La gestion traditionnelle de la vulnérabilité est dépassée par le volume
Parlons franchement. La façon dont la plupart des entreprises gèrent aujourd’hui les vulnérabilités est défaillante. Vous réagissez, vous ne planifiez pas. Et dans un monde qui génère des millions de découvertes de sécurité sur des dizaines de milliers de systèmes, réagir est un jeu perdu d’avance.
Des données récentes issues d’une analyse du Vulnerability Operation Center (VOC) montrent à quel point cette situation est devenue insurmontable. L’équipe du VOC a relevé plus de 1,3 million de découvertes en matière de sécurité, c’est-à-dire de points faibles réels, sur environ 68 500 actifs de clients. De cette pile, plus de 32 500 vulnérabilités logicielles uniques ont été identifiées. Environ 10 000 d’entre elles ont été classées à haut risque, avec un score supérieur à 8 sur l’échelle CVSS (c’est l’échelle de gravité utilisée par les spécialistes de la cybersécurité). Si vous essayez de tout réparer, vous prendrez du retard. Vous ne pouvez pas contrôler le flux. Vous disposez d’un nombre limité d’ingénieurs, d’un temps limité et de systèmes qui dépendent de la cohérence. Soyons francs, cette approche n’est pas évolutive et ne l’a jamais été.
En réalité, pour résoudre ce problème, il faut l’inverser. Construire des systèmes qui gèrent les risques par conception, et non par réaction. Nous y reviendrons, mais la première étape ? Cesser de courir après tout. Les organisations doivent accepter que toutes les vulnérabilités n’ont pas la même importance. Donnez la priorité à ce qui vaut la peine d’être corrigé et concevez des environnements suffisamment solides pour qu’ils ne s’effondrent pas lorsque quelque chose se faufile.
Les systèmes CVE et CVSS sont entravés par des retards et des biais bureaucratiques.
Les fondements actuels de l’évaluation des vulnérabilités des logiciels proviennent du MITRE et du NIST, institutions placées sous la tutelle du gouvernement fédéral américain. Ils gèrent le programme CVE (Common Vulnerabilities and Exposures) et le CVSS (Common Vulnerability Scoring System). Sur le plan conceptuel, cela fonctionne. Les vulnérabilités sont répertoriées, des identifiants leur sont attribués, leur gravité est évaluée et elles sont rendues publiques afin que les entreprises puissent réagir. Le problème ? Le système est lent et, ces derniers temps, la situation empire.
En avril 2025, MITRE a indiqué qu’il y avait près de 290 000 CVE publiés. Mais plus de 24 000 d’entre eux n « étaient pas enrichis, ce qui signifie qu’ils ne faisaient l’objet d’aucune analyse fiable. Cet arriéré est dû à un goulot d » étranglement politique au NIST en mars 2024, qui a temporairement interrompu le traitement sans stopper l’afflux de rapports de vulnérabilité. Des informations critiques sont restées bloquées dans les limbes. Lorsque vous combinez ce retard avec les débats entre les chercheurs et les fournisseurs, qui se disputent sur la gravité, l’exploitabilité et l’impact, le résultat est un système qui ne permet pas d’agir en temps réel.
Pour ne rien arranger, le ministère américain de la sécurité intérieure a décidé dans un premier temps de ne pas renouveler le financement de MITRE, menaçant ainsi l’ensemble du système CVE. Seule une forte pression de la part de la communauté de la sécurité a permis d’inverser cette décision et de maintenir les lumières allumées.
Tout cela crée de l’incertitude. En tant que dirigeant, vous avez besoin de processus de sécurité auxquels vous pouvez faire confiance. Les systèmes construits sur des pipelines d’information instables ne sont pas fiables. Ce qu’il faut retenir ici, ce n’est pas que CVE et CVSS sont inutiles, ils sont essentiels, mais que vous ne pouvez pas dépendre uniquement d’eux. Complétez-les par des renseignements internes, des ensembles de données externes et des modèles prédictifs qui ne reposent pas uniquement sur les flux de travail fédéraux. Prévoyez une redondance dans la manière dont vous consommez les données sur les menaces. Faites confiance, mais diversifiez.
De nombreuses vulnérabilités signalées ont peu de chances d’être exploitées
Le nombre de vulnérabilités signalées a explosé. Il est tentant de considérer chaque vulnérabilité comme une faille potentielle. Mais cela est inefficace et ne correspond pas à la réalité.
