← Retour au blog
📝 Cybersécurité

Gestion des vulnérabilités : pourquoi la priorisation est plus importante que l’exhaustivité

📅 30 March 2026 · ⏱ 8 min de lecture · ✍️ piquet20100

Une vulnérabilité non corrigée, c’est une porte entrouverte. Le problème, c’est qu’il y en a des milliers. Aucune entreprise ne peut tout corriger en même temps — et vouloir tout traiter revient souvent à ne rien traiter efficacement. La vraie question n’est donc pas “ai-je des vulnérabilités ?” (la réponse est oui, toujours), mais “lesquelles dois-je traiter en premier ?”

Première étape : savoir ce qu’on expose

On ne peut pas protéger ce qu’on ne connaît pas. Avant toute forme de priorisation, la condition préalable est d’avoir une visibilité sur son système d’information : quels actifs sont exposés, sur quels systèmes tournent quels logiciels, quelles versions sont déployées.

C’est là qu’interviennent les outils de découverte et de scan de vulnérabilités — qu’ils soient déployés en interne (Nessus, OpenVAS, Qualys…) ou via des services de surveillance externe. Ces outils interrogent vos systèmes, identifient les versions logicielles installées et les comparent à des bases de données de vulnérabilités connues.

💡 Bon à savoir : Un scan de vulnérabilités interne et un scan externe ne donnent pas les mêmes résultats. Le scan interne voit ce qu’un attaquant aurait accès une fois dans votre réseau. Le scan externe simule la vue d’un attaquant depuis internet. Les deux sont complémentaires.

Le problème de l’exhaustivité

Une organisation de taille moyenne peut avoir plusieurs centaines, voire milliers de vulnérabilités remontées par ses outils. Les corriger toutes est impossible : les équipes sont limitées, les maintenances nécessitent des fenêtres de tir, certaines corrections peuvent casser des applications métier.

Traiter toutes les vulnérabilités avec la même urgence revient à ne pas prioriser du tout. Il faut donc un cadre pour décider où concentrer l’effort en premier.

Une vulnérabilité critique non exposée sur internet est souvent moins urgente qu’une vulnérabilité modérée directement accessible depuis le web, sur un service authentifié par un mot de passe faible.

Les référentiels de scoring : CVE, CVSS, EPSS, CISA KEV

Plusieurs standards existent pour qualifier et prioriser les vulnérabilités. Les comprendre, c’est se donner les outils pour sortir du simple classement par score brut.

CVE — Common Vulnerabilities and Exposures

Le CVE est simplement un identifiant unique attribué à chaque vulnérabilité connue publiquement. Format : CVE-AAAA-NNNNN (ex: CVE-2021-44228 pour Log4Shell). C’est la référence commune qui permet à tous les acteurs de parler de la même faille, quel que soit l’outil utilisé.

CVSS — Common Vulnerability Scoring System

Le CVSS (maintenant en version 4.0) est le score de sévérité technique d’une vulnérabilité, exprimé de 0 à 10. Il évalue des critères comme la complexité d’exploitation, les privilèges requis, l’impact sur la confidentialité, l’intégrité et la disponibilité.

Score CVSS Niveau
0.0Aucun
0.1 – 3.9Faible
4.0 – 6.9Moyen
7.0 – 8.9Élevé
9.0 – 10.0Critique
⚠️ Le piège du CVSS : un score élevé ne signifie pas que la vulnérabilité est activement exploitée, ni qu’elle est exploitable dans votre contexte. Beaucoup d’équipes se retrouvent submergées en traitant toutes les CVE avec un CVSS ≥ 7 — c’est encore trop large. Le CVSS est nécessaire mais insuffisant pour prioriser seul.

EPSS — Exploit Prediction Scoring System

L’EPSS change de paradigme : au lieu de mesurer la sévérité théorique, il mesure la probabilité qu’une vulnérabilité soit exploitée dans les 30 prochains jours, exprimée en pourcentage (0 à 100%). Ce score est calculé par le FIRST à partir de données réelles : activité des scanners, publications de PoC, forums underground, télémétrie de menaces…

Un CVSS de 9.8 avec un EPSS de 0.3% est moins urgent qu’un CVSS de 6.5 avec un EPSS de 45%.

💡 Bon à savoir : L’EPSS est mis à jour quotidiennement. Une vulnérabilité peut avoir un EPSS faible le lundi et passer à 60% le jeudi si un exploit public est publié. La surveillance continue est donc essentielle.

CISA KEV — Known Exploited Vulnerabilities Catalog

Le CISA KEV référence les vulnérabilités pour lesquelles une exploitation active dans la nature est confirmée. C’est le signal d’alarme le plus direct : si une CVE est dans le KEV, c’est qu’elle est activement utilisée par des attaquants, maintenant. C’est une priorité absolue de facto.

Référentiel Ce qu’il mesure Utilité principale
CVEIdentifiant uniqueRéférence commune
CVSSSévérité technique théoriqueTri initial
EPSSProbabilité d’exploitation réellePriorisation dynamique
CISA KEVExploitation confirmée en productionUrgence maximale

La dimension souvent oubliée : la connaissance de son SI

Les scores CVSS et EPSS sont des indicateurs génériques — ils ne connaissent pas votre entreprise. Une vulnérabilité critique sur un serveur éteint depuis six mois n’a aucune urgence. Une vulnérabilité modérée sur votre application de prise de commande exposée sur internet peut être catastrophique.

C’est pourquoi la connaissance de son système d’information est le facteur le plus déterminant dans la priorisation.

