Glossaire RBVM
Définitions claires des termes de gestion des vulnérabilités, de modélisation des menaces et de réglementation cybersécurité européenne utilisés sur ce site et dans la plateforme Centraleyezer.
Gestion des vulnérabilités basée sur le risque (RBVM)
Approche de gestion des vulnérabilités qui priorise la remédiation selon le risque métier réel posé par chaque découverte, plutôt que par sévérité brute. La RBVM combine les attributs techniques de la vulnérabilité avec l'actif touché, le réseau environnant, le paysage des menaces et l'équipe qui corrigera.
Voir aussi : Pourquoi RBVM · Plateforme
Score de risque contextuel
Score par découverte de Centraleyezer combinant six facteurs : DREAD, criticité de l'actif, exposition réseau, exploitabilité dans l'environnement de l'actif, signaux CTI et boucle de réaction Humain-IA. Contrairement à CVSS, il décrit le risque dans votre environnement, pas dans l'abstrait.
Voir aussi : Pourquoi RBVM
DREAD
Score de modélisation des menaces structuré sur cinq dimensions — Dommage, Reproductibilité, Exploitabilité, Utilisateurs affectés, Découvrabilité. Centraleyezer utilise DREAD comme facteur de sévérité intrinsèque dans son score de risque contextuel.
Criticité de l'actif
Importance métier d'un actif (faible, modérée, importante, critique) — définie par actif par les personnes qui en sont responsables. La même vulnérabilité sur une passerelle de paiement est notée plus haut que sur un sandbox développeur.
Exposition réseau
Où vit un actif dans le réseau — exposé à Internet, en DMZ, interne ou totalement isolé. L'exposition élève le risque de chaque découverte que l'actif porte, car elle détermine si les attaquants peuvent l'atteindre.
Exploitabilité (dans votre environnement)
Caractère pratique de l'armement d'une découverte étant donné la configuration réelle de l'actif, sa version et les contrôles compensatoires — distinct des métriques génériques d'exploitation à l'échelle d'Internet comme EPSS.
CTI — Renseignement sur les menaces
Renseignement externe sur la découverte et la pile technologique : campagnes actives pertinentes, acteurs de la menace, et discussions d'exploitation issues de flux adaptés à ce qui compte pour votre organisation. Les signaux CTI augmentent ou réduisent le risque contextuel selon ce que les attaquants font réellement.
Boucle de réaction Humain-IA
Facteur unique au scoring contextuel de Centraleyezer : la plateforme apprend de la manière dont chaque propriétaire d'actif répond réellement aux découvertes (temps d'accusé, temps de remédiation, schémas d'acceptation du risque). Les propriétaires lents augmentent le risque opérationnel de leurs actifs ; les propriétaires rapides le réduisent.
Inventaire des actifs
Registre de référence de chaque actif suivi par Centraleyezer — IP, sites, applications, actifs personnalisés — avec notes de criticité, propriétaires et contrôle d'accès par groupe. Point de départ d'un programme de vulnérabilités défendable en audit.
CVSS — Common Vulnerability Scoring System
Score industriel 0–10 pour la sévérité technique d'une CVE en l'abstrait. Centraleyezer ingère les données CVSS pour la traçabilité et le reporting mais ne s'en sert pas comme entrée de scoring — CVSS décrit la vulnérabilité, pas le risque dans votre environnement.
EPSS — Exploit Prediction Scoring System
Score de probabilité FIRST.org (0,0–1,0) qui estime la probabilité qu'une CVE soit exploitée dans la nature dans les 30 jours. Utile pour le triage à l'échelle de l'industrie ; Centraleyezer ne s'en sert pas comme entrée de scoring car ce n'est pas spécifique à l'environnement.
CISA KEV — Known Exploited Vulnerabilities
Catalogue maintenu par l'agence américaine CISA listant les CVE confirmées comme exploitées dans la nature. Centraleyezer ingère le statut KEV comme métadonnée mais ne s'en sert pas comme entrée de scoring — KEV ne décrit pas si l'actif en question est exposé ou exploitable dans votre environnement.