Concentrons-nous sur les faits. Selon le groupe d’analyse des menaces de Google et Mandiant, 97 exploits de type « zero-dayle type le plus urgent, ont été identifiés en 2023. Comparez maintenant ce chiffre aux 290 000 CVE publiés en avril 2025. Moins de 6 % d’entre eux ont été exploités dans la nature. Cela signifie que la plupart des vulnérabilités en circulation ne seront pas utilisées par les attaquants. La plupart d’entre elles ne méritent pas l’attention immédiate de votre équipe.
Pensez également à la façon dont les organisations réagissent dans la pratique. Une étude réalisée en 2022 a montré que la moitié des entreprises corrigent chaque mois 15,5 % ou moins de leurs vulnérabilités. Il ne s’agit pas seulement d’un problème de ressources, mais aussi d’un problème de priorité. En essayant de tout corriger, vous finissez par ne rien faire de bien. Ce n’est pas extensible et ce n’est pas aligné sur le comportement des menaces.
Si vous êtes responsable de la continuité et de la sécurité des opérations, le signal est clair. Vous devez revoir votre stratégie en fonction de la pertinence des risques. Concentrez vos plans de remédiation sur les menaces dont l’exploitation est avérée ou probable, et non sur des problèmes théoriques à faible impact. Il ne s’agit pas d’en faire moins, mais de le faire plus intelligemment.
Le système de notation de la prédiction des exploits (EPSS)
Si vous consacrez de l’argent, du temps et du talent à la cybersécurité, ce travail doit être aligné sur des menaces réelles. C’est là que le système d’évaluation de la prédiction des exploits (Exploit Prediction Scoring System, ou EPSS) devient un atout majeur.
Créé par le Forum of Incident Response and Security Teams (FIRST), EPSS vous donne un score de probabilité qui indique la probabilité qu’une vulnérabilité donnée soit exploitée dans la nature. Ce système n’est pas parfait. Il ne prédit pas les attaques contre vos systèmes spécifiques. Mais il vous apporte quelque chose que le CVSS traditionnel n’apporte pas : un sens mesurable, étayé par des données, de ce sur quoi il faut se concentrer.
Rien qu’avec EPSS, nous avons constaté que la probabilité d’exploitation d’une vulnérabilité augmente rapidement lorsque plusieurs CVE sont présents, même si, individuellement, leur score est faible. Dans un exemple, 397 vulnérabilités d’un client du secteur public ont été analysées. Les données ont montré qu’à la 265e vulnérabilité considérée, la probabilité qu’au moins l’une d’entre elles soit exploitée dépassait 99 %, alors qu’aucune des valeurs EPSS individuelles ne dépassait 11 %. Il ne s’agit plus de failles isolées, le volume modifie le risque.
Cette connaissance permet aux décideurs d’avoir un effet de levier. Vous ne volez plus à l’aveuglette avec une longue liste de correctifs. Vous savez quels éléments présentent un risque réel, et à quelle échelle. Cela change la façon dont vous planifiez les calendriers de remédiation, allouez les capacités d’ingénierie et communiquez l’urgence à vos équipes dirigeantes. EPSS soutient vos priorités avec des probabilités, et non des suppositions.
Utilisez-le là où il compte le plus, en particulier sur les systèmes orientés vers l’internet, où l’exposition au risque est beaucoup plus élevée. Combinez l’EPSS avec des informations contextuelles provenant de votre propre environnement et des flux de menaces globales. Vous n’êtes plus à la recherche de bogues logiciels. Vous ciblez ceux qui comptent vraiment.
Les vulnérabilités dont le risque d’exploitation individuel est faible représentent collectivement des menaces importantes.
Une seule vulnérabilité à faible risque peut sembler inoffensive. Mais que se passe-t-il lorsque des centaines, voire des milliers, d’entre elles sont présentes dans votre infrastructure ? C’est là que la probabilité change la donne.
EPSS vous donne un pourcentage de probabilité qu’une vulnérabilité donnée soit exploitée dans la nature. En soi, ce chiffre peut sembler trop faible pour être préoccupant, peut-être 1 %, peut-être 5 %. Mais lorsque votre environnement comprend des centaines de vulnérabilités, les probabilités s’accumulent rapidement. L’analyse des données de clients réels montre qu’à partir des 265 premières vulnérabilités, la probabilité qu’au moins l’une d’entre elles soit exploitée dépasse 99 %. Il ne s’agit pas de vulnérabilités à score élevé en soi. Mais le volume à lui seul rendait le risque total inévitable.
