Nouvelle offre spéciale été — Prolongation jusqu'au 31 juilletNouvelle offre spéciale été — Prolongation jusqu'au 31 juilletNouvelle offre spéciale été — Prolongation jusqu'au 31 juilletNouvelle offre spéciale été — Prolongation jusqu'au 31 juilletNouvelle offre spéciale été — Prolongation jusqu'au 31 juilletNouvelle offre spéciale été — Prolongation jusqu'au 31 juilletNouvelle offre spéciale été — Prolongation jusqu'au 31 juillet
Le Brief/Guide

Prioriser les vulnérabilités : méthodes et outils

On serait tenté d'utiliser le CVSS déjà disponible pour prioriser les correctifs. D'autres outils comme le SSVC et le BOD 26-04 sont plus utiles.

Mickaël Walter
BOD 26 - 04 Graphic remediation timelines

Le CVSS (Common Vulnerability Scoring System) base score est un outil habituellement utilisé pour prioriser l'application des correctifs de vulnérabilité. C'est un raccourci courant qui a pourtant de lourdes conséquences sur le processus de gestion des vulnérabilités.

Pourquoi le score de base CVSS n'est pas adapté à la priorisation

Le CVSS n'a jamais eu vocation à permettre la priorisation des vulnérabilités. Sa spécification précise qu'il s'agit avant tout d'un score permettant de mesurer la sévérité d'une vulnérabilité. Le score de base - celui généralement disponible au sein des enregistrements publics - n'évalue que les caractéristiques intrinsèques de la vulnérabilité. Ainsi, il ne tient absolument pas compte de facteurs tels que l'exploitation effective de la vulnérabilité ou son expression dans le système d'information où la vulnérabilité se trouve.

Les experts en gestion du risque le savent bien : sévérité n'est pas priorité.

La priorité est avant tout une question de métier. Elle s'évalue au regard du risque ou de la valeur apportée d'une action aux opérations métier.

A contrario la sévérité est une métrique fonctionnelle. Elle permet d'évaluer l'impact technique d'une vulnérabilité.

Ainsi, une vulnérabilité ayant un impact technique important peut très bien avoir un très faible impact métier pour diverses raisons :

  • Le système affecté ne revêt pas d'importance au regard de l'impact technique (ex. vulnérabilité affectant la disponibilité d'un actif non sensible pour le métier) ;
  • La vulnérabilité n'est pas activement exploitée et la probabilité d'une exploitation effective de celle-ci est donc faible ;
  • Le positionnement d'un actif dans le système d'information et la mise en oeuvre de mécanismes de défense en profondeur rendent l'exploitation inefficiente ou hautement improbable.

S'il faut encore vous convaincre, regardons la répartition de la sévérité du score de base CVSS sur le corpus CVE (Common Vulnerability and Exposures) :

NVD dashboard

Source : https://nvd.nist.gov/general/nvd-dashboard

On observe que plus de la moitié des vulnérabilités évaluées par le NVD (National Vulnérability Database) se situent à un niveau haut ou critique. Sur un corpus de près de 200 000 vulnérabilités évaluées par le NVD, cela représente plus de 100 000 vulnérabilités dont il faudrait à chaque fois se préoccuper à court terme.

L'actualité vous oblige à repenser votre priorisation

Une combinaison de facteurs rend toute velléité de patching intégral impossible dans la pratique :

  • En 2025, plus de 50 000 vulnérabilités ont été publiés au CVE et la trajectoire pour 2026 annonce un nouveau record ;
  • Le NIST (National Institute of Standards and Technology) rencontre des problèmes depuis 2024 dans le maintien du NVD et de l'enrichissement en raison du volume. Ils ont annoncé ne plus qualifier toutes les vulnérabilités mais seulement celles qu'ils considèrent prioritaires ;
  • La création et la mise à disposition de modèles LLM avancés comme Mythos ou Fable 5 présage une démocratisation de la recherche de vulnérabilités à double impacts : plus de vulnérabilités référencées mais aussi plus de vulnérabilités non référencées.

