Kantyra Kantyra

← Alle artikelen

Algemeen

Comment piloter les vulnérabilités en tant que RSSI ?

Alain Rees · 12-07-2026 · 14 min leestijd

La gestion des vulnérabilités est le processus continu par lequel votre organisation découvre, évalue et corrige les faiblesses de ses systèmes, et en rend compte. En tant que RSSI, vous n'êtes pas celui qui corrige les vulnérabilités elles-mêmes, mais celui qui veille à ce que le processus fonctionne, à ce que les bonnes priorités soient traitées en premier et à ce que le risque résiduel repose sur la bonne personne. Dans cet article, vous découvrez comment piloter la gestion des vulnérabilités plutôt que de l'exécuter, quelle politique et quels indicateurs de pilotage l'accompagnent, et comment la rendre démontrable.

En bref

  • La gestion des vulnérabilités est un processus continu, pas un simple scan ni un nettoyage ponctuel.
  • En tant que RSSI, vous pilotez le processus et en rendez compte, tandis que l'exploitation informatique l'exécute.
  • Vous priorisez sur la base du risque, de sorte que toutes les vulnérabilités ne reçoivent pas la même attention.
  • Vous fixez des délais de correction par niveau de gravité et gérez délibérément les exceptions.
  • Vous rendez la gestion démontrable au moyen d'un registre, d'indicateurs de pilotage et d'une reddition de comptes à la direction.
  • Elle coïncide avec les quatre phases du modèle Kantyra : détecter, évaluer, résoudre et démontrer.

Ce que recouvre la gestion des vulnérabilités

La gestion des vulnérabilités porte sur la maîtrise des faiblesses par lesquelles un attaquant peut s'introduire. Ces faiblesses proviennent de sources diverses. Pensez aux scans automatisés, aux tests d'intrusion, aux notifications de fournisseurs, aux renseignements sur les menaces et aux signalements externes.

Le processus se compose de quelques étapes fixes. Vous identifiez les vulnérabilités, vous évaluez leur gravité dans votre contexte, vous attribuez la correction à un responsable, vous les corrigez dans un délai, et vous vérifiez si la correction a réellement fonctionné. Cela paraît simple, mais dans la pratique il afflue tant de vulnérabilités que l'art consiste à maîtriser l'ensemble, et non à résoudre un signalement isolé.

Piloter ou exécuter : le rôle du RSSI

L'exploitation informatique fait le travail. Elle lance les scans, suit elle-même quelles vulnérabilités deviennent connues et installe les correctifs correspondants dès qu'ils sont disponibles. Cette responsabilité lui revient à juste titre, car l'exploitation informatique connaît les systèmes et les gère au quotidien. Ce n'est simplement pas votre rôle.

En tant que RSSI, vous pilotez le processus. Vous fixez la politique, vous déterminez à quelle vitesse chaque niveau de gravité doit être corrigé, vous veillez à ce que chaque vulnérabilité ait un responsable, et vous vous assurez que l'ensemble fonctionne. Là où l'exploitation informatique regarde des systèmes individuels, vous regardez le processus dans son ensemble, la tendance et le risque résiduel.

Vous voulez en outre être informé à temps des vulnérabilités importantes, avant qu'elles ne se transforment en incident ou en escalade. Non pour les corriger vous-même, mais pour pouvoir piloter, pour pouvoir informer la direction et pour intervenir si une vulnérabilité critique reste en souffrance.

L'exploitation informatique est donc responsable de la correction, et vous êtes responsable de l'assurance que la correction a bien lieu et à temps. Vous gardez ces rôles séparés, car sinon cela reviendrait à être juge et partie.

Pourquoi la gestion des vulnérabilités est une responsabilité de la direction

Des vulnérabilités apparaissent en permanence, et un système sûr aujourd'hui peut être vulnérable demain à cause d'une faiblesse nouvellement découverte. La gestion des vulnérabilités n'est donc pas un projet avec une date de fin, mais une responsabilité continue.

