{"id":40769,"date":"2025-09-19T16:59:18","date_gmt":"2025-09-19T15:59:18","guid":{"rendered":"https:\/\/www.okoone.com\/spark\/non-classifiee\/pourquoi-la-recherche-de-zero-cve-ne-vous-permettra-pas-de-rester-en-securite\/"},"modified":"2025-09-19T17:20:10","modified_gmt":"2025-09-19T16:20:10","slug":"le-piege-de-croire-au-zero-cve","status":"publish","type":"post","link":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/","title":{"rendered":"Le pi\u00e8ge de croire au z\u00e9ro CVE"},"content":{"rendered":"

La norme \u00ab\u00a0z\u00e9ro CVE\u00a0\u00bb est irr\u00e9aliste et trompeuse.<\/h2>\n

L’id\u00e9e d’atteindre z\u00e9ro CVE (Common Vulnerabilities and Exposures) dans vos syst\u00e8mes rel\u00e8ve de la fiction. Ce n’est pas seulement difficile, c’est structurellement impossible \u00e0 quelque \u00e9chelle que ce soit. Et m\u00eame si vous y parveniez pour un moment, vous investiriez des ressources dans le mauvais combat. <\/p>\n

Le fait d’insister sur l’absence de CVE oblige souvent les \u00e9quipes \u00e0 pr\u00e9cipiter les mises \u00e0 jour ou \u00e0 mettre \u00e0 niveau les composants, simplement pour avoir l’esprit tranquille. Ce comportement brise plus de choses qu’il n’en corrige. Le nouveau code ne se contente pas de corriger les vuln\u00e9rabilit\u00e9s, il en introduit de nouvelles, introduit des bogues, provoque des r\u00e9gressions et n\u00e9cessite une reconfiguration. Ainsi, en recherchant le z\u00e9ro CVE, les organisations \u00e9changent une forme de risque contre plusieurs autres. <\/p>\n

La s\u00e9curit\u00e9 doit \u00eatre strat\u00e9gique. Pr\u00e9tendre que les logiciels sont exempts de vuln\u00e9rabilit\u00e9s conduit \u00e0 la complaisance. Le vrai risque est de penser que vous \u00eates en s\u00e9curit\u00e9 alors que ce n’est pas le cas. L’ennemi, ce ne sont pas les failles connues de votre base de code, ce sont les lacunes que vous ignorez et qui sont dissimul\u00e9es par le statut \u00ab\u00a0s\u00e9curis\u00e9\u00a0\u00bb trompeur de votre tableau de bord. <\/p>\n

La le\u00e7on \u00e0 retenir pour les dirigeants est simple : ne g\u00e9rez pas en fonction de param\u00e8tres qui semblent bons dans les feuilles de calcul, mais qui \u00e9chouent dans le monde r\u00e9el. Les logiciels comporteront toujours des risques. L’accent doit \u00eatre mis sur la gestion de l’exposition, la minimisation des surfaces d’attaque et la r\u00e9silience de vos syst\u00e8mes. <\/p>\n

En 2023, environ 30 000 CVE ont \u00e9t\u00e9 enregistr\u00e9s. En 2024, ce nombre est pass\u00e9 \u00e0 pr\u00e8s de 40 000. Cette croissance n’est pas due \u00e0 la d\u00e9gradation des logiciels, mais \u00e0 l’augmentation du nombre de d\u00e9veloppeurs, d’outils (y compris l’IA) et de la surveillance. Ainsi, \u00e0 mesure que la surface d’attaque s’\u00e9tend, l’id\u00e9e de \u00ab\u00a0z\u00e9ro\u00a0\u00bb s’\u00e9loigne de plus en plus de la r\u00e9alit\u00e9. Ne restez pas bloqu\u00e9 dans la mauvaise bataille. <\/p>\n

L’explosion du nombre de CVE signal\u00e9s est due \u00e0 des facteurs syst\u00e9miques qui touchent l’ensemble du secteur.<\/h2>\n

L’augmentation du nombre de CVE n’est pas un signe d’effondrement du monde num\u00e9rique. C’est le signe que les syst\u00e8mes deviennent plus complexes et que l’environnement des rapports de s\u00e9curit\u00e9 \u00e9volue rapidement. Nous ne sommes pas confront\u00e9s \u00e0 une augmentation des risques catastrophiques. Nous sommes confront\u00e9s \u00e0 une explosion du volume, de la complexit\u00e9 et de la visibilit\u00e9. <\/p>\n

Qu’est-ce qui explique ce ph\u00e9nom\u00e8ne ? C’est simple : de plus en plus de code est \u00e9crit par de plus en plus de personnes. La g\u00e9n\u00e9ration de code \u00e0 l’aide de l’IA<\/strong> <\/a>acc\u00e9l\u00e8re encore ce ph\u00e9nom\u00e8ne. Dans le m\u00eame temps, la structure incitative autour de la d\u00e9couverte de vuln\u00e9rabilit\u00e9s est inclin\u00e9e. Les chercheurs en s\u00e9curit\u00e9, les \u00e9tudiants et m\u00eame les fournisseurs sont encourag\u00e9s, d’un point de vue \u00e9conomique, acad\u00e9mique ou r\u00e9putationnel, \u00e0 trouver et \u00e0 publier des faiblesses. Cela gonfle le nombre de vuln\u00e9rabilit\u00e9s et fausse le signal. <\/p>\n