Plus que jamais, il est important d'appliquer les mesures d'hygiène de base notamment en matière de segmentation réseau.

En ce qui concerne l'application des correctifs, il convient d'adopter une approche pragmatique : il est impossible de tout corriger et il est nécessaire de se focaliser sur ce qui touche vraiment le métier.

Prioriser, autrement et efficacement

Commençons par décrire le SSVC (Stakeholder-Specific Vulnerability Categorization), le cadre qu'utilise le CISA (Cybersecurity and Infrastructure Security Agency) pour prioriser les diffusions d'avis sur les vulnérabilités.

Malgré une abréviation proche du CVSS, le SSVC adopte une approche totalement différente.

Premièrement, il ne s'agit pas d'un score mais d'un arbre de décision. En fonction de métriques liées à la vulnérabilité, il permet de déterminer quel est le niveau de priorité dans l'application des mesures de limitation du risque.

En voici un aperçu :

SSVC decision tree

Le SSVC se base sur 4 critères qui permettent de naviguer dans l'arbre et de déboucher sur la décision qu'il est recommandé de prendre :

  • Exploitation : si une vulnérabilité est exploitée ou non et si un code d'exploitation existe ;
  • Automatisation : est-ce que l'exploitation d'une vulnérabilité peut être automatisée ou non ;
  • Impact technique : partiel (contrôle limité sur le système ou les données) ou total (accès complet) ;
  • Mission et bien-être : cette métrique concerne l'impact métier et les conséquences qu'une vulnérabilité pourrait avoir sur des humains ou des machines.

Les trois premières métriques sont généralement faciles à déterminer et sont spécifiées dans le cadre de la mission Vulnrichment du CISA qui les ajoute aux enregistrements CVE :

SSVC classification for CVE-2021-44228

À ce jour, environ la moitié des enregistrements CVE sont enrichis de cette manière par le CISA.

La métrique mission et bien-être est la plus complexe à déterminer et cela n'est pas fait dans le cadre de Vulnrichment. C'est normal, puisqu'il s'agit de l'évaluation de l'impact métier. Elle prend en compte 2 facteurs :

  • L'impact sur la mission : c'est l'impact sur une fonction support voire essentielle au métier ;
  • L'impact sur le bien-être : il peut être minimal, matériel (c'est-à-dire causer des dégâts réparables ou des blessures récupérables) ou irréversibles (dégâts irréparables ou des blessures graves).

Une fois les 4 métriques déterminées, il suffit de naviguer dans les branches de l'arbre pour déboucher sur la décision de priorisation recommandée.

Il est intéressant de constater que les métriques du processus de priorisation par SSVC sont cumulatives. C'est une combinaison de chacun des éléments qui conduit à un niveau de priorisation élevé ou non.

Ces niveaux de priorisation se classent en 4 catégories :

  • Track : pas de mesure de limitation du risque spécifique à prendre (en-dehors du traitement normal) mais les évolutions doivent être suivies et déclencher une réévaluation si nécessaire ;
  • Track* : pas de mesure de limitation du risque à prendre mais un suivi rapproché est nécessaire, tout particulièrement si une difficulté dans le traitement de la vulnérabilité est identifiée ;
  • Attend : l'attention de tiers en-dehors du processus de gestion des vulnérabilités est requise et il peut être nécessaire de communiquer à propos de la vulnérabilité ;
  • Act : une coordination avec l'ensemble des parties prenantes est nécessaire dans le cadre d'une application rapide de mesures de limitation du risque.

La priorisation est, au premier semestre 2026, un sujet chaud. Bien que le SSVC existe depuis 2019, le CISA a publié le 10 juin 2026 une nouvelle directive, la BOD 26-04, qui clarifie le processus et surtout les délais de priorisation que doivent respecter les administrations américaines.

