La gestion des vulnérabilités comme processus : du scan à la remédiation

Écrit par ExposIQ | mars 9, 2026

De nombreuses PME commencent par un scan de vulnérabilités et pensent que le sujet est réglé. Le rapport est archivé, les findings les plus critiques sont peut-être corrigés, puis plus rien ne se passe pendant des mois. Or, un scan unique est comme un instantané : il montre l’état d’un moment précis, pas la réalité d’un réseau en constante évolution.

La gestion des vulnérabilités n’est pas un projet ponctuel, mais un processus continu. Ceux qui comprennent et mettent en oeuvre ce processus réduisent durablement leurs risques. Ceux qui s’arrêtent après le premier scan se bercent d’un faux sentiment de sécurité.

Le cycle de vie de la gestion des vulnérabilités

La gestion professionnelle des vulnérabilités suit un cycle clairement défini en cinq phases. Chaque phase s’appuie sur la précédente, et après la dernière, le cycle recommence.

Phase 1 : Découverte (Discovery)

Avant de pouvoir trouver des vulnérabilités, vous devez savoir ce qui existe dans votre réseau. De nombreuses PME n’ont pas une vue complète de leur infrastructure informatique. Des serveurs de test oubliés, d’anciennes imprimantes réseau avec interface web, des appareils IoT ou du Shadow IT : tous ces actifs représentent des points d’attaque potentiels.

La phase de découverte comprend :

  • Le scan réseau pour identifier tous les appareils et services actifs
  • L’énumération DNS pour détecter tous les sous-domaines accessibles publiquement
  • Le scan de ports pour identifier les services en cours d’exécution et leurs versions
  • La vérification des certificats SSL/TLS de tous les points d’accès externes

Une erreur fréquente : seuls les systèmes connus sont scannés. Ce qui ne figure pas dans l’inventaire des actifs est ignoré, et c’est souvent le plus vulnérable.

Phase 2 : Évaluation (Assessment)

Une fois tous les actifs identifiés, l’analyse des vulnérabilités proprement dite commence. Les systèmes sont alors examinés systématiquement à la recherche de failles de sécurité connues. Les scanners modernes utilisent pour cela de vastes bases de données contenant plus de 64’000 CVEs et des milliers de modèles de vérification.

La phase d’évaluation va au-delà du simple scan de ports :

  • Détection des versions des logiciels installés et des systèmes d’exploitation
  • Vérification des vulnérabilités connues (matching CVE)
  • Analyse de configuration (mots de passe par défaut, paramètres non sécurisés)
  • Détection des logiciels en fin de vie sans mises à jour de sécurité
  • Vérification de la configuration DNS et e-mail (SPF, DKIM, DMARC)

Il est important de distinguer les scans authentifiés des scans non authentifiés. Les scans authentifiés, par exemple avec un agent sur les systèmes, détectent nettement plus de vulnérabilités, car ils peuvent également vérifier les versions des logiciels installés et les configurations locales.

Phase 3 : Priorisation (Prioritization)

Un scan de vulnérabilités typique d’un réseau de PME de taille moyenne génère facilement 200 à 500 findings. Tous ne sont pas aussi critiques, et aucune équipe informatique ne peut tout corriger simultanément. C’est pourquoi la priorisation est décisive.

L’évaluation basée uniquement sur le score CVSS ne suffit pas. Un finding CVSS 9.8 sur un système de test isolé est moins prioritaire qu’un finding CVSS 7.0 sur le serveur de messagerie accessible publiquement. La priorisation moderne prend en compte plusieurs facteurs :

  • Score CVSS : Gravité technique de la vulnérabilité
  • EPSS (Exploit Prediction Scoring System) : Probabilité d’une exploitation active
  • CISA KEV : Vulnérabilités confirmées comme activement exploitées
  • Criticité de l’actif : Quelle est l’importance du système concerné pour l’activité ?
  • Accessibilité : Le système est-il accessible depuis Internet ou uniquement en interne ?

En combinant ces facteurs, vous pouvez cibler vos ressources limitées là où la réduction du risque est la plus importante.

Phase 4 : Remédiation (Remediation)

La remédiation est l’étape où beaucoup de PME échouent. Trouver des vulnérabilités est relativement simple, les corriger nécessite de la planification, des ressources et souvent une coordination entre différentes équipes ou prestataires externes.

Les stratégies de remédiation efficaces comprennent :

  • Patching : Installation des mises à jour de sécurité disponibles
  • Modifications de configuration : Durcissement des services et des systèmes
  • Mesures compensatoires : Règles de pare-feu ou segmentation lorsque le patching n’est pas immédiatement possible
  • Décommissionnement : Mise hors service des systèmes qui ne sont plus nécessaires ou maintenables
  • Acceptation : Acceptation documentée du risque pour les vulnérabilités qui ne peuvent pas être corrigées

La documentation est essentielle. Chaque décision, qu’il s’agisse d’une correction, d’une compensation ou d’une acceptation, doit être consignée de manière traçable. Cela est important non seulement pour l’assurance qualité interne, mais aussi pour les exigences de conformité comme la nouvelle Loi sur la Protection des Données (nLPD).

