CVE et vulnérabilités critiques : prioriser et remédier en 2026
En 2025, plus de 29 000 CVE ont été publiées — soit 80 vulnérabilités par jour. Face à ce flux continu, les équipes sécurité doivent prioriser intelligemment plutôt que de tout patcher. Voici la méthode structurée pour gérer les vulnérabilités critiques et satisfaire aux exigences NIS2.
Le triptyque CVSS + EPSS + KEV
Le CVSS 3.1 (Common Vulnerability Scoring System) note la sévérité de 0 à 10 : critique (9–10), élevé (7–8.9), moyen (4–6.9), faible (<4). Mais le CVSS mesure la sévérité théorique, pas la probabilité d'exploitation réelle.
L'EPSS (Exploit Prediction Scoring System) de FIRST.org prédit la probabilité qu'une vulnérabilité soit exploitée dans les 30 jours suivants. Combiner CVSS + EPSS réduit de 87 % le volume de patches à traiter en urgence.
Le catalogue KEV de la CISA liste les vulnérabilités activement exploitées dans la nature (1 200+ entrées). Toute CVE présente dans le KEV doit être patchée en urgence, quel que soit son score CVSS.
SLA de remédiation recommandés
KEV CISA ou CVSS ≥ 9.0
Patch sous 24 à 72 heures. Mesure compensatoire immédiate si impossible (isolation réseau, désactivation du service).
CVSS 7.0–8.9 + EPSS > 0.1
Patch sous 7 jours. Priorité haute dans le backlog de l'équipe IT.
CVSS 4.0–6.9
Patch sous 30 à 90 jours selon l'EPSS et le contexte d'exposition (système exposé sur Internet vs interne).
CVSS < 4.0
Best effort. Intégré au cycle trimestriel ou annuel de maintenance.
Outils de scan de vulnérabilités
- Tenable.io / Nessus : référence du marché, intègre EPSS et KEV, couverture complète (réseau, web, cloud, OT).
- Qualys VMDR : priorisation automatique par risque, intégration ITSM (ServiceNow, JIRA), reporting de conformité.
- OpenVAS / Greenbone : solution open source pour les PME, scanner réseau complet, interface web GSAD.
- Wiz / Orca Security : spécialisés cloud (AWS, Azure, GCP), découverte sans agent, intégration CI/CD.
- Trivy : open source, conteneurs Docker, IaC, dépendances applicatives — parfait pour les environnements DevSecOps.
Conformité NIS2 et gestion des vulnérabilités
L'article 21 de la directive NIS2 impose aux entités essentielles et importantes de mettre en place des politiques de gestion des vulnérabilités documentées. Les preuves à fournir en cas d'inspection ANSSI incluent :
- • Politique de gestion des vulnérabilités avec SLA formalisés et approuvés par la direction.
- • Registre des vulnérabilités actives avec état de remédiation et date de clôture.
- • Rapports de conformité patch produits trimestriellement (% patchés dans les SLA).
- • Résultats des scans de vulnérabilités périodiques et actions correctives.
- • Documentation des risques acceptés avec justification et signature du RSSI.
Gérer les systèmes non patchables
Certains systèmes (serveurs legacy, OT/IoT, applications critiques sans fenêtre de maintenance) ne peuvent pas être patchés immédiatement. Les mesures compensatoires obligatoires :
- • Segmentation réseau : isoler les actifs vulnérables dans des VLAN dédiés avec ACLs strictes.
- • Virtual patching : WAF ou IPS pour bloquer l'exploitation de la vulnérabilité sans modifier le système.
- • Monitoring renforcé : règles SIEM spécifiques pour détecter toute tentative d'exploitation.
- • Document d'acceptation de risque : formalisé, daté, signé par le responsable métier et le RSSI.