Gestion des vulnérabilités
SLA, reporting et exceptions
Programme de vulnérabilités, priorisation par risque, SLA, exceptions, patching et indicateurs.
Exemple de SLA
| Classe | Délai cible | Exemple |
|---|---|---|
| Urgente | 24–72 h | exploitation active, Internet, critique |
| Critique | 7 jours | impact majeur plausible |
| Haute | 30 jours | risque important |
| Moyenne | 90 jours | risque limité |
| Faible | planifiée | amélioration/hygiène |
Adapte les délais à la capacité, aux contraintes métier et au cadre de gouvernance.
Tableau de bord utile
- couverture par type d'actif ;
- taux de scans authentifiés ;
- vulnérabilités ouvertes par âge ;
- taux de correction dans SLA ;
- KEV non corrigées ;
- exceptions expirées ;
- principaux propriétaires ;
- récurrence après correction.
Exception de risque
Champs minimum :
Finding / actifs
Justification métier
Risque résiduel
Contrôles compensatoires
Plan de correction
Propriétaire et approbateur
Date d'expiration
Revue périodique
Communication
Présente à la direction la tendance et les obstacles, pas seulement le nombre brut de vulnérabilités. Un volume peut augmenter parce que la couverture s'améliore.
PDCA
- Plan : objectifs, périmètre, SLA ;
- Do : scans et remédiation ;
- Check : métriques et retests ;
- Act : améliorer outils, processus et responsabilités.