Phase 5 : Vérification (Verification)

Après la remédiation vient l’étape que la plupart ignorent : la vérification. Le patch a-t-il réellement été installé ? La modification de configuration a-t-elle comblé la faille ? De nouveaux problèmes ont-ils été introduits ?

La vérification implique un nouveau scan des systèmes concernés, suivi d’une comparaison des résultats. Les comparaisons de scans montrent en un coup d’oeil quelles vulnérabilités ont été corrigées, lesquelles persistent et si de nouvelles sont apparues.

Sans vérification, la question reste ouverte : le travail investi a-t-il réellement produit l’effet escompté ?

Pourquoi les PME s’arrêtent après le premier scan

Les raisons sont compréhensibles, mais dangereuses :

  1. Submersion par les résultats : Des centaines de findings peuvent être intimidants. Sans priorisation claire, personne ne sait par où commencer.
  2. Manque de ressources : Les PME n’ont souvent pas d’équipe de sécurité dédiée. Le service informatique est déjà absorbé par les opérations quotidiennes.
  3. Faux sentiment de sécurité : « Nous avons scanné et corrigé les éléments critiques » — jusqu’à ce que de nouvelles vulnérabilités soient publiées ou que l’infrastructure change.
  4. Coûts : Des scans réguliers par des prestataires externes sont coûteux. Un seul test d’intrusion coûte facilement entre CHF 10’000 et 30’000.
  5. Manque d’engagement : Sans processus défini ni responsabilités attribuées, le sujet s’essouffle après la motivation initiale.

Mettre en place un processus durable

La clé d’une gestion durable des vulnérabilités réside dans la régularité et l’automatisation. Les recommandations suivantes aident à établir un processus fonctionnel :

Définissez un rythme de scan : Les scans externes devraient être effectués au minimum mensuellement, les scans internes hebdomadairement. Pour les systèmes critiques ou après des modifications majeures, la fréquence devrait être encore plus élevée.

Fixez des SLA pour la remédiation : Vulnérabilités critiques (CVSS 9.0+) dans les 48 heures, élevées (CVSS 7.0-8.9) dans les 7 jours, moyennes dans les 30 jours. Ces délais doivent être réalistes et contraignants.

Automatisez autant que possible : Des scans planifiés, des notifications automatiques lors de nouveaux findings critiques et des rapports de tendances réduisent considérablement l’effort manuel.

Rendez compte régulièrement : Un rapport mensuel à la direction, incluant les tendances, les vulnérabilités corrigées et les risques ouverts, crée l’engagement et la conscience des ressources nécessaires.

Utilisez les comparaisons de scans : La comparaison entre des scans successifs montre les progrès réalisés et rend visible la valeur du travail investi.

Le rôle des plateformes de gestion des vulnérabilités

Les processus manuels avec des listes Excel et des rapports PDF fonctionnent pour dix findings. Pour 500 findings répartis sur des dizaines de systèmes, il faut une plateforme qui couvre l’ensemble du cycle de vie : de la découverte automatisée à la priorisation intelligente, jusqu’à la vérification après la remédiation.

Ces plateformes offrent typiquement :

  • Des scans planifiés et automatisés
  • Une évaluation combinée de plusieurs systèmes de scoring (CVSS, EPSS, KEV)
  • Des analyses de tendances et des comparaisons historiques
  • Le suivi du statut de remédiation
  • Des rapports pour différents publics (technique et management)

Conclusion

La gestion des vulnérabilités n’est pas une action ponctuelle, mais un processus qui ne fonctionne que s’il est vécu en continu. Le premier scan est le début, pas la fin. Les PME qui établissent un processus structuré et régulier réduisent leur surface d’attaque de manière systématique et durable.

ExposIQ accompagne les PME dans ce processus : avec plus de 35 moteurs de scan, une priorisation intelligente basée sur EPSS, CVSS et CISA KEV, des plans de scan automatisés et des rapports comparatifs, la plateforme couvre l’ensemble du cycle de vie de la gestion des vulnérabilités. Hébergée en Suisse, conforme à la nLPD et disponible à partir de CHF 99 par mois. En savoir plus sur exposiq.ch.

ExposIQ est la plateforme suisse pour la gestion automatisée des vulnérabilités. Nous aidons les PME et les prestataires informatiques à identifier et corriger les vulnérabilités – de manière sécurisée, compréhensible et conforme à la nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Entreprise

À propos Contact Blog
 Politique de confidentialité Conditions d'utilisation

Newsletter

Copyright © ExposIQ Suisse 2026. Tous droits réservés.