Les soci\u00e9t\u00e9s d’analyse de la s\u00e9curit\u00e9 ajoutent du bruit. Elles se font concurrence sur la base de ce qu’elles peuvent d\u00e9tecter, et pas n\u00e9cessairement sur la gravit\u00e9 du risque. R\u00e9sultat : Les alertes CVE mettent souvent en \u00e9vidence des failles non pertinentes ou inexploitables, car on a l’impression que \u00ab\u00a0plus de d\u00e9tection\u00a0\u00bb \u00e9quivaut \u00e0 \u00ab\u00a0un meilleur produit\u00a0\u00bb. En r\u00e9alit\u00e9, elles d\u00e9tournent les d\u00e9cideurs et les \u00e9quipes de s\u00e9curit\u00e9 des menaces cr\u00e9dibles. <\/p>\n

Cet environnement cr\u00e9e une sorte de boucle de r\u00e9troaction. Les outils d’intelligence artificielle facilitent la d\u00e9tection des failles mineures. Celles-ci sont enregistr\u00e9es et comptabilis\u00e9es. Les fournisseurs s’efforcent d’apporter des correctifs \u00e0 ces drapeaux pour maintenir des tableaux de bord propres. Pendant ce temps, la v\u00e9ritable r\u00e9silience du syst\u00e8me est rel\u00e9gu\u00e9e au second plan. <\/p>\n

En tant que dirigeant, ce qui compte, c’est de se concentrer sur les vuln\u00e9rabilit\u00e9s qui comptent vraiment, sur les syst\u00e8mes qu’elles affectent et sur les dommages potentiels qu’elles peuvent causer. Le nombre de CVE n’est pas la menace. Le traiter comme si elle l’\u00e9tait fait perdre du temps et de l’argent, et ne vous rapproche pas de la s\u00e9curit\u00e9. <\/p>\n

Tous les CVE ne repr\u00e9sentent pas des risques significatifs ; c’est le contexte qui d\u00e9termine leur impact.<\/h2>\n

Tous les CVE ne sont pas des probl\u00e8mes qui m\u00e9ritent d’\u00eatre r\u00e9solus. Traiter toutes les vuln\u00e9rabilit\u00e9s sur un pied d’\u00e9galit\u00e9 n’est pas strat\u00e9gique, c’est inefficace. L’ordre de priorit\u00e9 est primordial. Un probl\u00e8me de faible gravit\u00e9 enfoui dans un syst\u00e8me verrouill\u00e9 par des couches de contr\u00f4le d’acc\u00e8s ne pr\u00e9sente pas le m\u00eame risque qu’une faille exploitable \u00e0 distance dans une application critique. Mais si votre processus de s\u00e9curit\u00e9 les traite de la m\u00eame mani\u00e8re, vous affectez mal vos ressources. <\/p>\n

L’\u00e9tat d’esprit fig\u00e9 selon lequel \u00ab\u00a0chaque CVE doit \u00eatre corrig\u00e9\u00a0\u00bb cr\u00e9e un fardeau inutile. De nombreuses CVE ne peuvent m\u00eame pas \u00eatre exploit\u00e9es dans des conditions normales. D’autres pr\u00e9sentent un risque si faible que l’application d’un correctif introduit en fait plus de complexit\u00e9 que de les laisser en l’\u00e9tat. Le contexte est important. Vous devez comprendre la fonction du code associ\u00e9 \u00e0 la CVE : s’agit-il d’une biblioth\u00e8que, d’un programme shell ou d’un service de longue dur\u00e9e tel qu’un d\u00e9mon ? Chaque code se comporte diff\u00e9remment et pr\u00e9sente un profil de s\u00e9curit\u00e9 diff\u00e9rent. <\/p>\n

Les contr\u00f4les compensatoires peuvent r\u00e9duire ou neutraliser le risque li\u00e9 \u00e0 un CVE. Il peut s’agir de la configuration du syst\u00e8me, du contr\u00f4le d’acc\u00e8s, de l’isolation des processus ou des protections d’ex\u00e9cution. Une CVE qui semble urgente sur le papier peut devenir sans importance dans la pratique lorsque ces contr\u00f4les sont en place. <\/p>\n

Si vous \u00eates en position de leadership, la cl\u00e9 est la suivante : exigez le contexte. N’acceptez pas les rapports de vuln\u00e9rabilit\u00e9 qui ne sont pas li\u00e9s \u00e0 la fonction de l’entreprise, \u00e0 l’utilisation op\u00e9rationnelle et \u00e0 l’exploitabilit\u00e9. Ne laissez pas vos \u00e9quipes perdre des cycles \u00e0 corriger des probl\u00e8mes parasites alors qu’elles pourraient renforcer des cibles r\u00e9elles. La s\u00e9curit\u00e9 doit \u00eatre bas\u00e9e sur l’exposition et les cons\u00e9quences, et pas seulement sur le volume de d\u00e9tection. <\/p>\n

Le suivi des CVE n’a pas permis d’\u00e9viter des vuln\u00e9rabilit\u00e9s graves telles que l’incident log4j.<\/h2>\n

Log4j a prouv\u00e9 ce que beaucoup soup\u00e7onnaient d\u00e9j\u00e0, \u00e0 savoir que les syst\u00e8mes CVE bien connus ne d\u00e9tectent pas tout. CVE-2021-44228, le probl\u00e8me de Log4j, n’a \u00e9t\u00e9 d\u00e9couvert qu’en 2021, alors que le code affect\u00e9 \u00e9tait disponible depuis 2013. Pr\u00e8s d’une d\u00e9cennie s’est \u00e9coul\u00e9e, et aucun fournisseur, aucun scanner, aucun processus ne l’a d\u00e9tect\u00e9. Le probl\u00e8me \u00e9tait critique, r\u00e9pandu et facilement exploitable une fois expos\u00e9. Mais jusqu’\u00e0 ce moment-l\u00e0, tout le monde avait des tableaux de bord \u00ab\u00a0conformes\u00a0\u00bb et faisait confiance \u00e0 ses outils d’analyse. C’est l\u00e0 le probl\u00e8me. <\/p>\n