Evidemment, vous n'êtes pas obligés de suivre cette directive à la lettre si vous n'êtes pas directement visés mais elle donne un ordre de grandeur de la réactivité attendue au regard des risques perçus par le CISA dans le cadre d'une publication de vulnérabilité.

Dans ce cadre, l'agence s'est inspirée du SSVC pour produire un arbre de décision concernant les délais attendus de réactivité. On déplorera que cet arbre ne tient plus compte complètement du contexte métier, en gardant néanmoins un facteur environnemental qui est l'exposition publique ou non de l'actif affecté.

Cette directive est intéressante dans la mesure où elle donne une idée réaliste des délais de réaction et des actions à mener en fonction de la situation sur le terrain :

BOD 26 - 04 Graphic remediation timelines

On y observe une très grande variabilité des attentes en matière d'application des correctifs qui va de délais très courts (3 jours avec analyse de compromission) à des "nice to have" corrigés de manière opportuniste lors d'une mise à jour système.

À vous de déterminer votre propre politique de priorisation en fonction de votre cadre réglementaire, votre analyse de risques métier et la capacités de vos équipes. Voici 2 pistes :

  • Utilisez le SSVC si vous avez déjà une certaine maturité dans vos processus de gestion des vulnérabilités et appliquez-le à l'échelle de l'organisation en vous assurant d'identifier les parties prenantes, en particulier lors des décisions Act ou Attend ;
  • Utilisez le schéma du BOD 26-04 avec les délais qui correspondent à votre propre contexte si vous recherchez une méthode simple et rapide d'aide à la décision.

Conclusion

En tenant compte des actualités récentes, il est important de comprendre qu'il est impossible d'appliquer tous les correctifs existants. Il faut donc faire le tri pour identifier les vulnérabilités qu'il est nécessaire de considérer et concentrer ses efforts sur celles-ci. Avec le volume actuel de publication l'automatisation de cette tâche n'est plus une option.

Les mécanismes de défense en profondeur (segmentation, architecture en tiers, sauvegardes, etc.) sont toujours plus pertinents au regard des nouvelles menaces et notamment celles causées par des LLMs tels que Mythos. Ils permettent de palier à ce qui n'a pas encore ou ne peut pas être corrigé.

Lorsque ceux-ci sont en place, il devient possible de prioriser en acceptant la présence de vulnérabilités qu'on peut maîtriser. Cela permet de réduire la pression sur les équipes techniques tout en conservant un niveau de sécurité raisonnable. Cela permet ensuite d'adopter une meilleure réactivité, surtout quand il faut impliquer les équipes métier.

Pourtant, aujourd'hui encore, trop d'organisations utilisent le score de base du CVSS pour prioriser leurs actions de limitation du risque lié aux vulnérabilités. Il n'a pourtant pas été conçu dans cet objectif et le volume de vulnérabilités avec des scores élevés constitue une majorité du corpus des vulnérabilités référencées.

Cela amène inévitablement à une forme d'épuisement, alors que le volume de vulnérabilités qui comptent vraiment se situe entre 1 et 5% du total.

On l'a vu dans cet article, c'est là que des outils comme le SSVC permettent d'évaluer rapidement la priorité à donner à une vulnérabilité en évaluant quelques métriques relativement simples. De plus, les trois quarts de ces métriques sont déjà fournies par le CISA directement au niveau du système CVE lui-même.

La reprise du contrôle sur les vulnérabilités est donc avant tout une affaire de pragmatisme opérationnel et repose sur la capacité à faire un choix rapide et efficace basé sur la priorité et donc l'énergie à accorder à chaque vulnérabilité. Cela nécessite d'avoir les bons processus et les bons outils. Et dans ce cadre, un dialogue avec les équipes métiers et les équipes risques est incontournable.

Partager

Restez informé

Recevez nos derniers articles et analyses directement dans votre boîte mail.