Qu'est-ce que la gestion des vulnérabilités basée sur le risque ?
La gestion des vulnérabilités basée sur le risque (RBVM) est une approche disciplinée pour prioriser les vulnérabilités à corriger en premier — selon le risque réel qu'elles représentent pour votre activité, et non leur seule sévérité technique brute.
Les programmes classiques de gestion des vulnérabilités génèrent des milliers de découvertes par mois. Quand tout est classé selon des scores bruts comme CVSS, presque tout paraît critique. Les équipes sécurité sont submergées, la fatigue des correctifs s'installe, et les vulnérabilités vraiment dangereuses sont noyées.
Centraleyezer adopte une approche différente. Au lieu de s'appuyer sur des signaux génériques à l'échelle d'Internet comme CVSS ou EPSS, il note chaque découverte avec DREAD, la criticité métier de l'actif, l'exposition réseau de l'actif, l'exploitabilité, les signaux CTI et une boucle de feedback Humain-IA qui apprend de la rapidité avec laquelle le propriétaire de l'actif répond réellement aux découvertes. Le résultat : une liste classée où les 10 % du haut représentent plus de 80 % de votre risque réel — selon votre environnement, pas selon la moyenne d'Internet.
VM classique vs. VM basée sur le risque
VM classique
- Classement uniquement par sévérité brute (ex. CVSS)
- Des milliers de découvertes « critiques »
- Aucun contexte métier ou opérationnel appliqué
- Équipes submergées, rien n'est corrigé
- Preuves de conformité manuelles et fragmentées
- Inventaire d'actifs souvent obsolète ou incomplet
VM basée sur le risque (RBVM)
- Score de risque contextuel : DREAD + criticité de l'actif + exposition réseau + exploitabilité + CTI + feedback Humain-IA
- Les 10 % du haut représentent plus de 80 % du risque
- Contexte métier et opérationnel intégré au scoring
- File de remédiation priorisée et claire
- Collecte automatisée des preuves de conformité
- Découverte continue des actifs et notation de criticité
Comment fonctionne le scoring contextuel de risque de Centraleyezer
Centraleyezer calcule un score de risque contextuel pour chaque vulnérabilité en combinant six facteurs qui décrivent la découverte, l'actif sur lequel elle se trouve, le paysage des menaces et les personnes responsables de la remédiation :
Note : CVSS, EPSS et CISA KEV ne sont volontairement pas utilisés comme entrées de scoring — ils décrivent la sévérité ou la probabilité d'exploitation à l'échelle d'Internet, pas le risque réel pour votre environnement spécifique. Les données CVE/CWE sont toujours ingérées pour la traçabilité et le reporting.
Score DREAD
Dommage, Reproductibilité, Exploitabilité, Utilisateurs affectés, Découvrabilité — un score structuré de modélisation des menaces qui capture la sévérité intrinsèque de la découverte d'une manière qui correspond au comportement réel des attaquants.
Criticité de l'actif
Importance métier de l'actif touché — définie par actif, de faible à critique. La même découverte sur un hôte de traitement des paiements obtient un score plus élevé que sur un sandbox développeur.
Exposition réseau
Où vit l'actif dans votre réseau — exposé à Internet, en DMZ, interne ou totalement isolé. Un actif exposé élève le risque de chaque découverte qu'il porte.
Exploitabilité
Caractère pratique pour un attaquant d'armer réellement la découverte étant donné la configuration de votre actif — pas une probabilité générique sur tout Internet.
Signaux CTI
Renseignement sur les menaces concernant la découverte et la technologie de l'actif — campagnes actives, acteurs de la menace et contexte de ciblage tirés de flux CTI.
Boucle de réaction Humain-IA
Centraleyezer apprend de la manière dont le propriétaire de l'actif répond réellement : temps d'accusé, temps de remédiation et schémas d'acceptation du risque. Les propriétaires lents augmentent le risque opérationnel de leurs actifs ; les rapides le réduisent.
La RBVM est désormais une exigence réglementaire
Les réglementations européennes ont rendu la gestion structurée des vulnérabilités obligatoire pour de nombreuses organisations. Voici ce qu'exige chaque cadre :
L'article 21 impose la « gestion et divulgation des vulnérabilités » comme l'une des 10 mesures de sécurité minimales. Les organisations doivent disposer d'un processus documenté basé sur le risque.
