Avec 50 000 vulnérabilités publiées en 2025 rien que par le programme CVE (Common Vulnerabilities and Exposures), il est devenu très difficile de suivre et prioriser. Pourtant, la veille sur les vulnérabilités est un aspect essentiel d'un processus de gestion des vulnérabilités et d'application des correctifs.

Enfonçons tout de suite des portes ouvertes : il est impossible de corriger toutes les vulnérabilités connues instantanément. Il s'agit donc essentiellement de gérer vos vulnérabilités, c'est-à-dire maîtriser les vulnérabilités connues qui sont inévitablement présentes dans le système d'information.

Les maîtriser implique de prendre en compte de nombreux aspects et notamment :

• Disposer d'un inventaire des technologies présentes. En incluant des informations telles que le niveau d'importance et l'exposition de chacune d'entre elles ;
• Veiller sur les technologies ainsi identifiées : informations éditeurs, référentiels de vulnérabilités, actualités, etc ;
• Prendre action au bon moment en fonction du risque.

Gérer vos vulnérabilités peut paraître simple : vous listez tout ce qui est dans le système d'information et vous corrigez à chaque nouvelle version d'un élément de la liste. C'est une illusion. Il est nécessaire de mettre en place des stratégies pour ne pas épuiser vos équipes.

Choisir son combat

Une posture de sécurité doit être adoptée au regard des moyens dont vous disposez et du modèle de risque considéré par la gouvernance de la sécurité des systèmes d'information.

Ces deux éléments découlent directement du métier : une collectivité locale, une plateforme logistique et une centrale nucléaire n'ont pas du tout le même modèle de risques ni les mêmes équipes dédiées à la sécurité.

C'est là que vous devez prendre une première décision : ce qu'il faut surveiller.

La gestion des vulnérabilités est un processus itératif. C'est en répétant le cycle que vous vous améliorez mais surtout que vous prenez en compte le caractère vivant du système d'information.

Si on suit cette idée, il n'est pas nécessaire de tout connaître dès la mise en place. Pire, l'exhaustivité peut conduire à une fatigue prématurée de vos équipes.

Il est donc nécessaire de privilégier en premier lieu la surveillance des actifs critiques et ceux les plus exposés. C'est ainsi qu'on pourra obtenir un premier grand résultat avec un minimum d'efforts.

Les actifs exposés sont généralement les plus simples à identifier. De nombreux outils, notamment d'External Attack Surface Management, existent pour découvrir ceux exposés sur Internet.

Il est en revanche un peu plus délicat d'identifier les actifs critiques lorsque vous êtes fraîchement arrivé et que vous ne connaissez pas intimement le métier de votre organisation. Et ceux-ci ne sont pas nécessairement les plus exposés. Un premier dialogue avec vos équipes métier est donc important à la fois d'un point de vue technique mais aussi dans l'objectif de les impliquer dans le processus.

L'identification des actifs critiques pour le métier ainsi que ceux publiquement exposés donne ainsi une première liste de produits à surveiller. C'est celle-ci qui vous offrira le plus de gains au démarrage.

Identifier les sources d'informations

Une fois les produits importants catalogués, ce sont les sources d'information qu'il convient de bien choisir. Et toutes ne se valent pas.

Certaines sont incontournables, comme le programme CVE, mais ne suffisent pas à elles seules. Il est important de les combiner et d'adapter sa veille aux besoins effectifs de l'organisation : secteur, réglementation, typologie de produits déployés dans le système d'information.

Il est intéressant d'adopter une approche différenciée en fonction des sources d'information :

• Alertes d'équipes de réponse à incident (CERT nationaux ou sectoriels)
• Flux de bases de données de vulnérabilités : CVE, NVD, EUVD, CISA KEV
• Sources d'actualités spécialistes ou généralistes
• Alertes éditeurs : privées et publiques

Les alertes d'éditeurs et de CERTs revêtent généralement une importance particulière parce qu'elles cherchent à porter votre attention sur les incidents qui vous amèneront en cellule de crise. Il est nécessaire de réaliser une veille quotidienne sur celles-ci, et surtout en ce qui concerne vos éditeurs stratégiques.

VulnPilot vous donne les clés pour accélérer votre veille et prendre les décisions plus rapidement. L'information est agrégée et compilée pour vous donner le renseignement dont vous avez besoin, au bon moment, sans devoir mobiliser une équipe d'analystes.

