Les menaces actuelles sur la cybersécurité évoluent à une vitesse fulgurante que la gestion des vulnérabilités peine à suivre. Le nombre de CVE quotidien dépasse les ressources disponibles.
Plus de 100. C’est la quantité de CVE (Common Vulnerabilities and Exposures) recensée quotidiennement. Les organisations peinent à maintenir le rythme selon une récente étude par I-Tracing. Maxence Magnien, Responsable des activités de gestion de vulnérabilités opérées chez I-TRACING nous explique.
Un « time to patch » critique face à l’explosion des CVE
Une étude menée par I-TRACING en partenariat avec le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) auprès de 250 RSSI (Responsables de la Sécurité des Systèmes d’Information) met en lumière la tension dans le monde de la cybersécurité.
Elle révèle un décalage alarmant entre la rapidité des attaquants et la capacité de remédiation des entreprises. En effet, l’étude I-TRACING/CESIN est sans appel. 56% des RSSI interrogés déclarent manquer de personnel qualifié pour absorber le flux constant de failles de sécurité.
D’autant plus que la moitié sont jugées trop critiques pour être ignorées. Ce surrégime structurel a des conséquences directes sur la réactivité. Alors que les attaquants exploitent une faille critique en moins de 48 heures, parfois dès la publication d’un PoC (Proof of Concept), moins d’une entreprise sur dix parvient à corriger ces vulnérabilités en moins de 24 heures.
Maxence Magnien souligne l’ampleur du défi : « Affectivement, le ‘time to exploit’ est passé en quelques années d’une moyenne en semaines à une moyenne en heures. » Il ajoute que les contraintes opérationnelles, notamment la manipulation d’environnements de production, rendent le délai de remédiation encore plus difficile à tenir.
Laurent Besset, Directeur Général Adjoint et Cyberdéfense chez I-TRACING, insiste sur la nécessité de repenser l’approche. Les ressources humaines peinent à suivre les attaques, il faut donc optimiser. Selon lui, « il ne s’agit plus seulement de prioriser les risques, mais aussi de mieux répartir la charge de travail pour éviter l’épuisement des équipes. »
Les défis structurels de la cybersécurité en entreprise
Le décalage s’explique également par des problèmes structurels. L’étude révèle que 22% des organisations ne disposent d’aucun tableau de bord dédié à la cybersécurité. Ce manque rend toute vision consolidée du risque extrêmement difficile.
Fabrice Bru, Président du CESIN, est catégorique : « La gestion des vulnérabilités ne peut pas reposer sur des outils isolés ou des processus cloisonnés. Une approche unifiée et contextualisée est indispensable pour réduire efficacement les risques. »
Les failles liées au code et aux dépendances logicielles (Shift-left) contribuent aussi à la vulnérabilité. Maxence Magnien explique que cette problématique n’est pas nouvelle, mais s’accélère, car « nous construisons plus rapidement (développement logiciel) mais pas forcément plus qualitativement ». La traçabilité via des SBOM (Software Bill of Materials) reste encore trop peu implémentée.
Une part importante des organisations reconnaît ne pas disposer d’un inventaire exhaustif. Ceci entraîne, d’une part, le Shadow IT, conséquence de la vitesse d’innovation, évoquée par Maxence, crée des angles morts. Le VOC (Vulnerability Operations Center) joue un rôle stratégique en agissant comme un capteur externe capable d’identifier ces actifs exposés.
D’autre part, il conduit aussi à l’hétérogénéité des périmètres IT. Les environnements on-premise coexistent, mais sans coopérer. Avoir chacun ses propres contraintes de détection, ses outils et ses rythmes rend difficile une gestion cohérente.
Comment reprendre le contrôle pour une gestion proactive ?
Face à ces défis, les experts s’accordent sur la nécessité d’une approche structurée, pragmatique et mesurable. Maxence Magnien insiste sur l’importance pour les dirigeants d’aider leurs équipes à sortir du surrégime en se concentrant sur ce qui compte vraiment.
Il est donc crucial de s’intéresser au plus risqué en premier plutôt que de traiter l’ensemble des vulnérabilités de manière linéaire. « Une approche par le risque permet d’avoir une réponse adaptée à la ‘vraie’ gravité de la situation », explique Maxence Magnien.
Automatiser le Patch Management renforce ce pont opérationnel entre la détection et la remédiation effective. « Un patch management automatique et régulier, permet de traiter les vulnérabilités rapidement après leur détection, voire même par anticipation », selon François Drouillot.
La centralisation des expertises et des efforts est une clé à travers la mise en place d’un VOC. Maxence Magnien le définit comme « le groupement type qu’une entreprise peut mettre en place pour centraliser et optimiser ses efforts de détection et de traitement des vulnérabilités dans son SI ».
Une gouvernance et une collaboration transverse complètent les rouages de la cybersécurité stratégique. Un processus formalisé, des rôles et responsabilités clairement définis, une communication régulière et un langage commun entre les équipes SSI, IT et métiers sont indispensables pour fluidifier le cycle de remédiation.
L’IA, la réglementation et le futur de la cybersécurité
L’avenir de la gestion des vulnérabilités sera marqué par l’intégration de nouvelles technologies et l’évolution du cadre légal.
L’intelligence artificielle est perçue par 49% des RSSI comme un levier pour améliorer la détection et la priorisation. Et Maxence Magnien la voit comme un puissant assistant : « Elle permet d’accélérer certaines parties rédactionnelles, de sourçage, ou d’explication qui sont des tâches chronophages et souvent systématiques. »
Cependant, il tempère son potentiel prédictif pour l’heure en insistant sur l’importance de la souveraineté des données.
42% des RSSI anticipent une pression réglementaire croissante . Cette dynamique pousse les organisations vers une meilleure traçabilité, une auditabilité accrue et une gestion du risque plus démontrable. La conformité devient un avantage compétitif structurant.
Interrogé sur le changement unique qu’un chef d’entreprise devrait opérer dès demain, Maxence Magnien est clair : « À faire : Commencer simple, et imposer une priorisation (et son effort associé) basé sur l’exposition réelle et l’impact métier. Pas uniquement sur un score technique (CVSS). »
Et ce qu’il faut éviter à tout prix ? « Ajouter un n-ième outil en pensant avoir LA solution tout en ignorant les freins organisationnels ou décisionnels sous-jacents. » La clé réside dans l’harmonisation des processus, la fluidification de la communication et l’utilisation intelligente de l’outillage. Cette stratégie soutient une stratégie de cybersécurité cohérente et centrée sur l’entreprise.