Pour les grandes entreprises, cela représente un défi opérationnel majeur. Ignorer les vulnérabilités à faible risque simplement en raison de leur score individuel vous rend aveugle à l’exposition cumulative. Vous ne pouvez pas présumer de la sécurité sur la base d’une faible probabilité individuelle lorsque vous avez de vastes systèmes distribués.
En tant que dirigeant, ce que vous devez retenir est simple : votre exposition n’est pas définie par un seul élément, mais par le risque total pour l’ensemble de vos activités. Les décisions en matière de sécurité doivent tenir compte de l’échelle. La planification doit refléter la probabilité croissante d’une exploitation au fur et à mesure que les vulnérabilités ne sont pas corrigées.
Le risque doit être calculé dans l’ensemble de l’environnement, et pas seulement à l’intérieur des systèmes individuels. La planification des correctifs, le renforcement des systèmes et la conception architecturale doivent tous être conçus dans cette optique.
Comprendre le comportement des attaquants
Les attaquants ne se soucient pas de la manière dont vous classez les vulnérabilités. Ce qui les intéresse, c’est l’accès. Ils ne recherchent pas des CVE spécifiques par curiosité, ils cherchent des points d’entrée qui leur permettent de pénétrer ou de s’enfoncer plus profondément.
Il faut pour cela recadrer la gestion des vulnérabilités. Il ne s’agit pas de chasser les failles, mais de prévenir les compromissions. Nos données et nos recherches internes le montrent clairement. Par exemple, les attaquants ayant un taux de réussite de 5 % par système n’ont besoin que de 180 cibles pour presque garantir une intrusion réussie. Un attaquant plus habile, avec un taux de réussite de 20 %, n’aurait besoin que de 42 cibles. C’est un calcul de base. Et lorsque la cible est une entreprise possédant des milliers d’appareils, ces chances commencent à pencher fortement en faveur de l’attaquant.
Nous nous sommes entretenus avec des testeurs de pénétration seniors de l’équipe rouge pour ancrer cette compréhension dans la réalité. Ils ont signalé des taux de réussite d’environ 30 % lorsqu’ils ciblent des systèmes arbitraires connectés à l’internet. Il ne s’agit pas d’une hypothèse, mais d’une expérience vécue. Ce sont des professionnels qui testent des systèmes censés être bien sécurisés.
Vos systèmes internes sont peut-être patchés et renforcés. Mais il suffit d’un point faible, d’un système négligé, pour donner à des attaquants habiles l’accès dont ils ont besoin pour aller plus loin. C’est pourquoi la gestion traditionnelle des vulnérabilités, qui se concentre sur l’application de correctifs système par système, ne pourra pas suivre le rythme. Vous devez plutôt évaluer la façon dont les systèmes s’exposent les uns aux autres et ce qui se passe après la compromission.
Si vous vous concentrez sur la gestion des vulnérabilités individuelles sans tenir compte des modèles de comportement des attaquants et de l’exposition systémique, vous ne résolvez pas le bon problème. Les organisations de pointe considèrent les surfaces d’attaque comme des réseaux, des systèmes interconnectés avec des expositions partagées et des conséquences partagées.
Le changement est clair. Des défauts des logiciels à la conception systémique. De la réponse passive à l’anticipation active. Corrigez ce qui intéresse les attaquants. Déployez des défenses qui résistent aux tentatives de compromission, et pas seulement aux bogues individuels.
Double stratégie d’atténuation des menaces et de réduction des risques
Les organisations continuent de traiter la gestion des vulnérabilités comme une liste de contrôle : scanner, détecter, patcher. Cette approche ne fait plus le poids. Les menaces ont évolué. L’environnement s’est étendu. Ce qui manque, c’est une focalisation partagée : un flux qui traite les menaces immédiates, l’autre qui se concentre sur l’architecture des risques à long terme.
L’atténuation des menaces porte sur ce qui est actif, ce qui cible vos systèmes en ce moment même. Il faut établir des priorités en fonction des renseignements sur les menaces, de l’exposition et de la probabilité d’exploitation. C’est là qu’interviennent des outils comme EPSS, ainsi que les flux de menaces et les données de l’équipe rouge. L’objectif est d’empêcher les attaques connues et hautement probables de gagner du terrain.