Directive NIS2
Directive UE 2022/2555 sur la sécurité des réseaux et systèmes d'information. L'article 21(2)(m) exige explicitement la gestion structurée des vulnérabilités et la divulgation comme l'une des dix mesures de sécurité minimales pour les entités essentielles et importantes.
Voir aussi : Page NIS2
DORA — Digital Operational Resilience Act
Règlement UE 2022/2554, applicable depuis janvier 2025, gouvernant la gestion du risque ICT pour les entités financières. L'article 9(4)(b) impose des politiques documentées de gestion des vulnérabilités et des correctifs avec priorisation basée sur le risque.
Voir aussi : Page DORA
ISO 27001 — Annexe A.8.8
Contrôle ISO 27001:2022 sur la gestion des vulnérabilités techniques. L'un des contrôles d'Annexe A les plus systématiquement audités ; les audits de certification échantillonnent des enregistrements complets pour vérifier l'efficacité opérationnelle.
Voir aussi : Page ISO 27001
PCI-DSS — Exigence 6
Exigence PCI-DSS v4.0 couvrant la sécurité du logiciel sur mesure et propre, la gestion des vulnérabilités et les SLA de patching (critique : 1 mois ; élevée : 3 mois) pour l'environnement des données titulaires de carte.
Voir aussi : Page PCI-DSS
CRA — Cyber Resilience Act
Règlement UE imposant des exigences cybersécurité aux produits avec éléments numériques tout au long du cycle de vie, y compris suivi des vulnérabilités, divulgation, notification ENISA sous 24/72 heures, et obligations SBOM.
Voir aussi : Page CRA
UAE IAS — Information Assurance Standards
Cadre national fondamental de cybersécurité aux Émirats arabes unis, émis par la Signals Intelligence Agency (anciennement NESA), applicable aux entités fédérales et opérateurs d'infrastructures critiques. Inclut l'évaluation des vulnérabilités (T7.5), les tests d'intrusion et la gestion des correctifs (T7.4).
Voir aussi : Page UAE IAS
CBUAE — Banque centrale des Émirats arabes unis
Régulateur bancaire des Émirats arabes unis. Ses réglementations cybersécurité contraignantes pour les banques, bureaux de change, sociétés financières et fournisseurs de services de paiement licenciés exigent explicitement la gestion des vulnérabilités et menaces, des tests d'intrusion annuels / déclenchés par événement et un reporting cyber-risque au niveau du conseil.
Voir aussi : Page CBUAE
MSSP — Managed Security Service Provider
Fournisseur de services qui gère la gestion des vulnérabilités (et d'autres fonctions de sécurité) pour le compte de plusieurs organisations clientes. L'édition MSSP de Centraleyezer offre un véritable multi-tenant avec isolation par client et une API revendeur pour l'automatisation licences/déploiements.
Voir aussi : Partenaires · Tarifs — MSSP
SLA — Service Level Agreement
En gestion des vulnérabilités, les délais documentés dans lesquels les découvertes de chaque sévérité doivent être remédiées. Centraleyezer applique des SLA par niveau de sévérité avec escalade automatique à l'approche du SLA.
Acceptation du risque
Enregistrement formel qu'une découverte ne sera pas remédiée dans le SLA, avec raison documentée, approbateur nommé, contrôles compensatoires et date de revue. Requis pour la défensibilité d'audit ISO 27001 et NIS2.
CVE — Common Vulnerabilities and Exposures
Identifiant standardisé d'une vulnérabilité publique spécifique (ex. CVE-2024-3094). Centraleyezer ingère les données CVE avec corrélation CWE/OWASP pour une traçabilité complète de chaque découverte.
Auto-hébergé vs SaaS
Centraleyezer propose les deux : SaaS (plafonné à 10 Go par déploiement, base de données et fichiers combinés) et Enterprise / MSSP auto-hébergés (conteneur Docker, exécution dans votre cloud ou on-prem ; air-gap supporté).
Voir aussi : Tarifs
CVSS vs EPSS
Deux scores complémentaires souvent confondus. CVSS évalue la sévérité technique d'une CVE dans l'absolu (0–10). EPSS estime la probabilité qu'une CVE soit exploitée dans la nature dans les 30 jours (0,0–1,0). Les deux décrivent la vulnérabilité à l'échelle d'Internet — pas dans votre environnement. Aucun des deux n'est suffisant pour la priorisation à lui seul.