Une vuln\u00e9rabilit\u00e9 cach\u00e9e \u00e0 la vue de tous peut faire plus de d\u00e9g\u00e2ts qu’une douzaine de CVE de faible gravit\u00e9 r\u00e9unis. Log4j n’a pas \u00e9t\u00e9 oubli\u00e9 parce qu’il \u00e9tait obscur, mais parce que les cultures bas\u00e9es sur l’analyse s’int\u00e9ressent \u00e0 ce qui est signal\u00e9 et non \u00e0 ce qui pourrait mal tourner. Le syst\u00e8me CVE n’a pas \u00e9chou\u00e9 \u00e0 \u00e9tiqueter le bogue, il a \u00e9chou\u00e9 \u00e0 le trouver. <\/p>\n

Il s’agit de rappeler que \u00ab\u00a0connu\u00a0\u00bb n’est pas synonyme d'\u00a0\u00bbexhaustif\u00a0\u00bb. Vos syst\u00e8mes contiennent des vuln\u00e9rabilit\u00e9s qui ne figurent dans aucune base de donn\u00e9es. Z\u00e9ro CVE sur le papier ne signifie pas risque z\u00e9ro, mais simplement que personne n’a encore trouv\u00e9 la faille. La le\u00e7on \u00e0 retenir est simple : ne confondez pas visibilit\u00e9 et s\u00e9curit\u00e9. <\/p>\n

Pour les dirigeants, il est risqu\u00e9 de faire confiance au processus plut\u00f4t qu’aux r\u00e9sultats. Les tableaux de bord indiquant que \u00ab\u00a0tout va bien\u00a0\u00bb reposent souvent sur des hypoth\u00e8ses que les vrais attaquants ne partagent pas. La cybers\u00e9curit\u00e9 ne consiste pas \u00e0 trouver ce qui est facile, mais \u00e0 se pr\u00e9parer \u00e0 ce qui est possible. Le retard de Log4j a mis en \u00e9vidence un angle mort que la complaisance a laiss\u00e9 se d\u00e9velopper. <\/p>\n

Cette vuln\u00e9rabilit\u00e9 montre que l’attention doit toujours aller au-del\u00e0 de ce qui est actuellement document\u00e9. Le leadership strat\u00e9gique implique de poser des questions plus difficiles : Que manquons-nous d’autre ? Qu’est-ce que nous ne signalons pas ? Dans quelle mesure sommes-nous r\u00e9ellement expos\u00e9s et quelles sont les mesures d’att\u00e9nuation existantes au cas o\u00f9 quelque chose de plus grave passerait \u00e0 nouveau inaper\u00e7u ? <\/p>\n

En bref, si votre programme de s\u00e9curit\u00e9 n’a pas d\u00e9tect\u00e9 Log4j, il n’\u00e9tait pas non plus pr\u00eat pour ce qui va suivre.<\/p>\n

La d\u00e9fense en profondeur est une strat\u00e9gie de s\u00e9curit\u00e9 plus efficace que celle qui consiste \u00e0 se concentrer uniquement sur la rem\u00e9diation des CVE \u00e0 l’aide de correctifs.<\/h2>\n

La chasse \u00e0 chaque CVE sans strat\u00e9gie d\u00e9fensive plus large ne s\u00e9curisera pas vos syst\u00e8mes. Les risques ne disparaissent pas simplement parce que vous d\u00e9ployez un correctif. Si un attaquant parvient \u00e0 passer, la question \u00e0 laquelle vous devez r\u00e9pondre est la suivante : qu’est-ce qui est en place pour l’emp\u00eacher de faire des d\u00e9g\u00e2ts ? <\/p>\n

La d\u00e9fense en profondeur apporte cette r\u00e9ponse. Il s’agit de superposer des protections \u00e0 travers votre infrastructure, en veillant \u00e0 ce qu’aucune d\u00e9faillance ne conduise \u00e0 une compromission totale du syst\u00e8me. Cela inclut des binaires renforc\u00e9s, l’application de r\u00e8gles d’ex\u00e9cution, des protections au niveau du noyau comme SELinux, et des architectures de syst\u00e8me o\u00f9 les services sont segment\u00e9s, et non pas empil\u00e9s inutilement dans un seul conteneur ou serveur. Ces contr\u00f4les r\u00e9duisent l’impact d’une vuln\u00e9rabilit\u00e9, m\u00eame si elle n’a pas encore \u00e9t\u00e9 corrig\u00e9e. <\/p>\n

Nous avons d\u00e9j\u00e0 pu constater l’efficacit\u00e9 de ce syst\u00e8me dans le monde r\u00e9el. Lorsque CVE-2019-5736, une vuln\u00e9rabilit\u00e9 de conteneur potentiellement compromettante pour le syst\u00e8me, a fait surface, certains environnements ont \u00e9t\u00e9 prot\u00e9g\u00e9s simplement parce que SELinux a bloqu\u00e9 le chemin de l’exploit. Pas de cycle de correctifs urgent. Pas d’exercice d’\u00e9vacuation. Protection, par conception. <\/p>\n

Les dirigeants doivent comprendre la diff\u00e9rence entre la correction des vuln\u00e9rabilit\u00e9s et leur neutralisation. Les syst\u00e8mes correctement configur\u00e9s ne s’appuient pas uniquement sur les listes CVE. Ils garantissent que les politiques, l’architecture et les protections d’ex\u00e9cution emp\u00eachent r\u00e9ellement les mauvais r\u00e9sultats. Si un correctif n’est pas appliqu\u00e9 rapidement, le syst\u00e8me n’est pas laiss\u00e9 ouvert pendant que vous attendez. <\/p>\n

