Points clés
- Intégrer la gestion des vulnérabilités dans la gouvernance signifie la traiter comme une fonction stratégique avec un responsable désigné, un budget récurrent et une visibilité au niveau du comité de direction.
- La gouvernance inclut la définition de la tolérance au risque applicable aux vulnérabilités, validée par la direction et formalisée dans une politique.
- Les comités de risque ou d'audit doivent recevoir des métriques de gestion des vulnérabilités dans leur reporting périodique.
- L'intégration dans la gouvernance transforme la gestion des vulnérabilités d'une activité technique en responsabilité partagée entre IT et direction.
La gestion des vulnérabilités reste trop souvent cantonnée dans la sphère technique, perçue comme la responsabilité exclusive des équipes IT ou sécurité. Cette perception sous-estime les décisions de gouvernance qui conditionnent son efficacité : définition de la tolérance au risque, allocation des ressources, arbitrage entre disponibilité et sécurité, validation des exceptions aux SLA. Intégrer la gestion des vulnérabilités dans la gouvernance signifie faire remonter ces décisions au niveau où elles peuvent être prises de façon éclairée et documentée.
La tolérance au risque : une décision de direction
La tolérance au risque applicable aux vulnérabilités est la décision fondamentale de gouvernance : quelles failles peut-on laisser ouvertes temporairement, dans quelles conditions, et pour quelle durée ? Cette décision reflète les priorités stratégiques de l'organisation — sa dépendance aux systèmes numériques, sa sensibilité réglementaire, sa capacité à absorber un incident. Elle ne peut pas être déléguée à l'équipe technique sans information sur ces dimensions stratégiques.
Formaliser la tolérance au risque dans une politique de gestion des vulnérabilités validée par la direction permet de rendre les décisions opérationnelles (définir un SLA de correction, accepter une exception) cohérentes avec la stratégie globale de l'organisation.
La gouvernance des exceptions : un mécanisme indispensable
Les exceptions aux SLA de correction — failles critiques non corrigées dans les délais requis pour des raisons techniques ou opérationnelles — doivent faire l'objet d'un processus de gouvernance formel. Chaque exception doit être documentée avec les raisons du retard, les compensations techniques mises en place, et l'engagement sur un délai de correction révisé. Les exceptions sur les systèmes les plus critiques doivent être portées à la connaissance de la direction. Ce mécanisme protège l'organisation en cas d'audit ou d'incident en démontrant que les retards étaient gouvernés, pas subis.
Le reporting au comité de direction : contenu et fréquence
Le reporting de la gestion des vulnérabilités à la direction n'a pas besoin d'être exhaustif — il doit être synthétique et actionnable. Un tableau de bord trimestriel incluant les métriques clés (MTTR par niveau de criticité, taux de respect des SLA, évolution du backlog critique), les exceptions en cours avec leur justification, et les tendances d'évolution permet à la direction d'exercer une gouvernance éclairée sans entrer dans les détails opérationnels.
Les règles de divulgation cybersécurité adoptées par la SEC en 2023 imposent aux entreprises cotées de décrire comment leur conseil d'administration supervise les risques cyber, y compris les processus de gestion des vulnérabilités. Plusieurs grandes entreprises américaines ont restructuré leur gouvernance cyber en réponse, créant des comités de cybersécurité au niveau du conseil et formalisant le reporting des métriques de gestion des vulnérabilités. Cette évolution illustre le mouvement structurel vers une intégration de la gestion des vulnérabilités dans la gouvernance d'entreprise.
NIS2 impose que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques cyber, suivent leur mise en œuvre, et puissent être tenus responsables en cas de manquement. Cette exigence s'applique directement à la gestion des vulnérabilités : les dirigeants doivent approuver la politique de gestion des vulnérabilités, surveiller son application, et être informés des déviations significatives. Plusieurs États membres ont publié des guides d'implémentation détaillant comment structurer ce reporting à la direction.
La prudentielle australienne APRA (Australian Prudential Regulation Authority) a publié le standard CPS 234 sur la sécurité de l'information, imposant aux entités réglementées de maintenir des capacités de sécurité de l'information proportionnelles à leurs risques. Le standard exige que le conseil d'administration soit régulièrement informé sur la posture de sécurité, incluant les métriques de gestion des vulnérabilités. APRA a conduit des revues de conformité dont plusieurs ont révélé des lacunes dans le reporting des métriques de patch management au conseil, conduisant à des exigences de remédiation formelles.