Les questions à se poser pour chaque vulnérabilité

  • L’actif est-il exposé sur internet ? Un service directement accessible depuis l’extérieur démultiplie le risque d’exploitation.
  • Quel est le niveau de criticité de l’actif pour le business ? Une vulnérabilité sur votre ERP de production n’a pas le même poids que sur un serveur de test isolé.
  • Y a-t-il des compensations existantes ? Un WAF, une segmentation réseau, une authentification forte peuvent réduire le risque réel même sans patch.
  • L’actif est-il accessible en interne sans authentification ? Un attaquant ayant déjà compromis un poste peut pivoter rapidement.
  • Y a-t-il des données sensibles sur cet actif ? Données clients, secrets industriels, données de santé : l’impact d’une compromission est démultiplié.

L’exposition comme multiplicateur de risque

Risque réel = Score de vulnérabilité × Exposition de l'actif × Criticité métier

Un score CVSS de 5.0 sur un actif exposé sur internet, sans authentification, hébergeant des données clients, peut représenter un risque réel supérieur à un CVSS de 9.5 sur un serveur interne isolé, sans données sensibles, dans un segment réseau restreint.

🛡️ Cybersécurité
De la découverte
à la priorisation

Sans priorisation

Centaines de vulnérabilités non triées
Équipes saturées, patches en retard
Score brut sans contexte SI

Avec priorisation

Focus sur les risques réels
MTTR maîtrisé par niveau
Effort aligné sur l’exposition
💡 Règle clé Un CVSS élevé sur un actif isolé < un CVSS modéré sur un service exposé internet.
🔍 Pipeline de priorisation des vulnérabilités
1
🔍
Scan & Découverte
Nessus · Qualys
OpenVAS · Wiz
2
📊
Scoring
CVE · CVSS · EPSS
CISA KEV
3
🏢
Contexte SI
Exposition · Criticité
Données sensibles
CVE
Identifiant unique
de la vulnérabilité
CVSS
Sévérité technique
0 à 10
EPSS
Probabilité d’exploitation
dans les 30 jours
KEV
Exploitation active
confirmée (CISA)
⚖️ Formule de risque contextualisé
Risque réel = Score vulnérabilité × Exposition actif × Criticité métier
🚨
Urgence immédiate
CISA KEV · EPSS > 30%
Traitement sous 24-72h
Haute priorité
CVSS ≥ 7 + actif exposé
Traitement sous 7 jours
📅
Plan de maintenance
Risque faible / contexte
mitigé · Cycle planifié
Référentiels
CVE
Identifiant
CVSS 4.0
Sévérité 0–10
EPSS
Proba. exploitation
CISA KEV
Exploité in the wild
🛡️ CVE · CVSS · EPSS · CISA KEV · Contexte SI La Boussole Digitale
laboussoledigitale.fr
💡 Bon à savoir : C’est exactement ce que font les outils de gestion des vulnérabilités les plus avancés (Tenable.io, Qualys TruRisk, Wiz…) : ils croisent les scores techniques avec le contexte de l’actif (exposition, criticité, présence dans le cloud) pour produire un score de risque contextualisé.

Construire un processus de priorisation pragmatique

1. Constituez votre inventaire d’actifs

Sans inventaire, pas de priorisation possible. Identifiez vos actifs critiques, leur exposition (internet / interne / cloud), et leur niveau d’importance métier. Une feuille de calcul suffit pour commencer.

2. Appliquez une règle de tri en cascade

  1. CISA KEV : traitement immédiat, sans discussion
  2. EPSS > 30% + CVSS ≥ 7 : haute priorité, à traiter sous 7 jours
  3. CVSS ≥ 9 sur actif exposé internet : haute priorité même sans EPSS élevé
  4. CVSS ≥ 7 sur actif critique interne : priorité normale, sous 30 jours
  5. Reste : traitement planifié dans les cycles de maintenance

3. Enrichissez avec le contexte métier

Croisez le tri technique avec votre connaissance du SI : un actif exposé sur internet monte d’un niveau de priorité, un actif hébergeant des données sensibles aussi.

4. Mesurez et itérez

Suivez votre Mean Time To Remediate (MTTR) par niveau de criticité. C’est l’indicateur qui permet de prouver l’efficacité du programme et d’identifier les blocages organisationnels.

⚠️ Attention au patch management seul : corriger une vulnérabilité ne suffit pas si l’actif reste mal configuré, exposé inutilement, ou si les accès ne sont pas revus. La priorisation des vulnérabilités s’inscrit dans une démarche de sécurité globale — pas dans une course au zéro CVE.

Conclusion

Prioriser les vulnérabilités, c’est accepter qu’on ne peut pas tout traiter — et décider méthodiquement de ce qui compte vraiment. CVE, CVSS, EPSS et CISA KEV fournissent des indicateurs précieux, mais aucun ne remplace la connaissance de son propre système d’information.

L’entreprise qui sait ce qu’elle expose, à qui, et avec quelle criticité métier sera toujours plus efficace dans sa gestion des risques que celle qui trie ses vulnérabilités par score décroissant sans contexte.

Vous souhaitez mettre en place un programme de gestion des vulnérabilités adapté à votre entreprise ?

Contactez La Boussole Digitale pour un premier échange sans engagement.

Prendre contact →

Articles similaires

🏗️
Architecture / DSI ⏱ 15 min

RGPD, NIS2, DORA, AI Act, Cloud Act : votre SI est un bâtiment — voici le code de la construction

Lire →