Le durcissement n’est pas facultatif si vous vous souciez de la continuit\u00e9. Les plateformes que vous d\u00e9ployez sont importantes. N’ex\u00e9cutez pas plusieurs services non li\u00e9s ensemble. N’activez pas SSH par d\u00e9faut dans les conteneurs. Ne sautez pas les fonctions de s\u00e9curit\u00e9 au niveau du syst\u00e8me d’exploitation parce qu’elles ajoutent de la complexit\u00e9 \u00e0 l’installation. Le temps gagn\u00e9 au d\u00e9part peut co\u00fbter plus cher plus tard. <\/p>\n

Un syst\u00e8me construit avec des d\u00e9fenses superpos\u00e9es est difficile \u00e0 briser, m\u00eame lorsque certaines parties sont vuln\u00e9rables. C’est \u00e0 cela que ressemble la r\u00e9silience. C’est ce que les dirigeants devraient demander : des mesures de s\u00e9curit\u00e9 qui ne se contentent pas de r\u00e9agir, mais qui r\u00e9sistent. <\/p>\n

Les attaques bas\u00e9es sur l’identit\u00e9, l’ing\u00e9nierie sociale et l’infrastructure contournent l’approche traditionnelle de la gestion des vuln\u00e9rabilit\u00e9s.<\/h2>\n

Vous pouvez avoir une hygi\u00e8ne parfaite en mati\u00e8re de correctifs et \u00eatre victime d’une intrusion. Les attaquants ne s’attaquent pas toujours aux failles des logiciels. De plus en plus, ils s’attaquent \u00e0 votre personnel, \u00e0 vos contr\u00f4les d’acc\u00e8s et aux parties mal configur\u00e9es de vos environnements qui se trouvent en dehors de vos services de production. Il s’agit notamment des syst\u00e8mes de sauvegarde, des contr\u00f4leurs de domaine, des points de terminaison existants et m\u00eame des logiciels dont la dur\u00e9e de vie est d\u00e9pass\u00e9e depuis longtemps. <\/p>\n

Les attaques bas\u00e9es sur les informations d’identification sont extr\u00eamement efficaces parce qu’elles contournent les vuln\u00e9rabilit\u00e9s techniques et vont directement \u00e0 l’acc\u00e8s de confiance. La faiblesse de l’authentification et la r\u00e9utilisation des informations d’identification restent courantes dans les syst\u00e8mes d’entreprise, m\u00eame dans les versions \u00ab\u00a0s\u00e9curis\u00e9es\u00a0\u00bb. Si les attaquants obtiennent un acc\u00e8s valide, ils n’exploitent pas de bogues, ils utilisent des fonctionnalit\u00e9s. Il n’y a pas de CVE pour cela. <\/p>\n

L’ing\u00e9nierie sociale va plus loin. Les attaquants manipulent les initi\u00e9s ou incitent les utilisateurs \u00e0 cliquer sur la mauvaise chose, \u00e0 approuver l’acc\u00e8s ou \u00e0 r\u00e9v\u00e9ler des d\u00e9tails sensibles. Ces techniques peuvent saper m\u00eame les syst\u00e8mes les plus robustes sur le plan technique. Ce qu’elles exploitent, ce n’est pas le logiciel, c’est la connexion humaine avec celui-ci. <\/p>\n

C’est pourquoi la gestion des identit\u00e9s et des acc\u00e8s (IAM) n’est pas seulement une fonction informatique, c’est une couche de s\u00e9curit\u00e9 fondamentale. La centralisation des syst\u00e8mes d’identit\u00e9, l’application de politiques d’acc\u00e8s strictes et l’\u00e9limination des maillons faibles tels que l’acc\u00e8s illimit\u00e9 au shell ou les API non s\u00e9curis\u00e9es devraient \u00eatre des priorit\u00e9s de base, et non des ajouts. <\/p>\n

Ensuite, il y a l’infrastructure elle-m\u00eame. Un stockage en r\u00e9seau mal s\u00e9curis\u00e9, des services internes non g\u00e9r\u00e9s et des erreurs de configuration persistantes sont autant de points d’appui. Ces \u00e9l\u00e9ments passent souvent inaper\u00e7us dans les analyses de vuln\u00e9rabilit\u00e9 parce qu’ils sont op\u00e9rationnels et non bas\u00e9s sur le code. Mais les attaquants ne les ignorent pas. <\/p>\n

En tant que dirigeant, vous voulez une assurance syst\u00e8me soutenue par plus que des tableaux de bord CVE. Posez des questions sur la strat\u00e9gie IAM. Demandez o\u00f9 se trouve encore l’acc\u00e8s non contr\u00f4l\u00e9. Assurez-vous que l’organisation investit dans la formation continue et la r\u00e9sistance au phishing. Prenez vos d\u00e9cisions en mati\u00e8re de s\u00e9curit\u00e9 en vous basant sur la mani\u00e8re dont un attaquant s’en prendrait r\u00e9ellement \u00e0 votre entreprise, et non sur la mani\u00e8re dont un scanner interpr\u00e8te le code. <\/p>\n

L’\u00e9tat d’esprit \u00ab\u00a0z\u00e9ro CVE\u00a0\u00bb peut conduire \u00e0 une certaine complaisance et \u00e0 une mauvaise affectation des ressources en mati\u00e8re de s\u00e9curit\u00e9.<\/h2>\n

