Glossaire

Glossaire RBVM

Définitions claires des termes de gestion des vulnérabilités, de modélisation des menaces et de réglementation cybersécurité européenne utilisés sur ce site et dans la plateforme Centraleyezer.

  • Gestion des vulnérabilités basée sur le risque (RBVM)

    Approche de gestion des vulnérabilités qui priorise la remédiation selon le risque métier réel posé par chaque découverte, plutôt que par sévérité brute. La RBVM combine les attributs techniques de la vulnérabilité avec l'actif touché, le réseau environnant, le paysage des menaces et l'équipe qui corrigera.

    Voir aussi : Pourquoi RBVM · Plateforme

  • Score de risque contextuel

    Score par découverte de Centraleyezer combinant six facteurs : DREAD, criticité de l'actif, exposition réseau, exploitabilité dans l'environnement de l'actif, signaux CTI et boucle de réaction Humain-IA. Contrairement à CVSS, il décrit le risque dans votre environnement, pas dans l'abstrait.

    Voir aussi : Pourquoi RBVM

  • DREAD

    Score de modélisation des menaces structuré sur cinq dimensions — Dommage, Reproductibilité, Exploitabilité, Utilisateurs affectés, Découvrabilité. Centraleyezer utilise DREAD comme facteur de sévérité intrinsèque dans son score de risque contextuel.

  • Criticité de l'actif

    Importance métier d'un actif (faible, modérée, importante, critique) — définie par actif par les personnes qui en sont responsables. La même vulnérabilité sur une passerelle de paiement est notée plus haut que sur un sandbox développeur.

  • Exposition réseau

    Où vit un actif dans le réseau — exposé à Internet, en DMZ, interne ou totalement isolé. L'exposition élève le risque de chaque découverte que l'actif porte, car elle détermine si les attaquants peuvent l'atteindre.

  • Exploitabilité (dans votre environnement)

    Caractère pratique de l'armement d'une découverte étant donné la configuration réelle de l'actif, sa version et les contrôles compensatoires — distinct des métriques génériques d'exploitation à l'échelle d'Internet comme EPSS.

  • CTI — Renseignement sur les menaces

    Renseignement externe sur la découverte et la pile technologique : campagnes actives pertinentes, acteurs de la menace, et discussions d'exploitation issues de flux adaptés à ce qui compte pour votre organisation. Les signaux CTI augmentent ou réduisent le risque contextuel selon ce que les attaquants font réellement.

  • Boucle de réaction Humain-IA

    Facteur unique au scoring contextuel de Centraleyezer : la plateforme apprend de la manière dont chaque propriétaire d'actif répond réellement aux découvertes (temps d'accusé, temps de remédiation, schémas d'acceptation du risque). Les propriétaires lents augmentent le risque opérationnel de leurs actifs ; les propriétaires rapides le réduisent.

  • Inventaire des actifs

    Registre de référence de chaque actif suivi par Centraleyezer — IP, sites, applications, actifs personnalisés — avec notes de criticité, propriétaires et contrôle d'accès par groupe. Point de départ d'un programme de vulnérabilités défendable en audit.

  • CVSS — Common Vulnerability Scoring System

    Score industriel 0–10 pour la sévérité technique d'une CVE en l'abstrait. Centraleyezer ingère les données CVSS pour la traçabilité et le reporting mais ne s'en sert pas comme entrée de scoring — CVSS décrit la vulnérabilité, pas le risque dans votre environnement.

  • EPSS — Exploit Prediction Scoring System

    Score de probabilité FIRST.org (0,0–1,0) qui estime la probabilité qu'une CVE soit exploitée dans la nature dans les 30 jours. Utile pour le triage à l'échelle de l'industrie ; Centraleyezer ne s'en sert pas comme entrée de scoring car ce n'est pas spécifique à l'environnement.

  • CISA KEV — Known Exploited Vulnerabilities

    Catalogue maintenu par l'agence américaine CISA listant les CVE confirmées comme exploitées dans la nature. Centraleyezer ingère le statut KEV comme métadonnée mais ne s'en sert pas comme entrée de scoring — KEV ne décrit pas si l'actif en question est exposé ou exploitable dans votre environnement.

