Résumé – Face à une exposition croissante et des obligations réglementaires (revDSG, RGPD, ISO 27001, NIS2, PCI DSS), la gestion des vulnérabilités exige une boucle continue de découverte, d’évaluation et de remédiation. De l’inventaire exhaustif IT/OT/cloud et du scan CVE/SBOM couplé à l’ASM, à la priorisation selon CVSS, exploitabilité, exposition et enjeux métier, chaque étape s’automatise via ITSM/DevSecOps pour garantir un MTTR réduit et un pilotage clair. Solution : déployer un référentiel unique → scans continus → tickets orchestrés → suivi KPI et conformité automatisée.
La gestion des vulnérabilités est un processus continu qui va bien au-delà de la simple exécution d’un scan ponctuel. Elle englobe la découverte des actifs, la priorisation du risque, la remédiation orchestrée et le suivi des indicateurs.
En automatisant chaque étape – de l’inventaire à la mesure du temps de correction moyen (MTTR) – les organisations réduisent immédiatement leur surface d’attaque et démontrent leur conformité aux cadres réglementaires (revDSG, RGPD, ISO 27001, NIS2, PCI DSS). Cet article présente un cycle en boucle continue, illustre chaque phase avec un exemple d’entreprise suisse et propose une checklist opérationnelle pour structurer toute démarche de vulnerability management.
Cartographie & découverte des actifs
Une connaissance fine de l’infrastructure IT, OT et cloud est la première défense contre les attaques. La découverte exhaustive des endpoints, serveurs et services shadow IT alimente un inventaire unique et fiable.
Inventaire exhaustif des actifs
Le point de départ consiste à recenser chaque composant matériel et logiciel, depuis les serveurs virtuels jusqu’aux bornes IoT. Les solutions open source de gestion d’inventaire et d’infrastructure as code facilitent la centralisation de ces données dans un référentiel unique.
Chaque actif doit être qualifié (critique, non critique), associé à son propriétaire métier et géolocalisé pour qualifier l’exposition potentielle. Les tags facilitent la recherche et la mise à jour périodique de l’inventaire.
Le registre des actifs sert de base à toutes les étapes suivantes, garantissant que les scans de vulnérabilités ciblent l’ensemble du parc et limitent les angles morts.
Découverte IT/OT et cloud
Au-delà du réseau classique, les environnements OT et les services cloud publics et privés doivent être détectés et cartographiés. Un scanner ASM (Attack Surface Management) peut automatiser cette phase et pointer les ressources exposées sur Internet.
Exemple : une entreprise suisse active dans la production industrielle a identifié grâce à un outil ASM plusieurs ponts IIoT non protégés. Cet audit a révélé que des équipements de supervision étaient directement accessibles depuis Internet, exposant les lignes de production à des attaques potentielles.
La leçon : la cartographie exhaustive inclut aussi les infrastructures hébergées chez des prestataires cloud tiers, souvent hors radars des équipes IT traditionnelles.
Gestion du shadow IT
Le shadow IT regroupe les applications et services utilisés sans accord formel des équipes SI. Ils constituent un vecteur majeur de vulnérabilités non détectées.
L’analyse des flux réseau et l’examen des logs proxy permettent d’identifier ces usages non autorisés. Intégrer un MDM (Mobile Device Management) renforce le contrôle des endpoints mobiles.
Une fois repérés, ces services doivent être évalués selon leur criticité métier et soumis aux mêmes politiques de scanning et de remédiation que les ressources officielles.
Scans et intelligence
L’analyse automatisée des CVE/NVD, SBOM et dépendances alimente la détection des vulnérabilités connues. Couplée à des scans actifs et ASM, elle fournit une vision consolidée des risques.
Analyse des CVE/NVD et SBOM
La base de données NVD recense chaque vulnérabilité identifiée avec son score CVSS. Les SBOM (Software Bill of Materials) des applications internes ou tierces permettent de lister précisément les composants et versions utilisés.
Un moteur d’intelligence open source peut cartographier automatiquement les correspondances entre SBOM et CVE. Cette corrélation accélère la remontée des alertes critiques auprès des équipes responsables.
Cette approche garantit que chaque composant, même dans une image Docker ou un package NuGet, fait l’objet d’une évaluation de risque continue.
Scans réseau et ASM
Les scanners de vulnérabilités (Qualys, Nessus, OpenVAS) réalisent des contrôles périodiques des hôtes internes et des interfaces exposées en production. Ils détectent les services obsolètes, les configurations faibles et les failles critiques.
L’ASM complète ces scans en détectant les ressources nouvellement publiées sur le web, souvent hors du périmètre des scans traditionnels. Cette double approche évite les angles morts.
Il est recommandé d’automatiser ces scans en continu, avec des fréquences adaptées à la criticité des actifs et aux contraintes métier.
Dépendances et supply chain
Les vulnérabilités de la supply chain logicielle se multiplient. Identifier les dépendances transitives et leurs mises à jour critiques est indispensable pour éviter l’injection de code malveillant.
L’analyse statique et dynamique des conteneurs doit être intégrée dans les pipelines CI/CD, déclenchant des alertes en cas de composant à risque. Les solutions open source complètent souvent les offres commerciales.
Une veille proactive sur les annonces de patchs de sécurité des éditeurs tiers permet de prioriser rapidement les correctifs les plus urgents.