L'article 9 exige une « gestion du risque ICT » incluant scan de vulnérabilités, évaluation du risque et processus de remédiation documentés avec SLA pour les entités financières.
Le contrôle A.8.8 de l'Annexe A (Gestion des vulnérabilités techniques) exige une approche systématique pour identifier et corriger les faiblesses.
L'exigence 6 impose le patching en temps voulu des vulnérabilités, avec des SLA spécifiques pour les découvertes critiques (1 mois) et élevées (3 mois).
Questions fréquentes
Qu'est-ce que la gestion des vulnérabilités basée sur le risque (RBVM) ?
La RBVM est une approche de la gestion des vulnérabilités qui priorise les efforts de remédiation selon le risque métier réel posé par chaque vulnérabilité — plutôt que de traiter chaque CVE avec la même urgence. Centraleyezer combine le scoring DREAD, la criticité de l'actif, l'exposition réseau, l'exploitabilité, les signaux CTI et une boucle de feedback Humain-IA qui adapte le risque selon le temps de réaction du propriétaire de l'actif, produisant un score de risque contextuel par découverte.
En quoi la RBVM diffère-t-elle de la gestion classique des vulnérabilités ?
La VM classique classe les vulnérabilités par sévérité brute (typiquement CVSS), ce qui produit des milliers de découvertes « critiques » qui submergent les équipes sécurité. La RBVM ajoute du contexte métier et opérationnel : à quel point cet actif est-il critique ? Est-il exposé à Internet ou isolé ? Le propriétaire a-t-il historiquement répondu vite ou lentement à des découvertes similaires ? Cela réduit la liste aux vulnérabilités qui menacent réellement votre activité.
Centraleyezer utilise-t-il CVSS, EPSS ou CISA KEV dans son scoring de risque ?
Non. Le score de risque contextuel de Centraleyezer est construit à partir de DREAD, criticité de l'actif, exposition réseau, exploitabilité, signaux CTI (renseignement sur les menaces) et boucle de feedback Humain-IA. CVSS, EPSS et flux d'exploitation active (comme CISA KEV) ne sont volontairement pas utilisés comme entrées de scoring — ils reflètent une sévérité technique générique ou une probabilité d'exploitation à l'échelle d'Internet, pas le risque réel pour votre environnement. Les données CVE/CWE sont toujours ingérées pour la traçabilité, mais la priorisation vient du modèle contextuel.
La RBVM aide-t-elle pour la conformité NIS2 ?
Oui. L'article 21 de NIS2 exige explicitement que les organisations mettent en œuvre la « gestion et divulgation des vulnérabilités » comme mesure technique de sécurité. Une approche basée sur le risque démontre que vous disposez d'un processus structuré et documenté pour identifier, prioriser et corriger les vulnérabilités — exactement ce que recherchent les auditeurs NIS2.
Qu'est-ce que la composante « Humain-IA » du scoring de Centraleyezer ?
Les scores de risque ne sont pas statiques. Centraleyezer apprend de la manière dont chaque propriétaire d'actif réagit réellement : à quelle vitesse les découvertes sur ses actifs sont accusées, corrigées ou acceptées. Un actif détenu par une équipe lente est traité comme un risque opérationnel plus élevé que le même actif détenu par une équipe rapide — même quand la vulnérabilité sous-jacente est identique. Cela donne aux responsables sécurité une image plus réaliste de l'endroit où se situe vraiment le risque dans l'organisation.
À quelle vitesse pouvons-nous mettre en place la RBVM ?
Avec Centraleyezer, vous pouvez connecter vos scanners de vulnérabilités existants, importer votre inventaire d'actifs et voir des découvertes priorisées par le risque en quelques heures. Aucun remplacement de vos outils existants requis.
La RBVM convient-elle aux petites équipes sécurité ?
Particulièrement. Les petites équipes ne peuvent pas agir sur chaque vulnérabilité — la RBVM leur indique exactement quels 5 à 10 % des découvertes représentent plus de 80 % de leur risque réel, rendant les ressources limitées dramatiquement plus efficaces.