Cette responsabilité est également attribuée de manière démontrable. La norme ISO 27001 exige explicitement que vous maîtrisiez les vulnérabilités techniques, et l'obligation de vigilance issue de NIS2 — en France transposée sous l'autorité de l'ANSSI et en Belgique par la loi du 26 avril 2024 — exige des mesures appropriées que vous devez pouvoir étayer. Une autorité de contrôle ou un client ne veut pas entendre que vous scannez, mais voir que vous corrigez les vulnérabilités critiques dans un délai convenu et que vous gérez délibérément le risque résiduel. Rendre cela démontrable est précisément votre tâche.

La politique de gestion des vulnérabilités

Une politique de gestion des vulnérabilités transforme des actions éparses en un processus pilotable. Elle fixe les règles du jeu auxquelles toute l'organisation se conforme. Une bonne politique décrit au moins les points suivants :

  • le périmètre, c'est-à-dire quels systèmes et quelles sources relèvent du processus ;
  • les rôles et responsabilités, avec une séparation claire entre pilotage et exécution ;
  • la manière dont vous déterminez la gravité d'une vulnérabilité ;
  • les délais de correction par niveau de gravité, afin qu'il soit établi à quelle vitesse une chose doit être résolue ;
  • la procédure pour les exceptions et l'acceptation délibérée du risque résiduel ;
  • la manière dont vous mesurez et rendez compte à la direction.

Sans cette politique, la gestion des vulnérabilités devient une affaire de bonnes intentions, où les vulnérabilités les plus urgentes disparaissent dans l'agitation du quotidien.

Prioriser sur la base du risque plutôt que tout à la fois

Le plus grand piège est que votre organisation se noie dans les vulnérabilités. Un environnement moyen en produit tant qu'il vous est impossible de tout corriger à la fois. La solution n'est pas de travailler plus dur, mais de prioriser plus finement.

En tant que RSSI, vous veillez à ce que la priorisation soit fondée sur le risque. Un score technique de gravité, par exemple basé sur le CVSS, n'en est qu'un point de départ. Ce qui compte vraiment, c'est la combinaison de ce score avec l'importance du système touché et avec la question de savoir si la vulnérabilité est réellement exploitée dans la pratique. Une vulnérabilité moyenne sur un système critique exposé à Internet mérite plus d'attention qu'une vulnérabilité grave sur un système cloisonné sans impact.

Votre rôle n'est pas de pondérer chaque vulnérabilité individuelle, mais d'établir le cadre d'évaluation avec lequel l'organisation le fait de manière cohérente. Vous évitez ainsi que le volume ne devienne le facteur déterminant à la place du risque.

Délais de correction et gestion des exceptions

Un processus praticable comporte des délais de correction clairs par niveau de gravité. Vous fixez par exemple qu'une vulnérabilité critique est corrigée en quelques jours et une vulnérabilité faible dans un délai plus large. Ces délais donnent une direction à l'exploitation informatique et vous donnent un étalon pour piloter.

Au moins aussi important est ce que vous faites lorsque la correction ne peut être réalisée à temps. Parfois, une vulnérabilité ne peut être corrigée immédiatement, par exemple parce qu'un fournisseur n'a pas encore de solution. Il doit alors y avoir une acceptation du risque délibérée et temporaire, consignée et approuvée par le bon responsable, avec une date à laquelle vous la réévaluez. En tant que RSSI, vous surveillez précisément ce point, car sans cette gestion, les exceptions deviennent des risques silencieux et permanents que plus personne ne voit.

Mesurer et rendre compte

Vous ne pouvez piloter que ce que vous mesurez. En tant que RSSI, vous utilisez un ensemble limité d'indicateurs de pilotage pour surveiller le processus et pour en rendre compte à la direction. Parmi les indicateurs de pilotage utiles :

  • le nombre de vulnérabilités ouvertes, ventilé par niveau de gravité ;
  • le temps moyen de correction, et son évolution dans le temps ;
  • le pourcentage de vulnérabilités corrigées dans le délai convenu ;
  • le nombre de vulnérabilités critiques en retard ;
  • le taux de couverture, c'est-à-dire quelle part de vos systèmes est réellement visible.

Vous traduisez ces chiffres en un récit destiné à la direction. La direction n'a pas besoin de voir une liste de vulnérabilités, mais veut savoir si l'organisation a la maîtrise, si la tendance va dans le bon sens et s'il existe des risques qui appellent une attention. Vous transformez ainsi un sujet technique en une conversation de direction.

