MR - stock.adobe.com
Vulnérabilités : comment convaincre son ComEx d’agir
Mener de vastes chantiers de remédiation quand on compte des milliers, des dizaines de milliers de vulnérabilités dans son système d’information est une mission impossible à laquelle le CISO doit s’atteler.
50 000, c’est le nombre de nouvelles vulnérabilités qui devraient être découvertes en 2026. Un chiffre record qui, selon le rapport annuel du FIRST (Forum of Incident Response and Security Teams) pourrait atteindre 100 000 dans quelques années.
Pour le CISO et ses RSSI, effectuer une remédiation de ces failles de sécurité et convaincre les équipes de développement et de production s’apparente au rocher de Sisyphe qu’il faut sans cesse remonter. Il faut sans cesse convaincre les équipes de patcher, de résoudre d’éventuelles erreurs de configuration ou retravailler sur le code pour réduire l’exposition aux attaques.
Mais au-delà, il faut surtout convaincre le ComEx de l’intérêt de consacrer des ressources à une tâche qui ne va pas générer de business, ni même laisser espérer un ROI quelconque. Pas simple non plus pour un CISO habitué à manipuler les acronymes complexes et parler CVE, CVSS à des membres du ComEx dont les connaissances en informatique sont souvent très limitées.
Lors d’un petit déjeuner organisé par InCyber sur le thème « Du one-shot à la vigilance continue : réinventer la gestion des vulnérabilités », le général Watin-Augouard, fondateur du forum InCyber soulignait : « on a besoin d’avoir un dialogue entre le CISO et son ComEx, ce qui suppose que chacun se comprenne. Le CISO doit s’inscrire dans une stratégie d’entreprise, or pour un ComEx, la stratégie c’est avant tout le business. Est-ce que le CA sera toujours au rendez-vous en cas de crise et lorsque celle-ci survient, pourra-t-on garder la main ou l’activité de l’entreprise sera-t-elle interrompue ? » Le défi pour le CISO est de traduire ses indicateurs techniques en des enjeux métiers audibles par le ComEx.
Samuel Le Boucher, DSI adjoint chez un acteur du BTP souligne : « la médiatisation du risque cyber est très forte, mais les chefs d’entreprise ne savent pas comment ce risque cyber se traduit opérationnellement dans le business. Tant que le risque reste abstrait, rien ne se passe ». Pour se faire comprendre des membres de son ComEx, il mise sur des indicateurs simples et une représentation graphique immédiatement compréhensible : « j’aime bien leur présenter une toile d’araignée avec 5/6 critères sur des risques qui leur parlent. Dans le BTP, le risque de fraude au président est très présent, notamment. L’idée est de dire que si on répare telle CVE, cela nous coûtera tant et voici le score qui sera amélioré sur la toile d’araignée. Cela permet de prioriser et de prendre les décisions qui s’imposent ».
La réglementation pousse vers une gestion des vulnérabilités en continu
Pour le CISO et les RSSI, la réglementation peut aussi être une alliée dans ce dialogue avec le ComEx. C’est en particulier le cas de NIS 2 qui va contraindre les entreprises concernées à mettre en place une gestion de leurs vulnérabilités et être capables d’expliquer pourquoi elles ont choisi de remédier à telles ou telles vulnérabilités et pourquoi d’autres ont été délaissées.
Tsuyoshi Shimabukoro, hacker éthique pour une institution financière française, explique : « pour un grand compte, notamment un acteur systémique de la finance, le nombre de vulnérabilités peut se compter en centaines de milliers. Pour rapporter cela au management, il faut traduire ces chiffres en risques qui sont parlants pour le ComEx. Les institutions financières sont extrêmement régulées par la Banque de France, la BCE, etc. Finalement, c’est la gouvernance et la maîtrise que vous mettez sur la gestion des vulnérabilités qui fait que vous aurez le droit d’intervenir sur les marchés financiers ».
Car lorsque le régulateur effectue un contrôle des processus de gestion des vulnérabilités, il demande des preuves sur les tests de sécurité qui ont été réalisés, à vérifier les procédures internes, notamment liées au patching et veut contrôler que celles-ci sont bien appliquées : « on va expliquer au ComEx que l’on prend un risque si on n’est pas au niveau de ce qu’attend le régulateur » ajoute l’expert.
Assurer une gestion des vulnérabilités non plus en one-shot suite à un test d'intrusion, mais dans la durée, va imposer à l’entreprise de s’équiper en conséquence. Il existe une pléthore de solutions de recherche et de gestion des vulnérabilités, de ce qu’on appelle aujourd’hui la gestion de l’exposition. Vulcan Cyber a été acheté par Tenable l’an dernier, mais dans le carré des leaders du Magic Quadrant, on trouve aussi Rapid7, Qualys et des éditeurs majeurs tels que CrowdStrike, Microsoft, ServiceNow, Trend Micro et Tanium du côté des challengers. Et c'est sans compter avec des acteurs plus locaux comme Patrowl et Onyphe.
Pourquoi le score CVSS ne suffit pas
Plus connu pour sa plateforme d’automatisation des tests d'intrusion (ou pentest en anglais), Pentera positionne sa plateforme comme un outil de hiérarchisation des vulnérabilités.
« Il y a des dizaines de milliers de nouvelles vulnérabilités chaque année, mais très peu sont exploitables et encore moins le sont effectivement », explique David Garin, manager régional de Pentera. Dès lors, « l’enjeu pour le CISO est de savoir où il va faire l’effort pour faire une remédiation efficace. L’effort ne doit pas se baser sur des éléments génériques, mais doit être contextualisé en fonction des enjeux de chaque entreprise et du risque ».
