Gestion des vulnérabilités
Cycle du programme
Programme de vulnérabilités, priorisation par risque, SLA, exceptions, patching et indicateurs.
Cycle complet
Inventaire → Découverte → Validation → Priorisation
→ Remédiation → Vérification → Reporting → Amélioration
Inventaire
Un scanner ne voit que ce qu'il peut atteindre. Maintiens un inventaire avec : propriétaire, criticité, exposition, environnement, système, support et date de fin de vie.
Couverture
Mesure séparément :
- actifs connus et scannés ;
- actifs découverts mais non inventoriés ;
- scans authentifiés réussis ;
- environnements exclus ;
- conteneurs, cloud, réseau et applications.
Gouvernance
| Rôle | Responsabilité |
|---|---|
| Sécurité | programme, validation, risque, reporting |
| IT/Plateforme | patch et configuration |
| Métier | criticité et fenêtre |
| Propriétaire du risque | acceptation formelle |
| Direction | arbitrage et ressources |
Cadence
- exposition Internet : fréquente et après changement ;
- serveurs : cadence régulière selon risque ;
- postes : scans/agents continus ;
- applications : CI/CD + tests périodiques ;
- scans après patch : retest ciblé.