L’objectif de \u00ab\u00a0z\u00e9ro CVE\u00a0\u00bb est plus une question d’optique que de s\u00e9curit\u00e9 r\u00e9elle. Il s’agit d’un chiffre net qui fait bonne figure dans un rapport ou sur un tableau de bord. Mais lorsque les dirigeants se concentrent sur cette mesure, le comportement des \u00e9quipes s’en trouve modifi\u00e9, et pas de la bonne mani\u00e8re. Elles commencent \u00e0 optimiser l’apparence au lieu de la r\u00e9silience. <\/p>\n

Les \u00e9quipes finissent par courir apr\u00e8s les mises \u00e0 jour pour garder une longueur d’avance sur les vuln\u00e9rabilit\u00e9s scann\u00e9es, m\u00eame lorsque les CVE pr\u00e9sentent un faible risque ou ne sont pas pertinents dans le contexte. Elles renoncent \u00e0 la stabilit\u00e9, \u00e0 la fiabilit\u00e9 et \u00e0 l’\u00e9tablissement de priorit\u00e9s dans le but d’effacer une liste. Et une fois que cette liste est vide, l’id\u00e9e s’installe que les syst\u00e8mes sont s\u00fbrs. Il en r\u00e9sulte une baisse de la vigilance, un retard dans l’investissement dans des contr\u00f4les plus approfondis et une complaisance dans les domaines \u00e0 haut risque qui n’apparaissent pas du tout dans les analyses CVE. <\/p>\n

La s\u00e9curit\u00e9 est une question d’ex\u00e9cution et de contexte, et non de liste de contr\u00f4le. Si votre strat\u00e9gie s’appuie sur les outils des fournisseurs qui signalent \u00ab\u00a0aucune vuln\u00e9rabilit\u00e9 connue\u00a0\u00bb pour revendiquer le succ\u00e8s, votre organisation se d\u00e9fend contre le pass\u00e9. Les vuln\u00e9rabilit\u00e9s les plus importantes sont souvent celles qui n’ont pas encore \u00e9t\u00e9 d\u00e9couvertes ou signal\u00e9es. La mention \u00ab\u00a0z\u00e9ro CVE\u00a0\u00bb donne un faux sentiment de contr\u00f4le sur un paysage de menaces en constante \u00e9volution. <\/p>\n

Les dirigeants doivent comprendre que les mesures de s\u00e9curit\u00e9 doivent refl\u00e9ter le comportement r\u00e9el du risque, dynamique, impr\u00e9visible et souvent non signal\u00e9 jusqu’\u00e0 ce qu’il soit trop tard. La meilleure question \u00e0 se poser est la suivante : quelle est la rapidit\u00e9 de r\u00e9action des \u00e9quipes face \u00e0 des \u00e9v\u00e9nements inconnus ? Dans quelle mesure les syst\u00e8mes sont-ils segment\u00e9s ? Qu’est-ce qui est en place pour emp\u00eacher les mouvements lat\u00e9raux si quelque chose se brise ? <\/p>\n

Il faut investir l\u00e0 o\u00f9 c’est important : dans la d\u00e9tection, la gouvernance des identit\u00e9s, le renforcement et la planification d’urgence, et non dans l’effacement artificiel des registres publics de vuln\u00e9rabilit\u00e9s. Ce qui para\u00eet bien aux yeux des auditeurs n’est pas toujours ce qui emp\u00eache les attaquants d’entrer. <\/p>\n

Il est plus avantageux d’adopter une approche de planification de la s\u00e9curit\u00e9 fond\u00e9e sur les risques que de se concentrer sur l’\u00e9limination des CVE.<\/h2>\n

Si la s\u00e9curit\u00e9 n’est pas li\u00e9e au risque, ce n’est que du th\u00e9\u00e2tre. L’objectif n’est pas de tout corriger, mais de prot\u00e9ger ce qui compte le plus. Cela signifie qu’il faut comprendre o\u00f9 l’exposition existe, quels sont les syst\u00e8mes les plus critiques pour les op\u00e9rations et comment un incident pourrait se d\u00e9rouler si une vuln\u00e9rabilit\u00e9 est exploit\u00e9e. <\/p>\n

La planification de la s\u00e9curit\u00e9 bas\u00e9e sur le risque place les mod\u00e8les de menace et les priorit\u00e9s de l’entreprise au centre de la conception de la s\u00e9curit\u00e9. Cela signifie que certaines vuln\u00e9rabilit\u00e9s ne seront jamais corrig\u00e9es, ce qui est acceptable si des contr\u00f4les compensatoires sont en place et si la menace ne justifie pas une interruption. \u00c0 l’inverse, certains syst\u00e8mes n\u00e9cessitent une protection imm\u00e9diate, m\u00eame s’ils ne pr\u00e9sentent aucun CVE, en raison du r\u00f4le qu’ils jouent dans votre infrastructure ou des donn\u00e9es qu’ils stockent. <\/p>\n

Un programme mature s’appuie sur des donn\u00e9es provenant de sources multiples : analyses de vuln\u00e9rabilit\u00e9, tests de p\u00e9n\u00e9tration, informations sur les menaces r\u00e9elles, examens architecturaux et signaux de risques d’initi\u00e9s. Il ne se contente pas de suivre la conformit\u00e9, il l’informe. Si vous vous en remettez \u00e0 des mesures telles que le nombre de CVE, vous laissez les scanners d\u00e9finir les priorit\u00e9s, au lieu d’aligner l’ex\u00e9cution de la s\u00e9curit\u00e9 sur vos propres objectifs op\u00e9rationnels. <\/p>\n

