Gestion des vulnérabilités : CVE, scanning et patching efficace
La gestion des vulnérabilités échoue rarement à cause d’un manque de scanners.
Elle échoue parce que :
- il y a trop de findings
- personne ne sait quoi prioriser
- les exceptions deviennent permanentes
Objectif : une démarche qui réduit le risque sans paralyser les équipes.
1) CVE ≠ risque (et CVSS ne suffit pas)
Une CVE a un score (CVSS), mais le risque réel dépend de :
- exposition (internet ? réseau interne ?)
- actif (poste user vs serveur prod)
- exploitabilité (PoC public ? exploitation active ?)
- contrôles (WAF, segmentation, EDR, authent)
Priorise par contexte, pas par score brut.
2) Le pipeline “sain” de vulnérabilités
- Découverte (scanner, SCA, image scanning)
- Triage (faux positifs, doublons)
- Priorisation (exposition/actif/exploit)
- Remédiation (patch / config / mitigation)
- Vérification (re-scan)
- Exceptions contrôlées (avec expiration)
3) Patching : la vraie discipline
Bon patching :
- une fenêtre régulière (hebdo/mensuelle)
- des environnements (dev/staging/prod)
- des rollbacks
- un suivi clair (SLA par criticité)
Astuce : patcher “un peu tout le temps” est souvent plus facile que “tout d’un coup”.
4) Exceptions : oui, mais avec expiration
Si tu acceptes un risque :
- documente pourquoi
- mets une date de fin
- définis une mitigation temporaire
Sinon, les exceptions deviennent la norme.
5) Là où ça se joue : dépendances et supply chain
Ne regarde pas que l’OS.
- SCA (dépendances applicatives)
- images conteneurs
- SBOM
- secrets leak
Une faille dans une dépendance exposée peut être plus critique qu’un patch kernel interne.
Conclusion
Gestion vulnérabilités = triage + priorisation + patching régulier + exceptions temporaires.
Prochain article : IAM, MFA et Zero Trust.