La réduction des risques est un processus plus lent et stratégique. Il s’agit de modifier le système pour réduire l’exposition future, de réduire la surface d’attaque, d « éliminer les systèmes obsolètes, d’améliorer les configurations par défaut et d’accroître la résilience de l’architecture. Elle s’intéresse moins à ce qui est attaqué qu » à ce qui pourrait devenir une cible.
Essayer de faire tout cela en utilisant un seul processus conduit à l’inefficacité et à l’épuisement. Les équipes de sécurité oscillent entre la lutte contre les problèmes urgents et les tentatives d’amélioration à long terme, et ne parviennent souvent à faire ni l’un ni l’autre. En séparant explicitement les flux de travail relatifs à l’atténuation et au risque, vous permettez à chaque équipe d’opérer avec un meilleur objectif et une meilleure intention.
Pour les dirigeants, il s’agit d’une question d’alignement. Donnez à vos équipes une clarté stratégique. Définissez où vont les efforts urgents et où doivent se concentrer les améliorations durables. Cela libère votre organisation des cycles interminables de correctifs réactifs, tout en faisant progresser la ligne de base. Le résultat est une posture de sécurité plus stricte avec une utilisation plus intelligente des ressources.
Stratégies d’atténuation des menaces
Tous les systèmes ne sont pas exposés de la même manière. C’est important. Les systèmes orientés vers l’internet font l’objet d’analyses, de tests et d’attaques constants. Ce sont les points d’entrée que les attaquants privilégient, et ils exigent une attention défensive ciblée.
EPSS est très efficace sur ces systèmes. Il a été conçu pour prédire si une vulnérabilité sera exploitée dans la nature. Les infrastructures publiques correspondent étroitement à ce modèle, car c’est là que l’exploitation a tendance à se produire en premier. L’utilisation de l’EPSS pour guider l’application des correctifs sur les systèmes internes est beaucoup moins efficace. Ces systèmes ne sont pas soumis au même comportement des attaquants ni aux mêmes niveaux d’exposition.
Les organisations qui appliquent le même cadre de priorisation à tous les systèmes, internes ou externes, gaspillent leurs efforts. L’EPSS doit orienter les mesures d’atténuation là où elles apportent une valeur ajoutée évidente : les actifs exposés à l’internet. Apportez-leur des correctifs en premier. Surveillez-les de près. Appliquez d’abord des contrôles supplémentaires tels que des pare-feu, des restrictions d’accès et des limitations de débit.
Votre équipe de sécurité peut ainsi concentrer son énergie. Vous n’éparpillez pas vos défenses sur des actifs présentant des profils de risque très différents. Au contraire, vous sécurisez ce qui est exposé au monde extérieur, les lignes de front, en utilisant des données conçues à cet effet.
Les dirigeants n’ont pas besoin de microgérer ce processus, mais ils doivent le rendre possible. Veillez à ce que votre équipe reçoive le mandat et les ressources nécessaires pour différencier les types d’actifs. Permettez à votre organisation de sécurité de donner la priorité aux systèmes externes de manière agressive sans être ralentie par des distractions internes à faible risque.
Des efforts priorisés basés sur le niveau d’exposition et la probabilité d’exploitation fourniront une protection bien plus importante par heure de travail. C’est ainsi que vous maintiendrez l’efficacité opérationnelle sans compromettre la résilience.
Réduction du risque systémique
La sécurité ne consiste pas seulement à réparer ce qui est cassé. Il s’agit de de concevoir des systèmes résilients par défaut. Cela supprime la dépendance à l’égard de la vitesse de réaction et transfère la force dans la manière dont les systèmes sont construits et fonctionnent au quotidien. Lorsque les organisations se concentrent exclusivement sur les cycles de correctifs et les arriérés de vulnérabilités, elles ignorent ce qui façonne l’exposition en premier lieu, l’architecture.
La réduction de la surface d’attaque doit devenir un objectif prioritaire. Cela signifie qu’il faut supprimer les systèmes inutiles tournés vers l’extérieur, mettre hors service les actifs mal configurés et éliminer progressivement les infrastructures non prises en charge. La mise en place de couches défensives sur les réseaux, les identités, les applications et les données limite la portée de l’attaque, même après la compromission initiale. La segmentation est essentielle à cet égard, en particulier dans les environnements où les réseaux sont plats ou de conception ancienne.