Les dirigeants doivent promouvoir une culture de planification qui pose la question suivante : \u00ab\u00a0Que se passe-t-il si le syst\u00e8me est compromis ? et non pas \u00ab\u00a0Combien de CVE sont r\u00e9pertori\u00e9s aujourd’hui ?\u00a0\u00bb. Ce changement modifie consid\u00e9rablement les r\u00e9sultats en mati\u00e8re de s\u00e9curit\u00e9. Il encourage des investissements \u00e9quilibr\u00e9s dans la gestion des identit\u00e9s, la segmentation du r\u00e9seau, l’application des r\u00e8gles d’ex\u00e9cution et la capacit\u00e9 de r\u00e9ponse aux incidents. Ce sont les mesures qui tiennent la route lorsque des menaces impr\u00e9vues \u00e9mergent. <\/p>\n

Le risque n’est pas abstrait. Il est op\u00e9rationnel, mesurable et directement li\u00e9 aux performances de l’entreprise. Si vous ne l’\u00e9valuez pas correctement, le reste n’a pas d’importance. La planification s\u00e9curis\u00e9e commence l\u00e0 o\u00f9 le risque existe, et non l\u00e0 o\u00f9 il est le plus facile \u00e0 mesurer. C’est la diff\u00e9rence entre l’application r\u00e9active d’une politique et la protection proactive. <\/p>\n

R\u00e9flexions finales<\/h2>\n

La s\u00e9curit\u00e9 n’est pas une ligne d’arriv\u00e9e, et elle n’est certainement pas d\u00e9finie par l’absence de CVE dans un rapport. Si vous dirigez une \u00e9quipe, un produit ou une organisation enti\u00e8re, la question que vous devez vous poser n’est pas \u00ab\u00a0Sommes-nous vuln\u00e9rables ?\u00a0\u00bb, mais \u00ab\u00a0Sommes-nous pr\u00eats ?\u00a0\u00bb. mais \u00ab\u00a0Sommes-nous pr\u00e9par\u00e9s ?\u00a0\u00bb <\/p>\n

Une analyse de vuln\u00e9rabilit\u00e9 sans faille ne signifie pas que les attaquants ne peuvent pas entrer. Cela signifie simplement que personne n’a encore trouv\u00e9 le moyen d’entrer. La v\u00e9ritable s\u00e9curit\u00e9 commence par la compr\u00e9hension de l’exposition, l’att\u00e9nuation de l’impact et la construction de syst\u00e8mes qui r\u00e9sistent \u00e0 la pression et ne se contentent pas de passer les contr\u00f4les. <\/p>\n

L’objectif est la r\u00e9silience op\u00e9rationnelle. Cela signifie qu’il faut investir dans des d\u00e9fenses \u00e0 plusieurs niveaux, \u00e9liminer les configurations faibles, resserrer l’acc\u00e8s et se pr\u00e9parer \u00e0 l’inconnu. Ce n’est pas tape-\u00e0-l’\u0153il, mais cela permet \u00e0 vos syst\u00e8mes de survivre lorsque les choses tournent mal. <\/p>\n

Utilisez des mesures qui ont un sens, des mesures qui correspondent \u00e0 des risques r\u00e9els et non \u00e0 des feuilles de calcul. Prenez des d\u00e9cisions bas\u00e9es sur les cons\u00e9quences et non sur la conformit\u00e9. La s\u00e9curit\u00e9 ne consiste pas \u00e0 tout r\u00e9gler. Il s’agit de r\u00e9parer ce qui est important avant que cela ne le soit. Assurez-vous que vos \u00e9quipes sont align\u00e9es sur ce principe. <\/p>\n<\/div><\/div><\/div><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"