Les flux des bases de données de vulnérabilités sont plus difficiles à traiter. En effet, le tout venant qui en provient manque de qualification et constitue une masse d'information brute qu'il faut filtrer, trier et prioriser.

Elles sont tout de même importantes pour parler un langage commun sur les vulnérabilités connues. À ce titre, il est intéressant de les consulter régulièrement (par exemple une fois par semaine) pour recueillir les vulnérabilités moins importantes mais qui peuvent tout de même avoir un impact sur votre système d'information.

Les actualités vous permettent d'avoir une vue déjà pré-qualifiée pour prendre une décision. Elles sont particulièrement intéressantes pour obtenir rapidement une vue globale d'un événement lié à la publication ou l'exploitation d'une vulnérabilité.

Attention toutefois à ne pas vous y perdre ou y accorder une confiance aveugle. Des actualités peuvent être minimisées, exagérées et les informations peuvent être expirées ou simplement fausses.

Rendre le renseignement opérationnel

Le fruit de votre veille est inutile si vos équipes ne sont pas correctement informées.

Trop d'équipes de veille cyber envoient des listes de vulnérabilités à leurs équipes informatiques ou métier sans contexte.

Gardez à l'esprit qu'en fin de boucle, ce sont toujours des humains qui prendront la décision d'agir sur un système. Les inonder d'informations sans contexte (par exemple un ticket par vulnérabilité CVE) les épuisera et les conduira à ne plus lire. C'est évidemment un frein lorsqu'une vulnérabilité qui compte vraiment passe.

Prenez en compte le contexte et les risques métiers. Votre équipe comprendra bien mieux pourquoi il est nécessaire de corriger une vulnérabilité si elle représente une menace tangible pour leurs opérations.

Pour ce faire, posez-vous les questions suivantes (et répondez-y avant de communiquer) :

• Quels sont les impacts opérationnels au regard du modèle de risques ? Arrêt de la chaîne logistique, fuite de données client, indisponibilité du site e-commerce ?
• Quelle est le niveau effectif de la menace ? La vulnérabilité est-elle exploitée ? Exploitable dans votre situation ? Y-a-t'il de l'intérêt de la part d'acteurs malveillants ?
• Êtes-vous contraint par une réglementation ou une politique interne d'y remédier rapidement ?
• Comment mettre en oeuvre le correctif ? Est-ce que l'action implique une indisponibilité ?

Regroupez les informations. Si une seule action permet de résoudre 10 ou 100 vulnérabilités, vos équipes y verront un gain plus important. Il est donc contre-productif de faire suivre immédiatement chaque nouvelle vulnérabilité à vos équipes, cumulez-les et contrôlez les délais pour appliquer les correctifs.

Lorsqu'une vulnérabilité est importante, quand elle coche plusieurs cases de la liste ci-dessus, n'hésitez alors pas à adopter une posture plus immédiate.

C'est à vous de convaincre vos équipes qu'elles ont un intérêt à agir vite. Et c'est d'autant plus facile quand les enjeux sont compris et que vous montrez que les équipes sécurité sont là en support et non pas en donneurs d'ordres.

Conclusion

Assurer la veille sur les vulnérabilités et en tirer des effets bénéfiques sur le système d'information est moins simple qu'il n'y paraît.

Nous avons vu qu'il est nécessaire de prendre position au regard de l'environnement réglementaire, du modèle de risque et des politiques internes. Il est contreproductif de traiter immédiatement toutes les vulnérabilités connues.

La mise en place d'un tel processus ne peut pas se faire sans l'implication des équipes métiers, qui sont au coeur de votre priorisation et des choix que vous allez faire pour orienter votre veille.

S'il est important de disposer d'un minimum de variété dans les sources, surtout pour s'adapter à différents niveaux d'urgence, il ne faut pas non plus se noyer dans la masse d'informations disponibles. La fatigue d'alerte peut arriver très rapidement.

Il est vital de traiter l'information pour en faire du renseignement : contextualisez, regroupez et contrôlez la diffusion pour donner les bons éléments au bon moment.

Soyez pragmatique et acceptez le risque qu'une vulnérabilité qui n'est pas activement exploitée soit présente pour un temps dans votre système d'information. Et soyez réactif lorsque cela est nécessaire.