Points clés
- Entre 80 et 90 % des attaques exploitent des vulnérabilités pour lesquelles un correctif existe déjà au moment de l'incident.
- Les failles connues figurant dans le catalogue KEV de la CISA sont les plus activement exploitées — leur correction prioritaire réduit mécaniquement la surface d'attaque.
- Un programme de gestion des vulnérabilités structuré est une exigence explicite de NIS2, DORA et de la plupart des référentiels sectoriels.
- La direction est comptable de la tolérance au risque appliquée aux failles non corrigées : cette tolérance doit être formalisée et documentée.
La majorité des incidents de sécurité ayant entraîné des pertes significatives — financières, opérationnelles ou réputationnelles — présentent un point commun : une vulnérabilité documentée, répertoriée, et pour laquelle un correctif était disponible depuis des semaines ou des mois. Ce n'est pas un phénomène marginal. C'est la norme. L'exploitation de failles connues constitue le vecteur d'attaque dominant dans les rapports d'incidents publiés par les CERTs, les assureurs cyber et les organismes de régulation.
Pour la direction générale, ce constat redéfinit la question posée. Il ne s'agit plus de savoir si une organisation sera confrontée à une tentative d'exploitation de faille connue — elle le sera. Il s'agit de déterminer si cette tentative aboutira, et si oui, dans quelles conditions la responsabilité sera engagée.
Les vulnérabilités connues : un inventaire mondial constamment alimenté
Le catalogue CVE (Common Vulnerabilities and Exposures), maintenu par le MITRE et alimenté par le National Vulnerability Database (NVD) du NIST, répertorie chaque année plusieurs dizaines de milliers de nouvelles failles. En 2023, plus de 28 000 CVE ont été publiés. Chacune représente une faiblesse documentée, avec un identifiant unique, un score de sévérité CVSS, et souvent un vecteur d'exploitation décrit.
La CISA (Cybersecurity and Infrastructure Security Agency) publie en complément un catalogue dit KEV (Known Exploited Vulnerabilities), qui répertorie les failles activement exploitées dans des attaques réelles. Ce catalogue est régulièrement mis à jour et constitue une référence opérationnelle pour prioriser les actions correctives. Les organisations qui alignent leur patch management sur ce catalogue réduisent leur exposition aux menaces les plus actives.
Pourquoi les failles connues restent exploitables malgré leur documentation
La disponibilité d'un correctif ne garantit pas son application. De nombreux facteurs ralentissent ou bloquent la mise à jour : complexité des environnements hétérogènes, contraintes de disponibilité des systèmes de production, absence de processus de priorisation formalisé, ou simplement sous-dimensionnement des équipes. Le résultat est une fenêtre d'exposition qui s'étend souvent au-delà de ce que la tolérance au risque réelle de l'organisation justifierait.
Le framework EPSS (Exploit Prediction Scoring System), développé en complément du CVSS, fournit une probabilité d'exploitation dans les 30 jours. Croiser CVSS et EPSS permet d'identifier les failles dont la sévérité technique est élevée et la probabilité d'exploitation imminente est forte — c'est sur ces combinaisons que la priorité absolue doit porter.
Les implications pour la gouvernance et la responsabilité
NIS2 et DORA imposent aux entités concernées de disposer d'un processus de gestion des vulnérabilités documenté, avec des délais de correction définis selon la criticité. L'absence d'un tel processus, ou son existence purement formelle sans application effective, constitue un manquement réglementaire exposant l'organisation à des sanctions et engageant la responsabilité des dirigeants.
La direction générale doit formaliser la tolérance au risque applicable aux vulnérabilités non corrigées : quelles failles peuvent rester ouvertes temporairement, pour quelle durée, sous quelles compensations techniques. Cette formalisation transforme une décision implicite en décision gouvernée, traçable et défendable.
La violation de données d'Equifax, qui a exposé les informations personnelles de 147 millions d'Américains, a été causée par l'exploitation de CVE-2017-5638, une faille dans Apache Struts pour laquelle un correctif était disponible depuis deux mois. Le rapport post-incident du Congrès américain a établi que l'absence de processus de patch management structuré était la cause directe. Les pénalités ont atteint 575 millions de dollars dans le cadre du règlement FTC.
L'ANSSI a documenté plusieurs incidents majeurs touchant des établissements de santé français, dans lesquels l'exploitation de vulnérabilités connues sur des équipements exposés — VPN, serveurs Exchange — a constitué le vecteur d'entrée initial. Dans plusieurs cas, les correctifs disponibles n'avaient pas été appliqués depuis plusieurs semaines. L'ANSSI a publié des recommandations spécifiques sur les délais maximum d'application des correctifs critiques dans les secteurs essentiels.
La violation du système d'information de SingHealth à Singapour, qui a exposé les données médicales de 1,5 million de patients dont le Premier Ministre, a été facilitée par l'exploitation de vulnérabilités connues sur des postes de travail non mis à jour. L'enquête de la Personal Data Protection Commission a conclu à une défaillance systémique dans la gestion des correctifs et a recommandé la mise en place d'un processus formalisé avec des délais contraints.