Quelle est la difference entre la gestion des vulnerabilites et l'analyse de vulnerabilites ?

L'analyse de vulnerabilites est une etape au sein de la gestion des vulnerabilites — c'est le processus automatise de decouverte des faiblesses connues. La gestion des vulnerabilites est le programme complet du cycle de vie qui inclut l'analyse, l'evaluation des risques, la hierarchisation, la remediation, la verification, le reporting et la gouvernance. L'analyse sans gestion cree du bruit sans reduire le risque.

A quelle frequence les analyses de vulnerabilites doivent-elles etre executees ?

La bonne pratique est d'executer des analyses reseau authentifiees au moins hebdomadairement, des analyses externes au moins mensuellement et des analyses applicatives (DAST/SAST) dans le cadre du pipeline CI/CD. De nombreux referentiels de conformite exigent des analyses au moins trimestrielles, mais la tendance est a l'analyse continue. Les infrastructures critiques doivent etre analysees quotidiennement.

Quels sont les SLA de remediation typiques pour les vulnerabilites ?

Les SLA courants bases sur la severite CVSS : Critique (CVSS 9.0-10.0) sous 24 a 72 heures, Eleve (7.0-8.9) sous 7 a 14 jours, Moyen (4.0-6.9) sous 30 a 60 jours et Faible (0.1-3.9) sous 90 jours. Ceux-ci doivent etre documentes dans votre politique de gestion des vulnerabilites et suivis comme preuves de conformite.

Qu'est-ce que le CVSS et comment est-il utilise ?

Le Common Vulnerability Scoring System (CVSS) est un referentiel standardise pour noter la severite des vulnerabilites de securite sur une echelle de 0 a 10. Le CVSS v4.0 est la version actuelle. Bien que le CVSS fournisse un score de severite de base, les organisations devraient le combiner avec le renseignement sur les menaces, la criticite des actifs et le contexte metier pour une hierarchisation basee sur le risque.

Quels referentiels de conformite exigent la gestion des vulnerabilites ?

ISO 27001 (A.8.8 — Gestion des vulnerabilites techniques), SOC 2 (CC7.1 — Detection des changements), NIS2 (Article 21 — Gestion et divulgation des vulnerabilites), DORA (Article 9 — Gestion des vulnerabilites TIC) et PCI DSS (Exigence 11 — Tests reguliers de vulnerabilites) exigent tous des programmes formels de gestion des vulnerabilites.

Quelle est la difference entre une vulnerabilite et un exploit ?

Une vulnerabilite est une faiblesse qui pourrait potentiellement etre exploitee. Un exploit est la technique ou le code reel utilise pour tirer parti d'une vulnerabilite. Toutes les vulnerabilites n'ont pas d'exploits connus, c'est pourquoi la hierarchisation basee sur le risque tenant compte de l'exploitabilite est plus efficace que de tout corriger par score CVSS seul.

Comment gerer les vulnerabilites que nous ne pouvons pas corriger immediatement ?

Documentez une exception de risque avec un processus formel d'acceptation du risque. Incluez les details de la vulnerabilite, la justification metier de l'exception, les controles compensatoires en place, une date de reevaluation et l'approbation du proprietaire du risque. Suivez toutes les exceptions dans un registre des risques et revisez-les trimestriellement. C'est une preuve d'audit critique.

Gestion des vulnerabilites : le guide complet pour les equipes securite et conformite

Published 8 mars 2026

By Emre Salmanoglu

Gestion des vulnerabilites : le guide complet pour les equipes securite et conformite

Q: Qu'est-ce que la gestion des vulnerabilites ?

La gestion des vulnerabilites est le processus continu d'identification, de classification, de hierarchisation, de remediation et de signalement des vulnerabilites de securite dans votre environnement informatique. Elle va au-dela de la simple analyse — un programme mature inclut l'inventaire des actifs, la hierarchisation basee sur le risque, les SLA de remediation, la gestion des exceptions et la surveillance continue.

Decouvrez comment construire un programme de gestion des vulnerabilites qui satisfait ISO 27001, SOC 2, NIS2 et DORA. Couvre l'analyse, la hierarchisation, les SLA de remediation et les preuves d'audit.

gestion des vulnerabilites

analyse de vulnerabilites

gestion des correctifs

CVE

conformite

Qu'est-ce que la gestion des vulnerabilites ?

La gestion des vulnerabilites est le processus continu et systematique d'identification, d'evaluation, de traitement et de signalement des vulnerabilites de securite dans l'ensemble du parc technologique d'une organisation. Elle transforme les donnees brutes de vulnerabilites en reduction actionnable du risque.

Un programme mature va bien au-dela de l'execution d'un scanner — il englobe la decouverte des actifs, la hierarchisation basee sur le risque, les flux de remediation, la gestion des exceptions, le suivi des metriques et le reporting de conformite.