  • Directive NIS2

    Directive UE 2022/2555 sur la sécurité des réseaux et systèmes d'information. L'article 21(2)(m) exige explicitement la gestion structurée des vulnérabilités et la divulgation comme l'une des dix mesures de sécurité minimales pour les entités essentielles et importantes.

    Voir aussi : Page NIS2

  • DORA — Digital Operational Resilience Act

    Règlement UE 2022/2554, applicable depuis janvier 2025, gouvernant la gestion du risque ICT pour les entités financières. L'article 9(4)(b) impose des politiques documentées de gestion des vulnérabilités et des correctifs avec priorisation basée sur le risque.

    Voir aussi : Page DORA

  • ISO 27001 — Annexe A.8.8

    Contrôle ISO 27001:2022 sur la gestion des vulnérabilités techniques. L'un des contrôles d'Annexe A les plus systématiquement audités ; les audits de certification échantillonnent des enregistrements complets pour vérifier l'efficacité opérationnelle.

    Voir aussi : Page ISO 27001

  • PCI-DSS — Exigence 6

    Exigence PCI-DSS v4.0 couvrant la sécurité du logiciel sur mesure et propre, la gestion des vulnérabilités et les SLA de patching (critique : 1 mois ; élevée : 3 mois) pour l'environnement des données titulaires de carte.

    Voir aussi : Page PCI-DSS

  • CRA — Cyber Resilience Act

    Règlement UE imposant des exigences cybersécurité aux produits avec éléments numériques tout au long du cycle de vie, y compris suivi des vulnérabilités, divulgation, notification ENISA sous 24/72 heures, et obligations SBOM.

    Voir aussi : Page CRA

  • UAE IAS — Information Assurance Standards

    Cadre national fondamental de cybersécurité aux Émirats arabes unis, émis par la Signals Intelligence Agency (anciennement NESA), applicable aux entités fédérales et opérateurs d'infrastructures critiques. Inclut l'évaluation des vulnérabilités (T7.5), les tests d'intrusion et la gestion des correctifs (T7.4).

    Voir aussi : Page UAE IAS

  • CBUAE — Banque centrale des Émirats arabes unis

    Régulateur bancaire des Émirats arabes unis. Ses réglementations cybersécurité contraignantes pour les banques, bureaux de change, sociétés financières et fournisseurs de services de paiement licenciés exigent explicitement la gestion des vulnérabilités et menaces, des tests d'intrusion annuels / déclenchés par événement et un reporting cyber-risque au niveau du conseil.

    Voir aussi : Page CBUAE

  • MSSP — Managed Security Service Provider

    Fournisseur de services qui gère la gestion des vulnérabilités (et d'autres fonctions de sécurité) pour le compte de plusieurs organisations clientes. L'édition MSSP de Centraleyezer offre un véritable multi-tenant avec isolation par client et une API revendeur pour l'automatisation licences/déploiements.

    Voir aussi : Partenaires · Tarifs — MSSP

  • SLA — Service Level Agreement

    En gestion des vulnérabilités, les délais documentés dans lesquels les découvertes de chaque sévérité doivent être remédiées. Centraleyezer applique des SLA par niveau de sévérité avec escalade automatique à l'approche du SLA.

  • Acceptation du risque

    Enregistrement formel qu'une découverte ne sera pas remédiée dans le SLA, avec raison documentée, approbateur nommé, contrôles compensatoires et date de revue. Requis pour la défensibilité d'audit ISO 27001 et NIS2.

  • CVE — Common Vulnerabilities and Exposures

    Identifiant standardisé d'une vulnérabilité publique spécifique (ex. CVE-2024-3094). Centraleyezer ingère les données CVE avec corrélation CWE/OWASP pour une traçabilité complète de chaque découverte.

  • Auto-hébergé vs SaaS

    Centraleyezer propose les deux : SaaS (plafonné à 10 Go par déploiement, base de données et fichiers combinés) et Enterprise / MSSP auto-hébergés (conteneur Docker, exécution dans votre cloud ou on-prem ; air-gap supporté).

    Voir aussi : Tarifs

  • CVSS vs EPSS

    Deux scores complémentaires souvent confondus. CVSS évalue la sévérité technique d'une CVE dans l'absolu (0–10). EPSS estime la probabilité qu'une CVE soit exploitée dans la nature dans les 30 jours (0,0–1,0). Les deux décrivent la vulnérabilité à l'échelle d'Internet — pas dans votre environnement. Aucun des deux n'est suffisant pour la priorisation à lui seul.

