Phylapp
Détection des failles et correction continue

Les indicateurs pour piloter le patch management

Points clés Le patch management sans métriques est une activité sans direction : il est impossible de savoir si le programme s'améliore, régresse, ou atteint se

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 14 lectures

Points clés

  • Le patch management sans métriques est une activité sans direction : il est impossible de savoir si le programme s'améliore, régresse, ou atteint ses objectifs.
  • Les indicateurs clés sont le délai moyen de correction par niveau de criticité, le taux de respect des SLA, et l'évolution du backlog de vulnérabilités ouvertes.
  • Les métriques doivent être reportées régulièrement à la direction sous une forme synthétique permettant des décisions d'arbitrage éclairées.
  • Un tableau de bord de patch management est un outil de gouvernance autant qu'un outil opérationnel.

Piloter le patch management sans indicateurs est une navigation sans instruments. Les équipes peuvent être actives, les correctifs peuvent être déployés, et pourtant l'organisation peut rester dans un état d'exposition croissante si les failles les plus critiques ne sont pas traitées en priorité. Les indicateurs sont le mécanisme qui transforme une activité opérationnelle en programme gouverné.

L'indicateur fondamental : le délai de correction par niveau de criticité

Le délai moyen de correction (Mean Time to Remediate, MTTR) mesuré par niveau de criticité — critique, élevé, moyen, faible — est l'indicateur le plus directement corrélé avec l'exposition au risque. Un MTTR de 5 jours sur les failles critiques est un signal positif ; un MTTR de 60 jours est un signal d'alarme, quelle que soit la qualité des processus décrits dans les politiques.

Cet indicateur doit être suivi dans le temps (tendance mensuelle ou trimestrielle) et comparé aux SLA définis. Si le MTTR augmente mois après mois, le programme se dégrade. Si le MTTR diminue, il s'améliore. Cette évolution est ce que la direction doit surveiller.

Le taux de respect des SLA : une mesure de fiabilité

Le taux de respect des SLA de correction — le pourcentage de failles corrigées dans les délais définis par niveau de criticité — complète le MTTR en mesurant la fiabilité du programme. Un taux de 95 % sur les failles critiques signifie que 5 % dépassent le SLA défini ; ces exceptions doivent être documentées avec les raisons du retard et les compensations mises en place.

Le backlog : indicateur de santé structurelle

L'évolution du backlog de vulnérabilités ouvertes — ventilé par niveau de criticité et par âge (failles ouvertes depuis moins de 30 jours, 30-90 jours, plus de 90 jours) — donne une image de la santé structurelle du programme. Un backlog stable avec une forte proportion de failles âgées de faible criticité est acceptable. Un backlog croissant avec des failles critiques vieillissantes est un signal d'alarme structurel qui mérite l'attention immédiate de la direction.

Cas documentés
États-Unis — Rapport CDM (Continuous Diagnostics and Mitigation) CISA
Le programme CDM de la CISA, déployé dans les agences fédérales américaines, a permis de mesurer pour la première fois de façon systématique les délais de correction des vulnérabilités à travers le gouvernement fédéral. Les données publiées ont montré des écarts très significatifs entre agences sur le MTTR des failles critiques — de quelques jours à plusieurs mois. Ces données ont permis d'identifier les agences ayant besoin d'un soutien renforcé et de définir des objectifs d'amélioration mesurables.
Europe — Exigences EBA sur le reporting des risques IT
L'Autorité Bancaire Européenne (EBA) a publié des guidelines sur le reporting des risques IT pour les institutions financières soumises à DORA. Ces guidelines incluent des exigences sur les métriques de patch management à reporter au management body, notamment le délai de correction des failles critiques et le taux de couverture du programme de gestion des vulnérabilités. Les institutions soumises à ces exigences ont dû développer des tableaux de bord de patch management adaptés au niveau de gouvernance.
Asie — Standard Chartered Bank (programme de métriques)
Standard Chartered a documenté son programme de métriques de cybersécurité, incluant des KPI spécifiques de patch management reportés trimestriellement au conseil d'administration. Les métriques incluent le MTTR par niveau de criticité, le taux de couverture des scans, et l'évolution du backlog par région géographique. La banque a communiqué que l'introduction de ces métriques au niveau du conseil avait conduit à un investissement supplémentaire dans les équipes de patch management, réduisant significativement les délais de correction sur les failles critiques.

Articles similaires

Les failles connues restent la première cause des attaques réussies

Points clés Entre 80 et 90 % des attaques exploitent des vulnérabilités pour lesquelles un correctif existe déjà au moment de l'incident. Les failles connues fi

24 mai 2026 7 min

Pourquoi les vulnérabilités s’accumulent dans les systèmes d’information

Points clés Les vulnérabilités s'accumulent principalement dans les angles morts du patrimoine applicatif : applications legacy, composants tiers non inventorié

24 mai 2026 7 min

Les erreurs fréquentes dans la gestion des correctifs de sécurité

Points clés Les erreurs les plus courantes dans le patch management sont organisationnelles autant que techniques : absence de priorisation formelle, délais non

24 mai 2026 7 min
WhatsApp