Le cycle de vie de la gestion des vulnerabilites

Phase	Activites	Resultats cles
1. Decouverte des actifs	Maintenir un inventaire complet et a jour de tous les materiels, logiciels et actifs cloud	Registre des actifs avec niveaux de criticite
2. Identification des vulnerabilites	Executer des analyses authentifiees, examiner les avis de securite, surveiller les flux de menaces	Resultats bruts de vulnerabilites
3. Hierarchisation	Noter par CVSS + criticite de l'actif + exploitabilite + contexte metier	File de remediation hierarchisee
4. Remediation	Appliquer les correctifs, configurer, mettre a jour ou appliquer des controles compensatoires	Vulnerabilites fermees, enregistrements de changements
5. Verification	Re-analyser pour confirmer les corrections, valider les controles compensatoires	Preuves de verification
6. Reporting	Tableaux de bord de metriques, analyse des tendances, rapports de conformite	Rapports pour la direction et les auditeurs
7. Gouvernance	Revue des politiques, ajustements des SLA, evaluation de la maturite du programme	Politiques mises a jour, ameliorations des processus

Scoring et hierarchisation des vulnerabilites

Niveaux de severite CVSS

Severite	Score CVSS	SLA de remediation typique	Exemples
Critique	9.0 – 10.0	24-72 heures	Execution de code a distance, contournement d'authentification
Eleve	7.0 – 8.9	7-14 jours	Escalade de privileges, injection SQL
Moyen	4.0 – 6.9	30-60 jours	Cross-site scripting, divulgation d'informations
Faible	0.1 – 3.9	90 jours	Problemes de configuration mineurs, bugs a faible impact
Informationnel	0.0	Au mieux	Recommandations de bonnes pratiques

Hierarchisation basee sur le risque

Le CVSS seul est insuffisant. Combinez ces facteurs pour une hierarchisation efficace :

Facteur	Description	Poids
Score de base CVSS	Severite intrinseque de la vulnerabilite	Base
Exploitabilite	Un exploit connu existe-t-il ? Est-il activement exploite ? (catalogue CISA KEV)	Eleve
Criticite de l'actif	Quelle est l'importance du systeme affecte pour l'activite ?	Eleve
Exposition	L'actif est-il expose sur Internet ou uniquement interne ?	Moyen
Sensibilite des donnees	Quel niveau de classification des donnees traite-t-il ?	Moyen
Controles compensatoires	Des controles attenuants sont-ils deja en place ?	Ajustement

Types d'analyses

Type d'analyse	Objectif	Frequence	Outils
Analyse de vulnerabilites reseau	Decouvrir les CVE connus dans les OS et services	Minimum hebdomadaire	Nessus, Qualys, Rapid7 InsightVM
Analyse authentifiee	Analyse approfondie avec identifiants systeme pour des resultats precis	Hebdomadaire	Identiques ci-dessus, avec identifiants
Analyse d'applications web (DAST)	Tester les applications web en cours d'execution pour le Top 10 OWASP	Par release + mensuellement	OWASP ZAP, Burp Suite, Acunetix
Analyse statique (SAST)	Analyser le code source pour trouver des vulnerabilites	A chaque commit (CI/CD)	SonarQube, Checkmarx, Semgrep
Analyse de composition logicielle (SCA)	Identifier les dependances open source vulnerables	A chaque build	Snyk, Dependabot, Grype
Analyse d'images de conteneurs	Analyser les images de conteneurs pour les CVE connus	A chaque build + analyse du registre	Trivy, Grype, Prisma Cloud
Analyse de configuration cloud	Verifier l'infrastructure cloud pour les mauvaises configurations	Continue	Outils CSPM, Prowler
Analyse d'Infrastructure as Code	Analyser les templates IaC avant le deploiement	A chaque commit	Checkov, tfsec, KICS

Construire un programme de gestion des vulnerabilites

Composants essentiels

Composant	Description	Indicateur de maturite
Politique	Politique documentee de gestion des vulnerabilites avec perimetre, roles et SLA	Approuvee par la direction, revisee annuellement
Inventaire des actifs	Inventaire complet et classifie de tous les actifs	Decouverte automatisee, mise a jour en continu
Couverture d'analyse	Tous les actifs analyses selon le calendrier	>95 % de couverture, analyses authentifiees
Cadre de hierarchisation	Approche basee sur le risque au-dela du CVSS brut	Scoring contextuel avec contribution metier
Flux de remediation	Integration ticketing, attribution, suivi	Creation automatique de tickets, suivi des SLA
Gestion des exceptions	Processus formel d'acceptation du risque	Documente, limite dans le temps, approuve
Metriques et reporting	KPI suivis et rapportes a la direction	Tableau de bord avec analyse des tendances
Amelioration continue	Revues regulieres du programme et evaluations de maturite	Scoring de maturite annuel