Edana : partenaire digital stratégique en Suisse
Nous accompagnons les entreprises et les organisations dans leur transformation digitale
Priorisation du risque
La priorisation combine les scores CVSS avec l’exploitabilité réelle et l’exposition Internet pour cibler d’abord les vulnérabilités les plus critiques. L’alignement sur la criticité métier et les SLA/SLO définit l’ordre et les délais de correction.
Critères d’exploitabilité et d’exposition
Chaque vulnérabilité est évaluée selon sa facilité d’exploitation (Proof-of-Concept disponible, vecteur réseau, niveau d’accès requis). Les scanners automatisés intègrent souvent ces indicateurs.
L’exposition Internet multiplie le risque. Un service accessible sur un port critique doit être corrigé plus rapidement qu’un composant interne isolé derrière un firewall.
La combinaison de ces critères oriente les plans d’action pour réduire au plus vite la surface d’attaque.
Criticité métier et SLA/SLO correctifs
La valeur d’un service pour l’organisation (applicatif client, base de données financière, portail fournisseur) conditionne l’impact d’une indisponibilité ou d’une fuite de données.
Des SLA/SLO spécifiques peuvent être définis : par exemple, 48 heures pour corriger une vulnérabilité CVSS ≥ 8 sur un service exposé, et 5 jours pour un système interne non critique.
Cette démarche garantit que l’effort de remédiation est aligné sur les enjeux business et non uniquement sur le score CVSS.
Utilisation du CVSS et du risque business
Le CVSS fournit un cadre uniforme, mais ne prend pas en compte les particularités métier. Le risque business complète cette évaluation en mesurant l’impact sur la réputation, la continuité de service et les obligations réglementaires.
Un tableau de bord consolidé affiche le score technique et le niveau de risque métier. Les comités de pilotage de la gouvernance sécurité peuvent alors arbitrer les priorités.
Cette double approche garantit une allocation optimale des ressources de sécurité et des équipes d’exploitation.
Remédiation orchestrée et mesure continue
La remédiation combine patch management, hardening et mesures compensatoires, orchestrée via ITSM/DevSecOps. Les indicateurs MTTR, taux de fermeture et tendances assurent un pilotage transparent.
Orchestration via ITSM et CI/CD
L’intégration des tickets de vulnérabilité dans Jira ou ServiceNow permet de standardiser le workflow de correction et de tracer chaque étape jusqu’à la clôture.
Dans les pipelines CI/CD, les étapes de build automatique incluent désormais des scans de vulnérabilités : un rejet automatique empêche la mise en production sans correction ou justification.
Cette synergie entre ITSM et DevSecOps fluidifie la collaboration entre équipes Sécurité, Exploitation et Développement.
Patching, hardening et compensations
Les mises à jour de sécurité (patch management) restent la méthode la plus rapide pour corriger les vulnérabilités. Lorsqu’un patch n’est pas disponible, le hardening (fermeture de ports, renforcement des configurations) ou les contrôles compensatoires (WAF, isolation réseau) doivent être appliqués.
Les solutions de MDM et EDR (Endpoint Detection and Response) complètent le dispositif en surveillant le respect des correctifs sur les postes de travail et les mobiles.
L’automatisation de ces actions réduit le risque d’erreur humaine et accélère le temps de déploiement des correctifs.
Tableaux de bord et gouvernance
Plusieurs KPI permettent de suivre la performance du processus : MTTR vulnérabilités, taux de fermeture dans les SLA, nombre de vulnérabilités ré-ouvertes, et évolution du score global de risque.
Des rapports périodiques à destination de la direction (CISO/CIO) et de la DSI illustrent le retour sur investissement et la conformité aux normes ISO 27001, NIS2 ou PCI DSS.
Ces indicateurs alimentent les revues trimestrielles de gouvernance et facilitent la prise de décision pour améliorer en continu le cycle de gestion des vulnérabilités.
Checklist opérationnelle en 10 points
- Mettre à jour l’inventaire des actifs trimestriellement.
- Scanner en continu avec un outil ASM et un scanner interne (Qualys/Nessus/OpenVAS).
- Analyser les SBOM et corréler avec les CVE/NVD.
- Prioriser selon exploitabilité, exposition et criticité métier.
- Définir des SLA/SLO correctifs par catégorie de risque.
- Orchestrer les tickets via Jira ou ServiceNow.
- Automatiser les scans dans la CI/CD DevSecOps.
- Appliquer patchs, hardening et contrôles compensatoires.
- Surveiller les endpoints avec MDM/EDR.
- Suivre les KPI MTTR, taux de fermeture et score de risque global.
Vers une maîtrise continue de votre exposé aux vulnérabilités
Le vulnerability management est un cercle vertueux : plus la découverte, l’analyse et la priorisation sont précises, plus la remédiation est rapide et le pilotage transparent. La démonstration de conformité (revDSG/RGPD, ISO 27001, NIS2, PCI DSS) devient une conséquence naturelle d’un processus bouclé et automatisé.
Les équipes IT et de gouvernance renforcent leur posture de sécurité, réduisent le MTTR et gagnent en agilité pour innover sans craindre une brèche dans leur infrastructure.







Lectures: 4
