David Garin dénonce la tendance à prioriser les vulnérabilités à traiter en se basant uniquement sur le score de sévérité CVSS : « les attaquants ne raisonnent pas sous forme de liste ; ils sont opportunistes, ils savent que vous n'avez pas les équipes extensibles et que vous n’avez pas le temps d'adresser toutes les vulnérabilités. Ils vont donc essayer les vulnérabilités que vous n'aurez pas le temps de remédier ».
Outre les vulnérabilités dans les logiciels et les briques d’infrastructures, l’éditeur rappelle que 50 % des attaques exploitent des mauvaises configurations, raison pour laquelle prioriser les remédiations en fonction d'un scoring générique, le CVSS, n’est pas satisfaisant : « à chaque fois que je suis amené à faire des tests sur des environnements de production, en général les CVE sont assez bien patchées et bien suivies, même si ça demande énormément de travail. Néanmoins, on arrive à passer sur les problèmes de configuration et ça c'est l'humain. C'est-à-dire qu'on demande aux équipes IT d'aller configurer des serveurs, des protocoles, mais les humains ont besoin de dormir ; ils ont des capacités limitées. Une équipe IT peut oublier un mot de passe pour un serveur dans un fichier, dans un script, oublier un partage réseau ou de renforcer un protocole, etc. Or c’est là où le hacker va passer... »
Une approche qui a séduit Samuel Le Boucher : « nous disposions d’outils, de listes de CVE et des alertes qui tombent en continu, mais la difficulté restait la définition des priorités. Je m’appuie sur l’outil de Pentera pour voir à quoi ces attaques peuvent aboutir, rapporter ces attaques aux actifs concernées et, en fonction de nos enjeux business, prioriser les attaques en fonction du risque réel pour notre entreprise ».
L’objectif est bien de traduire un indicateur technique, la CVE et son score CVSS, en une métrique business directement appréhendable par le management qui va devoir décider si celle-ci doit être traitée ou laissée de côté.
Ludovic Barbier, RSSI de Garance estime qu’il est possible d’estimer le coût d’une attaque en allant vers les directions métiers, en leur demandant d’évaluer l’impact d’une attaque sur leur activité et d’évaluer aussi les moyens à mettre en place pour les aider à rétablir leur activité : « il est possible d’aboutir à une estimation assez cohérente du coût global d’une attaque. Ce chiffre sera ensuite affiné en s’appuyant sur la CTI (Cyber Threat Intelligence, ou renseignement sur les menaces) pour corréler ces données avec ce qui se passe à l’extérieur. Avec cette approche, il est possible d’obtenir un budget pour un projet qui devait faire baisser le niveau de risque. Un budget de 100 000 euros pour faire baisser un risque évalué à 2 millions, cela peut être intéressant. Il peut aussi arriver qu’on estime qu’il ne faut pas le faire ».
Le sponsorship du ComEx reste indispensable
L’outillage apporte une solution pour gérer une liste de vulnérabilités, mais tout l’enjeu pour un CISO est de convaincre les équipes de développement et d’exploitation de suspendre les projets en cours pour consacrer du temps à remédier aux vulnérabilités qui auront été jugées prioritaires… Le soutien de la direction est alors indispensable.
« Un ComEx a aussi besoin de voir que les choses bougent, que les décisions prises ont un impact », relève Samuel Le Boucher : « l’outil nous permet d’assurer un suivi dans le temps des vulnérabilités et de montrer que toutes ces corrections ont un impact réel. Nous pouvons montrer les vulnérabilités qui ont été corrigées et l’amélioration du score global qui en résulte ».
Ludovic Barbier rejoint Samuel Le Boucher sur ce point : « si on arrive à montrer ce qui est prioritaire dans les corrections à apporter, avec des chiffres qui montrent l’impact, on peut avoir l’adhésion du ComEx. Dès lors, cela va pouvoir se diffuser dans la totalité de l’entreprise, hors de la DSI. Le CISO doit prioriser, mais aussi aider le ComEx à piloter la sécurité ».
Pour que cet effort puisse être maintenu dans la durée, il faut structurer la démarche et ne pas se contenter de déployer un outil. Tsuyoshi Shimabukoro considère qu’il faut se mettre en capacité de compiler les résultats délivrés par les outils, dédupliquer et normaliser les données de vulnérabilité et passer par une phase de découverte pour améliorer la connaissance des actifs en production : « lorsqu’on entre dans une logique de contrôle continu, on va nécessairement accumuler, donc il faut nettoyer les faux positifs, c'est-à-dire les vulnérabilités sur ce qui n’est pas risqué. Enfin, il faut être capable de faire un suivi des remédiations et des tendances ».
La gestion du stock des vulnérabilités, telle que la réglementation l’impose de plus en plus, va devoir pousser les entreprises à sacrifier un peu d’innovation au profit de la réduction du risque. Un message que les CISO et RSSI vont devoir faire passer à leur ComEx, même s’il n’est pas facile à entendre.
Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)
-
![]()
Jean-Dominique Nollet, TotalEnergies : « la cyber sans l’offensif, c’est du pipeau »
Par: Alain Clapaud
-
![]()
L’approche « all inclusive » du Club Med dans la gestion des vulnérabilités
Par: Alain Clapaud
-
![]()
Gestion des vulnérabilités : Abeille Assurances veut se doter d’un VOC
Par: Alain Clapaud
-
![]()
Les approches actuelles de gestion des correctifs ne sont pas viables
Par: Alex Scroxton
