Vulnérabilités
Prioriser les vulnérabilités exploitées : arrêter de piloter uniquement au CVSS
Un tableau de vulnérabilités peut donner l'impression de piloter le risque alors qu'il noie les équipes. Le score CVSS dit quelque chose, mais il ne dit pas si l'actif est exposé, exploité dans la nature, critique pour l'activité, compensé par un contrôle ou impossible à corriger sans arbitrage. Une priorisation utile combine menace, exposition, métier et preuve.
Passer d'une liste CVE à une file de décision
La bonne sortie d'un audit vulnérabilités n'est pas un fichier de 1 000 lignes. C'est une file de décisions : traiter maintenant, traiter dans le cycle normal, compenser, isoler, accepter temporairement ou investiguer. Chaque ligne doit avoir un propriétaire et une preuve attendue.
Adrien cadrerait cette file avec quatre axes : exploitation observée, exposition réelle, criticité métier et facilité de remédiation. Cela donne une discussion plus adulte qu'un simple 'tout est critique'.
- exploitation
- exposition
- criticité métier
- effort de correction
- preuve attendue
Utiliser CISA KEV comme signal de menace
Le catalogue CISA KEV apporte un signal précieux : certaines vulnérabilités sont connues comme exploitées dans la nature. Ce n'est pas une liste magique à appliquer sans contexte, mais c'est un excellent déclencheur pour accélérer la qualification.
Dans une PME, la question utile devient : avons-nous ce produit, quelle version, où, exposé à qui, avec quels droits et quelle dépendance métier ? Cette lecture évite de paniquer sur des CVE absentes du parc et d'ignorer une vieille exposition critique.
- produit présent
- version touchée
- exposition
- droits associés
- dépendance métier
Préparer la preuve avant la correction
Une correction non prouvée devient vite une discussion sans fin. Avant d'agir, il faut savoir quelle preuve sera acceptable : version corrigée, redémarrage, règle de filtrage, configuration, scan de contrôle, ticket éditeur ou désactivation d'un service.
Cette preuve doit être compréhensible par un responsable non spécialiste. Le but est de pouvoir dire : le risque a baissé, voilà pourquoi, voilà ce qui reste.
- preuve technique
- preuve métier
- date
- responsable
- risque résiduel
Terrain
Décisions, signaux et preuves à ne pas perdre
Décision
À décider
- L'actif est-il exposé depuis Internet ou accessible par un prestataire ?
- La vulnérabilité est-elle exploitée publiquement ou seulement théorique dans notre contexte ?
- Quel processus métier s'arrête si l'on patche ou isole maintenant ?
- Existe-t-il une mitigation acceptable en attendant la correction ?
- Qui accepte le risque résiduel et pour combien de temps ?
Technique
À vérifier techniquement
- Actif vulnérable exposé Internet : VPN, firewall, MFT, portail, hyperviseur, CMS, Confluence/Jira
- CVE présente dans CISA KEV ou liée à des campagnes observées publiquement
- Présence d'exploit public, tentative de scan, logs WAF/IDS ou indicateurs fournisseur
- Compte de service ou droits élevés sur l'actif concerné
- Absence de sauvegarde ou mode dégradé si le correctif casse le service
Preuves
Preuves à conserver
- Inventaire des actifs touchés avec propriétaire métier et exposition réseau
- Version vulnérable, bulletin éditeur, CVE, présence ou non dans CISA KEV
- Décision prise : patch, mitigation, isolement, arrêt, acceptation temporaire
- Preuve après action : version corrigée, configuration, scan de contrôle, règle compensatoire
- Exceptions documentées avec date d'expiration et responsable
Pièges
Erreurs fréquentes
- Trier uniquement par CVSS sans tenir compte de l'exposition et de l'exploitation active.
- Créer des exceptions sans date de fin ni propriétaire.
- Patcher un actif critique sans plan de retour arrière ou validation métier.
- Confondre scan vert et preuve durable de traitement.
Questions fréquentes
Faut-il corriger toutes les vulnérabilités KEV en priorité absolue ?
Elles méritent une qualification accélérée. La priorité finale dépend de votre exposition, de l'actif, des contrôles compensatoires et de l'impact métier.
Un scan après patch suffit-il ?
C'est une preuve utile, mais pas toujours suffisante. Il faut aussi vérifier le bon périmètre, les exceptions et le risque lié aux actifs non scannés.
Sources publiques
Références utilisées sans copie de contenu
Les liens ci-dessous servent de repères publics. Le contenu de cette page est reformulé, contextualisé et adapté à l'approche terrain d'Adrien Murillo.