La chasse au z\u00e9ro CVE fait perdre du temps, masque les menaces r\u00e9elles et fausse les priorit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9. La v\u00e9ritable r\u00e9silience vient de la superposition des d\u00e9fenses, de la planification bas\u00e9e sur les risques et de l’\u00e9limination des angles morts, et non pas de tableaux de bord propres ou d’un th\u00e9\u00e2tre de la conformit\u00e9. <\/p>\n","protected":false},"author":8,"featured_media":40724,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_yoast_wpseo_metadesc":"Z\u00e9ro CVE ne signifie pas z\u00e9ro risque. Concentrez-vous sur la s\u00e9curit\u00e9 \u00e0 plusieurs niveaux, les menaces r\u00e9elles et la r\u00e9silience op\u00e9rationnelle, et non sur les mesures de vanit\u00e9.","footnotes":""},"categories":[133],"tags":[],"class_list":["post-40769","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategies-et-transformation"],"acf":{"automation_content_extra":"","automation_fr_post_title":"Le pi\u00e8ge de croire au z\u00e9ro CVE"},"yoast_head":"\nLe pi\u00e8ge de croire au z\u00e9ro CVE | Okoone<\/title>\n<meta name=\"description\" content=\"Z\u00e9ro CVE ne signifie pas z\u00e9ro risque. Concentrez-vous sur la s\u00e9curit\u00e9 \u00e0 plusieurs niveaux, les menaces r\u00e9elles et la r\u00e9silience op\u00e9rationnelle, et non sur les mesures de vanit\u00e9.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Le pi\u00e8ge de croire au z\u00e9ro CVE | Okoone\" \/>\n<meta property=\"og:description\" content=\"Z\u00e9ro CVE ne signifie pas z\u00e9ro risque. Concentrez-vous sur la s\u00e9curit\u00e9 \u00e0 plusieurs niveaux, les menaces r\u00e9elles et la r\u00e9silience op\u00e9rationnelle, et non sur les mesures de vanit\u00e9.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/\" \/>\n<meta property=\"og:site_name\" content=\"Okoone\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/okoone\" \/>\n<meta property=\"article:published_time\" content=\"2025-09-19T15:59:18+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-09-19T16:20:10+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.okoone.com\/wp-content\/uploads\/2025\/09\/Strategy-Trends-527.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Alexander Procter\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@Okoone_news\" \/>\n<meta name=\"twitter:site\" content=\"@Okoone_news\" \/>\n<meta name=\"twitter:label1\" content=\"\u00c9crit par\" \/>\n\t<meta name=\"twitter:data1\" content=\"Alexander Procter\" \/>\n\t<meta name=\"twitter:label2\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data2\" content=\"22 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/spark\\\/strategies-et-transformation\\\/le-piege-de-croire-au-zero-cve\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/spark\\\/strategies-et-transformation\\\/le-piege-de-croire-au-zero-cve\\\/\"},\"author\":{\"name\":\"Alexander Procter\",\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/#\\\/schema\\\/person\\\/f60f32cfd8df4e19538107b0826f6dfc\"},\"headline\":\"Le pi\u00e8ge de croire au z\u00e9ro CVE\",\"datePublished\":\"2025-09-19T15:59:18+00:00\",\"dateModified\":\"2025-09-19T16:20:10+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/spark\\\/strategies-et-transformation\\\/le-piege-de-croire-au-zero-cve\\\/\"},\"wordCount\":4680,\"publisher\":{\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/spark\\\/strategies-et-transformation\\\/le-piege-de-croire-au-zero-cve\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.okoone.com\\\/wp-content\\\/uploads\\\/2025\\\/09\\\/Strategy-Trends-527.jpg\",\"articleSection\":[\"Strat\u00e9gies et transformation\"],\"inLanguage\":\"fr-FR\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/spark\\\/strategies-et-transformation\\\/le-piege-de-croire-au-zero-cve\\\/\",\"url\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/spark\\\/strategies-et-transformation\\\/le-piege-de-croire-au-zero-cve\\\/\",\"name\":\"Le pi\u00e8ge de croire au z\u00e9ro CVE | Okoone\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/spark\\\/strategies-et-transformation\\\/le-piege-de-croire-au-zero-cve\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/spark\\\/strategies-et-transformation\\\/le-piege-de-croire-au-zero-cve\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.okoone.com\\\/wp-content\\\/uploads\\\/2025\\\/09\\\/Strategy-Trends-527.jpg\",\"datePublished\":\"2025-09-19T15:59:18+00:00\",\"dateModified\":\"2025-09-19T16:20:10+00:00\",\"description\":\"Z\u00e9ro CVE ne signifie pas z\u00e9ro risque. Concentrez-vous sur la s\u00e9curit\u00e9 \u00e0 plusieurs niveaux, les menaces r\u00e9elles et la r\u00e9silience op\u00e9rationnelle, et non sur les mesures de vanit\u00e9.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/spark\\\/strategies-et-transformation\\\/le-piege-de-croire-au-zero-cve\\\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.okoone.com\\\/fr\\\/spark\\\/strategies-et-transformation\\\/le-piege-de-croire-au-zero-cve\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/spark\\\/strategies-et-transformation\\\/le-piege-de-croire-au-zero-cve\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.okoone.com\\\/wp-content\\\/uploads\\\/2025\\\/09\\\/Strategy-Trends-527.jpg\",\"contentUrl\":\"https:\\\/\\\/www.okoone.com\\\/wp-content\\\/uploads\\\/2025\\\/09\\\/Strategy-Trends-527.jpg\",\"width\":1200,\"height\":900,\"caption\":\"Zero CVEs don\u2019t mean zero risk. Focus on layered security, real threats, and operational resilience, not vanity metrics.\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/spark\\\/strategies-et-transformation\\\/le-piege-de-croire-au-zero-cve\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Le pi\u00e8ge de croire au z\u00e9ro CVE\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/#website\",\"url\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/\",\"name\":\"Okoone\",\"description\":\"Enabling Digital Success\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/#organization\",\"name\":\"Okoone\",\"url\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"\",\"contentUrl\":\"\",\"caption\":\"Okoone\"},\"image\":{\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/okoone\",\"https:\\\/\\\/x.com\\\/Okoone_news\",\"https:\\\/\\\/www.linkedin.com\\\/company\\\/okoone\\\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.okoone.com\\\/fr\\\/#\\\/schema\\\/person\\\/f60f32cfd8df4e19538107b0826f6dfc\",\"name\":\"Alexander Procter\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/www.okoone.com\\\/wp-content\\\/uploads\\\/2024\\\/04\\\/alexander-procter-150x150.png\",\"url\":\"https:\\\/\\\/www.okoone.com\\\/wp-content\\\/uploads\\\/2024\\\/04\\\/alexander-procter-150x150.png\",\"contentUrl\":\"https:\\\/\\\/www.okoone.com\\\/wp-content\\\/uploads\\\/2024\\\/04\\\/alexander-procter-150x150.png\",\"caption\":\"Alexander Procter\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Le pi\u00e8ge de croire au z\u00e9ro CVE | Okoone","description":"Z\u00e9ro CVE ne signifie pas z\u00e9ro risque. Concentrez-vous sur la s\u00e9curit\u00e9 \u00e0 plusieurs niveaux, les menaces r\u00e9elles et la r\u00e9silience op\u00e9rationnelle, et non sur les mesures de vanit\u00e9.