Voir aussi : Pourquoi CVSS ne suffit pas
Scan vs gestion des vulnérabilités
Le scan est l'étape de découverte — Nessus, Qualys, Tenable, Rapid7, OpenVAS, Burp, etc. produisent une liste de constats. La gestion des vulnérabilités regroupe tout ce qui suit : déduplication, scoring contextuel, attribution d'un propriétaire, SLA de remédiation, acceptation du risque, preuves d'audit. Centraleyezer est la couche de gestion au-dessus de vos scanners.
Voir aussi : Pourquoi RBVM · Plateforme
Alternatives à Tenable
Les équipes qui cherchent une alternative à Tenable veulent généralement soit une véritable couche RBVM au-dessus des scanners (Centraleyezer), soit un autre scanner (Qualys, Rapid7, OpenVAS). Centraleyezer ingère les sorties Tenable.io et Tenable.sc et y ajoute le scoring contextuel, les preuves NIS2/DORA et la multi-tenancy MSSP que la pile Tenable n'offre pas nativement.
Voir aussi : Pourquoi Centraleyezer · Plateforme
Alternatives à Qualys
Qualys VMDR est une plateforme scanner-et-actifs solide, mais elle mêle scan, scoring et reporting dans un même SaaS. Les équipes qui veulent conserver leur mix de scanners existants et ajouter une couche de scoring contextuel et de preuves de conformité utilisent Centraleyezer, qui ingère Qualys VMDR nativement.
Voir aussi : Pourquoi Centraleyezer
Alternatives à Rapid7
Rapid7 InsightVM fournit son propre score de risque (Real Risk), mais reste interne au scanner — fondé sur les attributs d'actifs et de CVE collectés par Rapid7, pas sur les habitudes de réponse de votre équipe ni sur l'exposition réelle de votre réseau. Centraleyezer ingère InsightVM et re-score les constats avec DREAD, criticité de l'actif, exposition réseau, exploitabilité, CTI et boucle Humain-IA.
Voir aussi : Pourquoi Centraleyezer
Priorisation basée sur l'exposition
Approche qui pondère chaque constat par la portée réelle de l'actif concerné — exposé sur Internet, DMZ, interne, isolé. L'exposition est l'un des six facteurs du score contextuel de Centraleyezer ; à elle seule, elle est nécessaire mais insuffisante (un actif exposé portant un défaut à fort effort et faible impact n'est pas en tête de file).
Voir aussi : Pourquoi RBVM
Patch management vs gestion des vulnérabilités
Le patch management est la pratique opérationnelle d'application des correctifs à un parc (WSUS, Red Hat Satellite, Ivanti, Intune). La gestion des vulnérabilités est la discipline plus large qui décide quels correctifs comptent le plus selon le risque, suit les contrôles compensatoires et produit les preuves d'audit. Le patch management est l'un — important — des outils de remédiation au sein d'un programme de gestion des vulnérabilités.
Voir aussi : Plateforme
MTTR / MTTD
Mean Time To Remediate (MTTR) et Mean Time To Detect (MTTD) — les indicateurs opérationnels phares d'un programme de gestion des vulnérabilités. Centraleyezer mesure les deux par équipe et par actif, et réinjecte les données dans le score de risque contextuel (les constats d'une équipe lente à remédier sont opérationnellement plus risqués que ceux d'une équipe rapide, à CVSS égal).
Scanner vs plateforme RBVM
Un scanner trouve les vulnérabilités ; une plateforme RBVM décide lesquelles comptent. Les deux sont complémentaires, pas concurrents. Centraleyezer est une plateforme RBVM qui ingère la sortie de plus de 16 scanners (Nessus, Tenable, Qualys, Rapid7, Burp, Acunetix, Trivy, Wazuh, AWS Inspector, OpenVAS, et plus) et y ajoute le scoring contextuel, les preuves de conformité et le suivi de la remédiation.
Voir aussi : Pourquoi Centraleyezer · Plateforme