Des signalements épars à une gestion cohérente

Vous ne pouvez pas piloter des vulnérabilités si elles sont dispersées dans des rapports de scan, des courriels et des fichiers épars. La base est donc un registre des vulnérabilités : un aperçu actuel et centralisé de chaque vulnérabilité, avec sa gravité, le système touché, le responsable, le délai de correction, le statut et l'éventuelle acceptation du risque.

Dans Kantyra, ce registre est le registre des constats. Vous enregistrez une vulnérabilité comme constat avec la source « scan de vulnérabilités » ou « CVE », au-dessus du seuil que vous choisissez vous-même, afin de piloter sur ce qui compte et que le registre ne devienne pas une sortie de scanner. Par constat, vous consignez la gravité, l'actif touché, le responsable, le délai de correction et la date de nouveau test, et en haut du registre, le tableau d'exposition montre combien de vulnérabilités sont ouvertes, combien sont élevées ou critiques, et combien ont été exploitées par un incident.

Depuis ce registre, les lignes courent vers le reste de votre dispositif de maîtrise. Une vulnérabilité critique en retard est un risque qui a sa place dans votre registre des risques ; si vous liez le constat à un risque, Kantyra prépare automatiquement une tâche de réévaluation. Si un incident exploite la vulnérabilité, vous liez l'incident au constat et sa correction devient automatiquement prioritaire. Si une vulnérabilité ne peut être corrigée à temps, vous consignez le risque résiduel comme une exception avec approbation à quatre yeux et une date de fin. Un registre de vos systèmes en est le préalable, car sans un aperçu actuel de vos actifs, vous passez à côté des vulnérabilités qui s'y trouvent. Ainsi, la gestion des vulnérabilités se rattache directement à votre sécurité de l'information et gestion des risques (ISMS) conformément à la norme ISO 27001, de sorte qu'elle devient une composante permanente de votre sécurité plutôt qu'une activité isolée.

Où se situe la gestion des vulnérabilités dans le modèle Kantyra ?

Comme les tests d'intrusion, la gestion des vulnérabilités ne peut être saisie dans une seule phase du modèle Kantyra : c'est le cycle du modèle, appliqué aux faiblesses de vos systèmes. Mais en tant que RSSI, votre centre de gravité ne se trouve pas tout en bas.

Vous laissez en grande partie la détection à l'exploitation informatique : les scans et les tests d'intrusion mettent les faiblesses en lumière, et au-dessus de votre seuil vous les enregistrez. Une grande partie de votre travail se situe dans l'évaluation : vous pondérez sur la base du risque, avec la gravité technique comme point de départ et l'importance du système et l'exploitation réelle comme facteur déterminant, et vous escaladez les plus graves vers le registre des risques. Dans la résolution, vous fixez la politique et les délais de correction, vous surveillez la correction et vous gérez les acceptations de risque délibérées. Et dans la démonstration réside l'aboutissement de votre rôle : le rapport de gestion rassemble les indicateurs de pilotage, du nombre d'ouvertes par gravité et des vulnérabilités en retard et exploitées jusqu'au temps moyen de correction, au pourcentage dans le délai et à la tendance de mois en mois, en tant que reddition de comptes à la direction.

La gestion des vulnérabilités aux côtés des quatre phases du modèle Kantyra : mettre les vulnérabilités en lumière relève de la détection, la pondération et la priorisation fondées sur le risque de l'évaluation, la politique et la correction dans le délai de la résolution, et les indicateurs de pilotage et la reddition de comptes de la démonstration

Là où l'exploitation informatique vit surtout dans la détection et la résolution, vous pilotez toute la boucle et en rendez compte. C'est la différence entre corriger des vulnérabilités et les maîtriser.

Travaillez-vous avec des documents épars ou avec une plateforme GRC ?

Vous pouvez tenir votre politique, vos indicateurs de pilotage et vos vulnérabilités dans des fichiers épars, et pour commencer, c'est défendable. Mais en tant que RSSI, vous vous heurtez vite aux limites. Des fichiers épars ne donnent aucun aperçu actuel, aucune tendance fiable et aucune preuve vis-à-vis de la direction ou de l'autorité de contrôle.