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/","og_locale":"fr_FR","og_type":"article","og_title":"Le pi\u00e8ge de croire au z\u00e9ro CVE | Okoone","og_description":"Z\u00e9ro CVE ne signifie pas z\u00e9ro risque. Concentrez-vous sur la s\u00e9curit\u00e9 \u00e0 plusieurs niveaux, les menaces r\u00e9elles et la r\u00e9silience op\u00e9rationnelle, et non sur les mesures de vanit\u00e9.","og_url":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/","og_site_name":"Okoone","article_publisher":"https:\/\/www.facebook.com\/okoone","article_published_time":"2025-09-19T15:59:18+00:00","article_modified_time":"2025-09-19T16:20:10+00:00","og_image":[{"width":1200,"height":900,"url":"https:\/\/www.okoone.com\/wp-content\/uploads\/2025\/09\/Strategy-Trends-527.jpg","type":"image\/jpeg"}],"author":"Alexander Procter","twitter_card":"summary_large_image","twitter_creator":"@Okoone_news","twitter_site":"@Okoone_news","twitter_misc":{"\u00c9crit par":"Alexander Procter","Dur\u00e9e de lecture estim\u00e9e":"22 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/#article","isPartOf":{"@id":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/"},"author":{"name":"Alexander Procter","@id":"https:\/\/www.okoone.com\/fr\/#\/schema\/person\/f60f32cfd8df4e19538107b0826f6dfc"},"headline":"Le pi\u00e8ge de croire au z\u00e9ro CVE","datePublished":"2025-09-19T15:59:18+00:00","dateModified":"2025-09-19T16:20:10+00:00","mainEntityOfPage":{"@id":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/"},"wordCount":4680,"publisher":{"@id":"https:\/\/www.okoone.com\/fr\/#organization"},"image":{"@id":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/#primaryimage"},"thumbnailUrl":"https:\/\/www.okoone.com\/wp-content\/uploads\/2025\/09\/Strategy-Trends-527.jpg","articleSection":["Strat\u00e9gies et transformation"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/","url":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/","name":"Le pi\u00e8ge de croire au z\u00e9ro CVE | Okoone","isPartOf":{"@id":"https:\/\/www.okoone.com\/fr\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/#primaryimage"},"image":{"@id":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/#primaryimage"},"thumbnailUrl":"https:\/\/www.okoone.com\/wp-content\/uploads\/2025\/09\/Strategy-Trends-527.jpg","datePublished":"2025-09-19T15:59:18+00:00","dateModified":"2025-09-19T16:20:10+00:00","description":"Z\u00e9ro CVE ne signifie pas z\u00e9ro risque. Concentrez-vous sur la s\u00e9curit\u00e9 \u00e0 plusieurs niveaux, les menaces r\u00e9elles et la r\u00e9silience op\u00e9rationnelle, et non sur les mesures de vanit\u00e9.","breadcrumb":{"@id":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/#primaryimage","url":"https:\/\/www.okoone.com\/wp-content\/uploads\/2025\/09\/Strategy-Trends-527.jpg","contentUrl":"https:\/\/www.okoone.com\/wp-content\/uploads\/2025\/09\/Strategy-Trends-527.jpg","width":1200,"height":900,"caption":"Zero CVEs don\u2019t mean zero risk. Focus on layered security, real threats, and operational resilience, not vanity metrics."},{"@type":"BreadcrumbList","@id":"https:\/\/www.okoone.com\/fr\/spark\/strategies-et-transformation\/le-piege-de-croire-au-zero-cve\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.okoone.com\/fr\/"},{"@type":"ListItem","position":2,"name":"Le pi\u00e8ge de croire au z\u00e9ro CVE"}]},{"@type":"WebSite","@id":"https:\/\/www.okoone.com\/fr\/#website","url":"https:\/\/www.okoone.com\/fr\/","name":"Okoone","description":"Enabling Digital Success","publisher":{"@id":"https:\/\/www.okoone.com\/fr\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.okoone.com\/fr\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Organization","@id":"https:\/\/www.okoone.com\/fr\/#organization","name":"Okoone","url":"https:\/\/www.okoone.com\/fr\/","logo":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.okoone.com\/fr\/#\/schema\/logo\/image\/","url":"","contentUrl":"","caption":"Okoone"},"image":{"@id":"https:\/\/www.okoone.com\/fr\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/okoone","https:\/\/x.com\/Okoone_news","https:\/\/www.linkedin.com\/company\/okoone\/"]},{"@type":"Person","@id":"https:\/\/www.okoone.com\/fr\/#\/schema\/person\/f60f32cfd8df4e19538107b0826f6dfc","name":"Alexander Procter","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.okoone.com\/wp-content\/uploads\/2024\/04\/alexander-procter-150x150.png","url":"https:\/\/www.okoone.com\/wp-content\/uploads\/2024\/04\/alexander-procter-150x150.png","contentUrl":"https:\/\/www.okoone.com\/wp-content\/uploads\/2024\/04\/alexander-procter-150x150.png","caption":"Alexander Procter"}}]}},"_links":{"self":[{"href":"https:\/\/www.okoone.com\/fr\/wp-json\/wp\/v2\/posts\/40769","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.okoone.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.okoone.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.okoone.com\/fr\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/www.okoone.com\/fr\/wp-json\/wp\/v2\/comments?post=40769"}],"version-history":[{"count":0,"href":"https:\/\/www.okoone.com\/fr\/wp-json\/wp\/v2\/posts\/40769\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.okoone.com\/fr\/wp-json\/wp\/v2\/media\/40724"}],"wp:attachment":[{"href":"https:\/\/www.okoone.com\/fr\/wp-json\/wp\/v2\/media?parent=40769"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.okoone.com\/fr\/wp-json\/wp\/v2\/categories?post=40769"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.okoone.com\/fr\/wp-json\/wp\/v2\/tags?post=40769"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}