Metriques cles

Metrique	Ce qu'elle mesure	Objectif
Temps moyen de remediation (MTTR)	Nombre moyen de jours entre la decouverte et la correction	Critique <3 jours, Eleve <14 jours
Couverture d'analyse	% des actifs analyses selon le calendrier	>95 %
Densite de vulnerabilites	Vulnerabilites par actif ou pour 1 000 lignes de code	Tendance a la baisse
Taux de respect des SLA	% de vulnerabilites corrigees dans les SLA	>90 %
Vulnerabilites en retard	Nombre de vulnerabilites au-dela du SLA	Tendance a la baisse
Nombre d'exceptions de risque	Nombre d'exceptions de risque ouvertes	Stable ou en baisse
Taux de recurrence	Vulnerabilites qui reapparaissent apres correction	<5 %

Exigences de conformite

Correspondance avec les referentiels

Exigence	ISO 27001	SOC 2	NIS2	DORA	PCI DSS
Analyse de vulnerabilites	A.8.8	CC7.1	Art. 21(2)(e)	Art. 9(2)	Req. 11.3
Gestion des correctifs	A.8.8	CC7.1	Art. 21(2)(e)	Art. 9(2)	Req. 6.3.3
Hierarchisation basee sur le risque	A.8.8	CC3.2	Art. 21(2)(a)	Art. 9(1)	Req. 6.3.1
Suivi de la remediation	A.8.8	CC7.2	Art. 21(2)(e)	Art. 9(2)	Req. 11.3.3
Gestion des exceptions	A.5.1	CC3.2	Art. 21(1)	Art. 9(1)	Req. 6.3.2
Reporting a la direction	A.5.1	CC4.2	Art. 20	Art. 13	Req. 12.4

Preuves d'audit

Type de preuve	Description	Referentiel
Politique de gestion des vulnerabilites	Politique documentee avec SLA et voies d'escalade	Tous les referentiels
Rapports d'analyse	Resultats d'analyses reguliers montrant la couverture et les resultats	Tous les referentiels
Tickets de remediation	Tickets Jira/ServiceNow avec horodatages et statuts	ISO 27001, SOC 2
Rapports de respect des SLA	Tableau de bord montrant le % corrige dans les SLA	Tous les referentiels
Registre des exceptions	Acceptations de risque documentees avec approbations	Tous les referentiels
Rapports de tendances	Comptes de vulnerabilites et MTTR mois par mois	SOC 2, NIS2
Resultats de tests d'intrusion	Tests d'intrusion annuels validant les controles	ISO 27001, NIS2, DORA

Erreurs courantes

Erreur	Impact	Correction
Analyser sans flux de remediation	Accumulation de vulnerabilites non corrigees	Integrer avec le ticketing, attribuer la propriete
Traiter toutes les vulnerabilites de maniere egale	Fatigue des alertes, ressources mal allouees	Mettre en oeuvre la hierarchisation basee sur le risque
Analyses non authentifiees uniquement	Manquer 40 a 60 % des vulnerabilites	Deployer l'analyse authentifiee
Pas d'inventaire des actifs	Lacunes d'analyse inconnues	Construire et maintenir une decouverte automatisee des actifs
Suivi manuel dans des tableurs	Echecs d'audit, perte de visibilite	Utiliser une plateforme dediee de gestion des vulnerabilites
Ignorer les charges de travail cloud et conteneurs	Angles morts croissants	Etendre l'analyse au cloud, aux conteneurs et a l'IaC
Pas de SLA definis	Aucune responsabilisation pour la remediation	Documenter et imposer des SLA bases sur la severite

Comment Orbiq accompagne la gestion des vulnerabilites

Orbiq vous aide a demontrer vos controles de gestion des vulnerabilites aux clients et auditeurs :

Collecte de preuves — Centralisez les rapports d'analyse, les tickets de remediation et les metriques de SLA
Surveillance continue — Suivez les KPI de gestion des vulnerabilites dans votre environnement
Trust Center — Partagez votre posture de gestion des vulnerabilites via votre Trust Center
Correspondance avec les referentiels — Associez les controles de gestion des vulnerabilites aux exigences ISO 27001, SOC 2, NIS2 et DORA
Preparation aux audits — Packages de preuves pre-elabores pour la revue par les auditeurs

Pour aller plus loin

Tests d'intrusion — Valider l'efficacite de la gestion des vulnerabilites
Gestion de la posture de securite cloud — Detection des vulnerabilites specifiques au cloud
Reponse aux incidents — Gerer les vulnerabilites exploitees
Cadres de gestion des risques — Contexte de risque plus large pour la hierarchisation des vulnerabilites
Audit de securite — Evaluer la posture de securite globale incluant la gestion des vulnerabilites
Securite de la chaine d'approvisionnement — Risques de vulnerabilites tiers