    Voir aussi : Pourquoi CVSS ne suffit pas

  • Scan vs gestion des vulnérabilités

    Le scan est l'étape de découverte — Nessus, Qualys, Tenable, Rapid7, OpenVAS, Burp, etc. produisent une liste de constats. La gestion des vulnérabilités regroupe tout ce qui suit : déduplication, scoring contextuel, attribution d'un propriétaire, SLA de remédiation, acceptation du risque, preuves d'audit. Centraleyezer est la couche de gestion au-dessus de vos scanners.

    Voir aussi : Pourquoi RBVM · Plateforme

  • Alternatives à Tenable

    Les équipes qui cherchent une alternative à Tenable veulent généralement soit une véritable couche RBVM au-dessus des scanners (Centraleyezer), soit un autre scanner (Qualys, Rapid7, OpenVAS). Centraleyezer ingère les sorties Tenable.io et Tenable.sc et y ajoute le scoring contextuel, les preuves NIS2/DORA et la multi-tenancy MSSP que la pile Tenable n'offre pas nativement.

    Voir aussi : Pourquoi Centraleyezer · Plateforme

  • Alternatives à Qualys

    Qualys VMDR est une plateforme scanner-et-actifs solide, mais elle mêle scan, scoring et reporting dans un même SaaS. Les équipes qui veulent conserver leur mix de scanners existants et ajouter une couche de scoring contextuel et de preuves de conformité utilisent Centraleyezer, qui ingère Qualys VMDR nativement.

    Voir aussi : Pourquoi Centraleyezer

  • Alternatives à Rapid7

    Rapid7 InsightVM fournit son propre score de risque (Real Risk), mais reste interne au scanner — fondé sur les attributs d'actifs et de CVE collectés par Rapid7, pas sur les habitudes de réponse de votre équipe ni sur l'exposition réelle de votre réseau. Centraleyezer ingère InsightVM et re-score les constats avec DREAD, criticité de l'actif, exposition réseau, exploitabilité, CTI et boucle Humain-IA.

    Voir aussi : Pourquoi Centraleyezer

  • Priorisation basée sur l'exposition

    Approche qui pondère chaque constat par la portée réelle de l'actif concerné — exposé sur Internet, DMZ, interne, isolé. L'exposition est l'un des six facteurs du score contextuel de Centraleyezer ; à elle seule, elle est nécessaire mais insuffisante (un actif exposé portant un défaut à fort effort et faible impact n'est pas en tête de file).

    Voir aussi : Pourquoi RBVM

  • Patch management vs gestion des vulnérabilités

    Le patch management est la pratique opérationnelle d'application des correctifs à un parc (WSUS, Red Hat Satellite, Ivanti, Intune). La gestion des vulnérabilités est la discipline plus large qui décide quels correctifs comptent le plus selon le risque, suit les contrôles compensatoires et produit les preuves d'audit. Le patch management est l'un — important — des outils de remédiation au sein d'un programme de gestion des vulnérabilités.

    Voir aussi : Plateforme

  • MTTR / MTTD

    Mean Time To Remediate (MTTR) et Mean Time To Detect (MTTD) — les indicateurs opérationnels phares d'un programme de gestion des vulnérabilités. Centraleyezer mesure les deux par équipe et par actif, et réinjecte les données dans le score de risque contextuel (les constats d'une équipe lente à remédier sont opérationnellement plus risqués que ceux d'une équipe rapide, à CVSS égal).

  • Scanner vs plateforme RBVM

    Un scanner trouve les vulnérabilités ; une plateforme RBVM décide lesquelles comptent. Les deux sont complémentaires, pas concurrents. Centraleyezer est une plateforme RBVM qui ingère la sortie de plus de 16 scanners (Nessus, Tenable, Qualys, Rapid7, Burp, Acunetix, Trivy, Wazuh, AWS Inspector, OpenVAS, et plus) et y ajoute le scoring contextuel, les preuves de conformité et le suivi de la remédiation.

    Voir aussi : Pourquoi Centraleyezer · Plateforme

Glossary — Risk-Based Vulnerability Management Terms | Centraleyezer