Retour aux actualités
    Vulnérabilités

    Gestion des vulnérabilités et patch management en entreprise

    Les attaquants exploitent les vulnérabilités connues en moyenne dans les 15 jours suivant la publication d'un CVE. Les entreprises, elles, mettent en moyenne 60 jours à patcher leurs systèmes critiques. Ce gap de 45 jours est la fenêtre d'exploitation. Un programme de gestion des vulnérabilités structuré est l'une des mesures les plus efficaces pour réduire le risque cyber — voici comment le construire.

    CVSS, EPSS et KEV : prioriser les vulnérabilités

    Avec des milliers de nouvelles CVE publiées chaque mois, il est impossible de tout patcher immédiatement. La priorisation est critique.

    CVSS (Common Vulnerability Scoring System)

    • Score de 0 à 10 basé sur la complexité d'exploitation, les privilèges requis, l'impact sur la CIA (Confidentialité/Intégrité/Disponibilité)
    • Limitation majeure : le CVSS mesure la gravité théorique, pas la probabilité d'exploitation réelle. Un CVE CVSS 9.8 sans exploit public disponible peut être moins urgent qu'un CVE CVSS 7.2 activement exploité.
    • CVSS v4.0 (2024) ajoute des métriques de sécurité supplémentaires et une meilleure granularité

    EPSS (Exploit Prediction Scoring System)

    • Score de probabilité d'exploitation dans les 30 prochains jours, basé sur le Machine Learning et des données réelles (CTI, activité des scanners, discussions forums)
    • Un CVE CVSS 9.8 avec EPSS 0.5% est moins urgent qu'un CVE CVSS 7.0 avec EPSS 85%
    • Approche recommandée : combiner CVSS ≥ 7 ET EPSS ≥ 10% pour la priorisation des patches urgents

    CISA KEV (Known Exploited Vulnerabilities Catalog)

    • Liste publiée par la CISA des vulnérabilités avec exploitation active confirmée dans la nature
    • Pour les entités fédérales américaines : obligation de patcher les KEV sous 2 semaines. Pour les autres organisations : référence de facto pour les priorités absolues.
    • API publique : filtrer l'output de vos scanners pour alerter immédiatement sur toute KEV détectée dans votre SI

    Scanners de vulnérabilités

    • Tenable Nessus / Tenable.io : référence du marché, plus de 100 000 plugins de détection. Scan réseau authentifié et non-authentifié, scan de configuration (CIS Benchmarks), scan des assets cloud. Tenable.io est la version SaaS avec gestion centralisée.
    • Qualys VMDR : solution SaaS complète (Vulnerability Management, Detection and Response). Agents légers sur les endpoints, scanning réseau, intégration CMDB/ITSM. Prioritization intégrée avec QDS (Qualys Detection Score) combinant CVSS + EPSS + KEV.
    • OpenVAS / Greenbone : alternative open source à Nessus. Greenbone Community Edition gratuite pour les petites organisations. Moins de plugins mais couvre l'essentiel des vulnérabilités courantes.
    • Rapid7 InsightVM : scanner avec risk scoring basé sur l'exposition réelle et les données de threat intelligence. Intégration native avec InsightIDR (SIEM) et Metasploit pour validation des exploits.
    • Microsoft Defender Vulnerability Management : intégré à Defender for Endpoint, couvre les endpoints Windows/Linux/macOS sans agent supplémentaire. Idéal pour les organisations Microsoft 365.

    Scan authentifié vs non-authentifié

    • Scan non-authentifié : simule un attaquant sans credentials — détecte les services exposés, banners, vulnérabilités réseau
    • Scan authentifié (avec credentials ou agent) : accès aux packages installés, registre Windows, configuration — détecte 5x plus de vulnérabilités. Obligatoire pour un programme de vulnérabilités sérieux.
    • Fréquence recommandée : scan complet hebdomadaire, scan continu avec agents pour les assets critiques

    SLA de patching par criticité

    Définir des SLA (Service Level Agreements) de patching est indispensable pour responsabiliser les équipes IT et mesurer la conformité. Référentiel recommandé :

    • Critique (CVSS ≥ 9.0 ou KEV) : patching sous 24 à 72 heures. Pour les systèmes exposés Internet : 24h. Workaround ou isolation immédiate si le patch n'est pas disponible.
    • Haute (CVSS 7.0-8.9) : patching sous 7 à 14 jours. Prioriser selon l'exposition (assets Internet-facing en premier) et l'EPSS.
    • Moyenne (CVSS 4.0-6.9) : patching dans le cycle mensuel de patching régulier (30 jours).
    • Faible (CVSS < 4.0) : patching trimestriel ou lors du prochain cycle de maintenance planifié.
    • Acceptation de risque : pour les vulnérabilités ne pouvant pas être patchées (systèmes legacy, OT), documenter formellement l'acceptation du risque avec approbation RSSI et direction, et mettre en place des compensating controls.

    Patch management Windows et Linux

    Windows

    • Microsoft Intune / Autopatch : gestion des patches Windows en cloud, déploiement automatique par groupes d'appareils, rapports de conformité. Microsoft Autopatch automatise le cycle de patching selon les recommandations Microsoft.
    • WSUS (Windows Server Update Services) : solution on-premises pour les environnements sans connectivité cloud. Approuver les patches par catégorie, déployer par phase (pilote → production).
    • SCCM / ConfigMgr : pour les gros parcs Windows, gestion centralisée des déploiements logiciels et patches avec ciblage avancé par collection.
    • Stratégie ring deployment : déployer d'abord sur 5% des machines (pilotes), attendre 48h, puis 20%, puis le reste — détecte les régressions avant un déploiement massif.

    Linux

    • Unattended Upgrades (Debian/Ubuntu) : installation automatique des patches de sécurité uniquement, sans les mises à jour de fonctionnalités. Configuration via `/etc/apt/apt.conf.d/50unattended-upgrades`.
    • DNF Automatic / yum-cron (RHEL/CentOS) : équivalent pour les distributions Red Hat. Configurer en mode `apply` pour les patches de sécurité uniquement.
    • Ansible : orchestrer les patches sur des centaines de serveurs avec des playbooks, contrôler l'ordre de déploiement et les redémarrages.
    • Canonical Livepatch / RHEL Live Patching : patches kernel sans redémarrage pour les systèmes haute disponibilité (bases de données, serveurs critiques).

    Métriques et tableau de bord VM

    • MTTR (Mean Time To Remediate) : temps moyen de correction par sévérité. Objectif : MTTR Critique < 3 jours, Haute < 14 jours.
    • SLA compliance rate : pourcentage de vulnérabilités corrigées dans les délais définis. Objectif : 95%+ sur les vulnérabilités Critiques/Hautes.
    • Vulnerability debt : nombre total de vulnérabilités ouvertes par sévérité, suivi dans le temps. Indicateur de la tendance (amélioration ou dégradation).
    • Asset coverage : pourcentage des assets couverts par les scans. Un scan couvrant 95% des assets est plus efficace qu'un scan parfait sur 60%.
    • Reporting mensuel RSSI : tableau de bord avec les métriques clés, les actifs les plus exposés, et le plan d'action pour les vulnérabilités hors SLA.

    Programme de gestion des vulnérabilités clé en main

    Nous déployons et opérons votre programme de vulnerability management : sélection et déploiement du scanner adapté, définition des SLA, intégration avec votre SIEM et votre ITSM, et reporting mensuel pour le RSSI et la direction.

    Lancer votre programme VM

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.