Points clés
- Prioriser les correctifs sur la seule base du score CVSS crée une distorsion : la sévérité technique ne reflète pas le risque opérationnel dans le contexte de l'organisation.
- La criticité métier du système affecté et la probabilité réelle d'exploitation sont les deux dimensions manquantes dans la plupart des processus de priorisation.
- Un correctif sur un serveur exposé sur Internet est plus urgent qu'un correctif de même score sur un système isolé — quelle que soit la sévérité CVSS.
- La direction doit valider la grille de priorisation et s'assurer qu'elle reflète les priorités métier, pas uniquement les critères techniques.
La priorisation des correctifs est l'une des décisions les plus structurantes du patch management — et l'une des moins bien maîtrisées dans les organisations qui n'ont pas formalisé leur approche. Trop souvent, la priorisation se réduit au score CVSS : les CVE de score 9 ou 10 sont traités en priorité, les autres attendent. Cette approche, bien qu'intuitive, produit des résultats systématiquement sous-optimaux.
Les limites du CVSS comme unique critère de priorisation
Le score CVSS mesure la sévérité intrinsèque d'une vulnérabilité : sa complexité d'exploitation, les privilèges requis, l'impact potentiel sur la confidentialité, l'intégrité et la disponibilité. Il ne prend pas en compte le contexte de déploiement. Un CVE de score 9.8 affectant un composant qui n'est pas exposé sur Internet, qui est protégé par une authentification forte, et qui ne traite pas de données sensibles, représente un risque résiduel bien inférieur à un CVE de score 7.0 affectant un service web exposé sans authentification préalable.
L'EPSS (Exploit Prediction Scoring System), développé par la communauté FIRST, corrige partiellement cette limitation en estimant la probabilité d'exploitation dans les 30 prochains jours, sur la base de l'activité observée dans la communauté de la menace. Croiser CVSS et EPSS permet d'identifier les failles dont la sévérité ET la probabilité d'exploitation sont élevées — le quadrant qui mérite la réponse la plus rapide.
Intégrer la criticité métier dans la priorisation
La dimension manquante dans la plupart des processus de priorisation est la criticité métier du système affecté. Un système hébergeant les données clients, intégré dans les processus de paiement, ou critique pour la continuité d'activité, mérite une priorisation plus élevée qu'un système interne de moindre importance. Cette dimension ne peut pas être fournie par les outils de scan — elle doit être intégrée par l'organisation elle-même, via une cartographie des actifs critiques validée par la direction.
La priorisation comme décision partagée direction-IT
La grille de priorisation des correctifs doit être validée par la direction, pas seulement définie par les équipes techniques. La raison est simple : elle traduit une hiérarchie des risques qui reflète les priorités métier de l'organisation. Définir qu'un système de paiement est plus critique qu'un serveur de messagerie interne est une décision métier, pas une décision technique. Sans cette validation, la priorisation opérée par les équipes IT peut ne pas refléter les véritables priorités de l'organisation.
Une étude publiée par des chercheurs de l'Université Carnegie Mellon a analysé l'impact des divulgations de vulnérabilités sur les marchés de dette d'entreprise. L'étude a montré que les entreprises dont les pratiques de patch management étaient reconnues (via des certifications ou des audits publics) obtenaient des conditions de financement légèrement meilleures. Ce résultat illustre que la priorisation des correctifs n'est pas seulement une décision technique — elle a des implications financières mesurables pour l'organisation.
Danone a documenté l'évolution de son programme de gestion des vulnérabilités, notamment la migration vers une approche de priorisation basée sur le risque plutôt que sur le score CVSS seul. L'organisation a développé une matrice de criticité interne croisant la sévérité technique avec la criticité métier des systèmes, permettant de concentrer les ressources de correction sur les combinaisons à risque réel le plus élevé. Cette approche a permis de réduire le délai de correction des failles véritablement critiques tout en maintenant une charge opérationnelle soutenable.
DBS Bank a intégré la priorisation des correctifs dans son programme de gestion des risques technologiques, avec une matrice de criticité validée par le comité de risque technologique au niveau de la direction. La banque a publié des éléments de son approche dans ses rapports annuels, soulignant que la priorisation doit refléter les priorités métier et pas seulement les scores techniques. DBS a été reconnue par le MAS pour ses pratiques de gestion des risques technologiques comme un modèle de référence pour le secteur financier singapourien.