Vulnérabilités / Risque
Vulnérabilités : prioriser les correctifs par exposition et risque métier
Le CVSS aide à qualifier une faille, mais il ne suffit pas à décider quoi corriger en premier. Une vulnérabilité devient prioritaire quand elle rencontre un actif exposé, un service critique, une exploitation connue, une absence de compensation ou une contrainte métier mal maîtrisée.
Construire une matrice simple
Une matrice utile tient en quelques colonnes : CVE, actif, exposition, criticité métier, exploitation connue, correctif disponible, compensation, décision, date de revue. Elle force la discussion sur le risque réel plutôt que sur une longue liste de scores.
Le but est de décider vite ce qui doit être traité cette semaine, ce qui doit être compensé et ce qui peut attendre une fenêtre normale.
- CVE
- actif
- exposition
- criticité
- exploitation
- décision
Traiter les exceptions comme des décisions
Certaines corrections ne peuvent pas être appliquées immédiatement : dépendance éditeur, application legacy, période de production, indisponibilité métier. L'exception doit alors être datée, justifiée, compensée et revue.
Sans cette discipline, le patch management se transforme en backlog permanent où les risques les plus anciens deviennent invisibles.
Prouver la réduction du risque
La clôture d'une vulnérabilité ne doit pas reposer uniquement sur le ticket. Il faut une preuve : scan de contrôle, version corrigée, configuration modifiée, règle de filtrage testée ou retrait de l'actif exposé.
Cette preuve protège l'équipe en cas d'audit ou d'incident ultérieur.
- scan de contrôle
- version
- configuration
- filtrage
- retrait
Terrain
Décisions, signaux et preuves à ne pas perdre
Décision
À décider
- Cette vulnérabilité est-elle exploitée dans la nature ?
- L'actif est-il accessible depuis Internet ou depuis un tiers ?
- Quel processus métier tombe si le patch provoque une indisponibilité ?
- Quelle compensation réduit réellement le risque en attendant le patch ?
- Qui accepte le risque si la correction est repoussée ?
Technique
À vérifier techniquement
- CVE présente dans le catalogue CISA KEV ou activement exploitée
- Actif vulnérable exposé Internet, VPN, messagerie, portail client ou accès admin
- Service critique sans fenêtre de maintenance réaliste
- Correctif non appliqué mais compensation réseau, EDR ou configuration non vérifiée
- Vulnérabilités récurrentes sur même famille d'actifs ou même processus de patch
Preuves
Preuves à conserver
- Liste des actifs vulnérables avec exposition et propriétaire
- Source de priorisation : KEV, éditeur, scanner, EDR, renseignement ou incident
- Décision : patch, mitigation, isolement, acceptation temporaire ou retrait du service
- Preuve de correction ou de compensation testée
- Date de revue des exceptions et risque résiduel accepté
Pièges
Erreurs fréquentes
- Trier uniquement par CVSS sans regarder l'exposition réelle.
- Repousser un patch critique sans écrire l'acceptation de risque.
- Considérer une règle firewall comme compensation sans test.
- Ne pas vérifier que la vulnérabilité a disparu après correction.
Questions fréquentes
Le CVSS est-il inutile ?
Non. Il reste un indicateur important, mais il doit être croisé avec l'exploitation connue, l'exposition et le contexte métier.
Sources publiques
Références utilisées sans copie de contenu
Les liens ci-dessous servent de repères publics. Le contenu de cette page est reformulé, contextualisé et adapté à l'approche terrain d'Adrien Murillo.