Dans une plateforme GRC, vous gérez la politique, le registre des vulnérabilités et le suivi comme des aperçus reliés au sein d'un même environnement. Chaque vulnérabilité a un responsable, un statut et un délai, celles en retard sautent immédiatement aux yeux, et les indicateurs de pilotage se calculent d'eux-mêmes, de sorte que vous pilotez sur la gravité et le temps de correction plutôt qu'au ressenti.

Avec Kantyra, vous pilotez la gestion des vulnérabilités dans le même environnement que votre ISMS. Vous consignez la politique sous forme de document de politique, vous tenez le tableau d'exposition par gravité et délai de correction, et vous gérez les exceptions comme des acceptations de risque délibérées. Le rapport de gestion traduit cela en indicateurs de pilotage pour la direction, avec le temps moyen de correction, le pourcentage dans le délai et la tendance, conformément à la norme ISO 27001. Vous passez ainsi de signalements épars à un pilotage démontrable.

Mettre en place la gestion des vulnérabilités en cinq étapes

  1. Fixez la politique. Consignez le périmètre, les rôles, les délais de correction et la reddition de comptes.
  2. Séparez le pilotage de l'exécution. Confiez l'exécution à l'exploitation informatique et le pilotage et la reddition de comptes à la fonction de RSSI.
  3. Mettez en place une priorisation fondée sur le risque. Combinez la gravité technique avec l'importance du système et l'exploitation réelle.
  4. Mesurez et rendez compte. Choisissez un ensemble limité d'indicateurs de pilotage et ramenez-les à un récit destiné à la direction.
  5. Gérez tout de manière cohérente. Reliez le registre des vulnérabilités à votre registre des risques, à vos actions d'amélioration et à votre ISMS.

Questions fréquentes sur la gestion des vulnérabilités

Quelle est la différence entre la gestion des vulnérabilités et l'application de correctifs ? L'application de correctifs est une manière de corriger une vulnérabilité. La gestion des vulnérabilités est l'ensemble du processus qui l'entoure, de la découverte et de la priorisation jusqu'à la correction, la vérification et la reddition de comptes. Appliquer des correctifs relève de l'exécution, la gestion relève du pilotage.

La gestion des vulnérabilités est-elle une tâche de l'informatique ou du RSSI ? Des deux, mais dans un rôle différent. L'exploitation informatique exécute la correction, tandis que le RSSI pilote le processus, fixe la priorisation et en rend compte. Cette séparation évite que la même partie ne juge son propre travail.

Devez-vous corriger chaque vulnérabilité ? Non. Vous priorisez sur la base du risque. Certaines vulnérabilités, vous les corrigez immédiatement, d'autres vous les acceptez délibérément et temporairement comme risque résiduel, à condition que cela soit consigné et approuvé par le bon responsable.

À quelle vitesse devez-vous corriger une vulnérabilité critique ? Vous le consignez dans votre politique. Pour les vulnérabilités critiques, un délai court est courant, surtout si le système est exposé à Internet ou est réellement exploité. L'essentiel est que les délais par niveau de gravité soient établis et que vous pilotiez en fonction d'eux.

Comment démontrez-vous que vous maîtrisez les vulnérabilités ? Avec une politique établie, un registre des vulnérabilités à jour, un ensemble d'indicateurs de pilotage et un reporting périodique à la direction. Ensemble, ceux-ci montrent que vous avez la maîtrise et que le risque résiduel est délibérément attribué.

Se lancer dans la gestion des vulnérabilités avec Kantyra

Vous voulez piloter la gestion des vulnérabilités plutôt que courir après les signalements ? Avec Kantyra, vous gardez votre politique, votre registre des vulnérabilités et votre suivi reliés, conformément à la norme ISO 27001. Vous pilotez ainsi sur la gravité et le délai de correction, le rapport de gestion montre les indicateurs de pilotage et la tendance pour la direction, et vous gérez les exceptions délibérément. Demandez une démo et découvrez comment bâtir la gestion des vulnérabilités par-dessus votre ISMS existant.


Kantyra est une plateforme ISMS et GRC européenne qui permet aux organisations de gérer leur sécurité de l'information, leur gestion des risques et leur conformité de manière démontrable, conformément à des normes telles qu'ISO 27001 et ISO 22301 et à des législations telles que le RGPD, NIS2 et le règlement sur l'IA.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen