), les controles compensatoires reduisent le risque jusqu'a ce que le correctif puisse etre deploye. Les exemples incluent : la segmentation reseau pour isoler le systeme vulnerable, la surveillance et les alertes supplementaires pour les tentatives d'exploitation, les regles WAF ou correctifs virtuels pour les vulnerabilites des applications web, la desactivation de la fonctionnalite ou du service vulnerable, les restrictions d'acces renforcees et la journalisation amelioree. Tous les controles compensatoires doivent etre documentes avec un calendrier pour la correction definitive.

Comment gerer la correction des applications tierces ?

La correction des applications tierces necessite : le maintien d'un inventaire de tous les logiciels installes avec leurs versions, l'abonnement aux avis de securite des editeurs, l'utilisation d'outils de gestion des correctifs supportant les applications tierces (SCCM, Intune, Automox, Ivanti), le test des correctifs tiers pour la compatibilite avant deploiement, le suivi separe de la correction des applications tierces par rapport a la correction du systeme d'exploitation, et l'inclusion des applications tierces dans l'analyse des vulnerabilites. Les applications tierces sont frequemment exploitees et ne doivent pas etre negligees.

Quels referentiels de conformite exigent la gestion des correctifs ?

ISO 27001 (A.8.8 — Gestion des vulnerabilites techniques), SOC 2 (CC7.1 — Gestion des vulnerabilites), NIS2 (Article 21(2)(e) — Securite dans l'acquisition et le developpement des reseaux et systemes d'information, y compris le traitement des vulnerabilites) et DORA (Article 9(2) — Systemes TIC mis a jour) exigent tous la gestion des correctifs. Les auditeurs recherchent specifiquement des politiques de correction documentees, des preuves de conformite aux SLA et des processus de gestion des exceptions.

Comment mesurer l'efficacite de la gestion des correctifs ?

Les indicateurs cles comprennent : le taux de conformite des correctifs (pourcentage de systemes entierement corriges dans les SLA), le delai moyen de correction (nombre moyen de jours entre la publication du correctif et son deploiement), la couverture des correctifs critiques (pourcentage de correctifs critiques appliques dans les SLA), le nombre d'exceptions (nombre de systemes avec des exceptions de correction approuvees), l'ecart analyse-remediation (delai entre la decouverte de la vulnerabilite et sa resolution), et le taux d'echec des correctifs (pourcentage de correctifs necessitant un retour arriere). Suivez ces indicateurs mensuellement et observez les tendances dans le temps.

Gestion des correctifs : le guide complet pour les equipes conformite et securite

Published 8 mars 2026

By Emre Salmanoglu

Gestion des correctifs : le guide complet pour les equipes conformite et securite

Q: Qu'est-ce que la gestion des correctifs ?

La gestion des correctifs est le processus d'identification, d'acquisition, de test et de deploiement des mises a jour logicielles (correctifs) pour corriger les vulnerabilites de securite, les bugs et les problemes de performance dans l'environnement informatique d'une organisation. Elle couvre les systemes d'exploitation, les applications, les firmwares et les services cloud. Une gestion efficace des correctifs est l'un des controles de securite les plus critiques, car les vulnerabilites non corrigees constituent le vecteur d'attaque dans la majorite des violations de donnees.

Decouvrez comment mettre en oeuvre une gestion des correctifs conforme aux exigences ISO 27001, SOC 2, NIS2 et DORA. Couvre les strategies de correction, les delais SLA, la priorisation des vulnerabilites et les preuves de conformite.

gestion des correctifs

gestion des vulnerabilites

mises a jour de securite

conformite

cybersecurite

Qu'est-ce que la gestion des correctifs ?

La gestion des correctifs est le processus systematique d'identification, de test et de deploiement des mises a jour logicielles pour corriger les vulnerabilites de securite et les bugs dans l'environnement informatique d'une organisation. Les vulnerabilites non corrigees restent l'un des vecteurs d'attaque les plus exploites, faisant de la gestion des correctifs l'un des controles de securite les plus impactants qu'une organisation puisse mettre en oeuvre.

Pour les organisations orientees conformite, la gestion des correctifs est un controle fondamental exige par ISO 27001, SOC 2, NIS2 et DORA, les auditeurs examinant specifiquement les politiques de correction, la conformite aux SLA et la gestion des exceptions.

Cadre de SLA de correction

Severite	Score CVSS	SLA de correction	Exemple
Critique	9.0-10.0	24-72 heures	Execution de code a distance, exploits zero-day
Elevee	7.0-8.9	7-14 jours	Elevation de privileges, contournement d'authentification
Moyenne	4.0-6.9	30 jours	Divulgation d'informations, cross-site scripting
Faible	0.1-3.9	90 jours	Fuite d'informations mineure, bugs a faible impact

Processus de gestion des correctifs

Phase	Activites	Resultat
Decouverte	Identifier les correctifs disponibles aupres de tous les editeurs	Inventaire des correctifs avec classement par severite
Evaluation	Evaluer l'applicabilite et le risque de chaque correctif	Liste de correctifs priorisee
Test	Tester les correctifs dans un environnement de pre-production pour la compatibilite	Resultats de test et approbation
Planification	Planifier les fenetres de deploiement, preparer les plans de retour arriere	Calendrier de deploiement et demandes de changement
Deploiement	Deployer les correctifs sur les systemes de production	Journaux de confirmation de deploiement
Verification	Scanner pour confirmer l'application des correctifs, tester les fonctionnalites	Resultats de scan post-correction
Reporting	Documenter la conformite, suivre les exceptions	Rapport de conformite des correctifs

Outils de gestion des correctifs

Categorie	Outils	Cas d'utilisation
Entreprise	SCCM/MECM, Ivanti, ManageEngine	Environnements on-premises de grande taille
Cloud natif	AWS Systems Manager, Azure Update Manager	Correction de l'infrastructure cloud
Unifie	Automox, Tanium, NinjaRMM	Environnements multi-plateformes et hybrides
Conteneurs	Dependabot, Renovate, Snyk	Correction des dependances applicatives
Linux	Canonical Livepatch, Red Hat Satellite	Environnements de serveurs Linux
Vulnerabilites	Qualys, Tenable, Rapid7	Priorisation des correctifs basee sur les vulnerabilites

Indicateurs de conformite des correctifs

Indicateur	Objectif	Methode de mesure
Taux de conformite des correctifs	> 95 %	Systemes corriges dans les SLA / total des systemes
Delai moyen de correction (critique)	< 72 heures	Nombre moyen de jours entre la publication et le deploiement
Couverture des correctifs critiques	100 %	Correctifs critiques appliques dans les SLA
Nombre d'exceptions	< 5 % des actifs	Systemes avec des exceptions approuvees
Taux d'echec des correctifs	< 2 %	Correctifs necessitant un retour arriere
Couverture des scans	100 %	Actifs inclus dans l'analyse des vulnerabilites

Exigences de conformite

Correspondance avec les referentiels

Exigence	ISO 27001	SOC 2	NIS2	DORA
Gestion des vulnerabilites	A.8.8	CC7.1	Art. 21(2)(e)	Art. 9(2)
Correction en temps opportun	A.8.8	CC7.1	Art. 21(2)(e)	Art. 9(2)
Gestion des changements	A.8.32	CC8.1	Art. 21(2)(e)	Art. 9(4)(e)
Evaluation des risques	A.8.8	CC3.2	Art. 21(2)(a)	Art. 9(1)
Tests	A.8.29	CC8.1	Art. 21(2)(e)	Art. 9(4)(e)

Preuves d'audit

Type de preuve	Description	Referentiel
Politique de gestion des correctifs	Politique documentee avec des SLA par severite	Tous les referentiels
Rapports de conformite des correctifs	Rapports mensuels montrant le respect des SLA	Tous les referentiels
Registre des exceptions	Exceptions documentees avec acceptation du risque et plans de remediation	Tous les referentiels
Resultats d'analyse des vulnerabilites	Comparaisons de scans avant et apres correction	Tous les referentiels
Registres de changements	Tickets de changement pour les deploiements de correctifs	ISO 27001, SOC 2
Resultats de tests	Preuve de test des correctifs avant deploiement en production	Tous les referentiels
Procedures de retour arriere	Procedures documentees pour les correctifs echoues	ISO 27001, DORA

Erreurs courantes

Erreur	Risque	Solution
Pas de SLA de correction definis	Aucune responsabilite sur la rapidite de correction	Documenter des SLA bases sur la severite dans la politique
Corriger le SE mais pas les applications	Vulnerabilites des applications tierces exploitees	Inclure tous les logiciels dans le perimetre de correction
Pas de test en environnement de pre-production	Les correctifs cassent les systemes de production	Tester en pre-production avant le deploiement en production
Ignorer les firmwares et l'IoT	Les equipements reseau et IoT restent vulnerables	Inclure les firmwares dans l'inventaire des correctifs
Suivi manuel uniquement	Correctifs manques, lacunes de conformite non detectees	Utiliser des outils automatises de gestion des correctifs
Pas de processus d'exception	Systemes non corriges sans documentation ni acceptation du risque	Processus d'exception formel avec controles compensatoires

Comment Orbiq soutient la conformite en matiere de gestion des correctifs

Orbiq vous aide a demontrer vos controles de gestion des correctifs :

Collecte de preuves — Centralisez les politiques de correction, les rapports de conformite et les registres d'exceptions
Surveillance continue — Suivez les taux de conformite des correctifs et le respect des SLA
Trust Center — Partagez votre posture de gestion des vulnerabilites via votre Trust Center
Correspondance de conformite — Associez les controles de correction a ISO 27001, SOC 2, NIS2 et DORA
Preparation aux audits — Dossiers de preuves pre-construits pour l'examen des auditeurs

Pour aller plus loin

Gestion des vulnerabilites — Cycle de vie complet des vulnerabilites
Gestion des changements — Controle des changements pour les deploiements de correctifs
Securite des endpoints — Protection des endpoints incluant la correction
Securite cloud — Correction dans les environnements cloud
DevSecOps — Correction automatisee dans les pipelines CI/CD