Les lignes de base de la sécurité doivent être systématiquement relevées. Au lieu de réagir à des problèmes individuels, concentrez vos efforts sur la réduction du volume et de la gravité des vulnérabilités dans votre environnement. Moins vous laissez d’opportunités disponibles, moins un attaquant a de chances de réussir, même lorsque de nouvelles CVE sont publiées. Cette approche est plus efficace et plus économe en ressources au fil du temps.
Les dirigeants doivent considérer ces améliorations architecturales comme essentielles à la résilience de l’organisation. L’allocation budgétaire pour les mises à niveau systémiques doit être considérée de la même manière que n’importe quel autre investissement dans l’infrastructure critique. Lorsque les fondations sont solides, on consacre moins d’efforts à réagir aux menaces constantes. La stratégie devient proactive et les résultats s’accumulent à chaque cycle.
Les systèmes résilients sont construits sur la base de principes de sécurité par défaut.
Le modèle de sécurité traditionnel, qui consiste à ajouter des solutions à l’infrastructure existante après le déploiement, est dépassé. Les organisations prêtes pour l’avenir intègrent la sécurité dans leurs écosystèmes technologiques dès le départ. Ce changement modifie les résultats à grande échelle.
Pour prendre de l’avance, les entreprises devraient adopter des principes de sécurité par défaut. Il s’agit notamment de définir des normes de renforcement, d’automatiser les lignes de base des correctifs et de veiller à ce que les nouveaux systèmes soient validés par rapport à des configurations prédéfinies. Les scénarios de risque doivent être pris en compte dès la phase de conception, ce qui signifie que la modélisation des menaces et les tests d’adversité en situation réelle devraient devenir la norme avant le déploiement de la production.
Les équipes doivent adopter des politiques de sécurité qui s’appliquent à tous les vendeurs et fournisseurs. Une chaîne d’approvisionnement dont les obligations en matière de sécurité ne sont pas claires est une source constante de risques imprévisibles. Vous ne pouvez pas sécuriser votre propre environnement si les services tiers ne respectent pas les mêmes minima. Définissez les attentes de manière contractuelle et appliquez les améliorations de manière programmatique.
La stratégie à long terme exige également que les équipes de sécurité agissent comme des facilitateurs dans l’ensemble de l’entreprise, et non comme des bloqueurs. Lorsque l’ingénierie des produits, l’infrastructure et la sécurité s’alignent sur l’amélioration proactive, les progrès s’accélèrent sans compromis. Ce type de collaboration nécessite le soutien de la direction et un engagement actif.
La sécurité stratégique n’est ni réactive, ni automatique. Elle se construit à partir de plans définis et d’une exécution forcée. Les systèmes que vous concevez aujourd’hui déterminent le niveau de risque auquel vous serez confronté demain. Donnez la priorité à la résilience dès maintenant, au niveau de l’architecture et de la culture, et le reste sera plus facile à mettre à l’échelle.
Récapitulation
Si vous mesurez encore la sécurité en fonction de la rapidité avec laquelle vos équipes corrigent les vulnérabilités, vous n « êtes pas en phase avec la façon dont les menaces modernes opèrent, ni avec la façon dont les organisations performantes réagissent. Le volume est trop important, les signaux sont trop dispersés et le système CVE n’est pas conçu pour suivre le rythme de l » échelle que vous gérez.
Il ne s’agit pas de tout réparer. Il s’agit de réparer ce qui est important et de créer des environnements dans lesquels la défaillance d’un système n’expose pas les autres. Cela signifie qu’il faut séparer l’atténuation des menaces de la réduction des risques à long terme. Cela signifie qu’il faut déployer des outils comme EPSS là où ils fonctionnent le mieux, sur les systèmes exposés, et investir dans des architectures sécurisées en interne qui limitent l’impact, et pas seulement l’entrée.
La sécurité n’est pas une liste de contrôle. C’est un modèle opérationnel directement lié à la continuité des activités et à l’avantage concurrentiel. Lorsque la résilience est intégrée à vos systèmes et non superposée, vos équipes agissent plus rapidement, votre exposition se réduit et vos résultats s’améliorent.
Les défenseurs qui gagnent ne sont pas ceux qui se débrouillent le mieux. Ce sont ceux qui planifient mieux, qui conçoivent dans un but précis et qui font de la sécurité une valeur par défaut et non une réflexion après coup. Prenez ce virage dès maintenant. La prochaine vague de menaces n’attendra pas que vous la rattrapiez.