Phylapp
Détection des failles et correction continue

Pourquoi la gestion des vulnérabilités doit être permanente

Points clés La gestion des vulnérabilités n'est pas un projet avec une date de fin — c'est une fonction opérationnelle permanente, comme la gestion des incident

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 15 lectures

Points clés

  • La gestion des vulnérabilités n'est pas un projet avec une date de fin — c'est une fonction opérationnelle permanente, comme la gestion des incidents ou la sauvegarde des données.
  • Le paysage des menaces évolue en continu : de nouvelles CVE sont publiées chaque jour, et les techniques d'exploitation évoluent indépendamment des correctifs disponibles.
  • Un programme lancé puis délaissé génère une fausse confiance : l'organisation croit être protégée alors que son exposition s'est reconstituée silencieusement.
  • La pérennité du programme dépend de sa gouvernance : budget récurrent, revues périodiques, métriques suivies, et responsabilités claires à tous les niveaux.

Une erreur fréquente dans l'approche de la gestion des vulnérabilités est de la traiter comme un projet : on lance un programme, on déploie des outils, on corrige le backlog existant, et on considère que le travail est fait. Cette approche crée une fausse confiance. Le paysage des vulnérabilités se reconstitue en permanence : de nouveaux composants sont déployés, de nouvelles CVE sont publiées, de nouvelles techniques d'exploitation émergent. Un programme qui n'est pas maintenu de façon continue perd rapidement sa valeur protectrice.

La dynamique continue du paysage des vulnérabilités

En 2023, le NVD a publié en moyenne plus de 80 CVE par jour. Chaque déploiement de nouvelles applications, chaque mise à jour de composants, chaque expansion du périmètre technique est susceptible d'introduire de nouvelles vulnérabilités. La surface vulnérable d'une organisation évolue en permanence, indépendamment de l'efficacité de son programme de correction passé. Un scan conduit il y a 6 mois ne reflète pas l'exposition actuelle.

La fausse confiance du programme délaissé

Lorsqu'un programme de gestion des vulnérabilités est lancé avec énergie puis progressivement délaissé — faute de budget, de ressources, ou d'attention managériale — il continue d'exister formellement (politiques documentées, outils en place) mais son efficacité se dégrade silencieusement. Les scans deviennent moins fréquents, les résultats moins suivis, les backlogs grossissent. L'organisation croit bénéficier d'une protection qu'elle n'a plus réellement, ce qui est potentiellement plus dangereux que l'absence de programme.

Les conditions de pérennité : gouvernance récurrente

La pérennité d'un programme de gestion des vulnérabilités repose sur des mécanismes de gouvernance récurrents : un budget annuel dédié (outils, licences, ressources humaines), des revues périodiques de l'efficacité du programme (au moins trimestrielles), des métriques reportées régulièrement à la direction, et des responsabilités clairement définies. Sans ces mécanismes, le programme s'érode inévitablement sous la pression des priorités opérationnelles quotidiennes.

Cas documentés
États-Unis — Incident Marriott (2018, découvert après 4 ans)
La violation de données de Marriott International, qui a exposé les données de 500 millions de clients, a résulté d'une compromission initiée en 2014 dans les systèmes de Starwood Hotels, acquis par Marriott en 2016. La compromission n'a été découverte qu'en 2018. L'enquête a révélé que le programme de sécurité de Starwood avait été renforcé temporairement mais pas maintenu en permanence, permettant une présence malveillante prolongée sans détection. La sanction GDPR infligée par l'ICO britannique a atteint 18,4 millions de livres.
Europe — Recommandations ANSSI sur la permanence des programmes
L'ANSSI a publié des recommandations sur la gouvernance des programmes de cybersécurité, insistant sur la nécessité d'une approche permanente plutôt que de campagnes ponctuelles. L'ANSSI a documenté que des organisations ayant subi des incidents répétés présentaient souvent un profil commun : des programmes lancés à la suite d'un premier incident, maintenus le temps de l'attention réglementaire ou managériale, puis progressivement délaissés jusqu'au prochain incident. L'ANSSI recommande d'institutionnaliser la gestion des vulnérabilités avec un budget récurrent et une gouvernance formelle.
Asie — Audit PDPA (Personal Data Protection Act) Thaïlande
Le Personal Data Protection Committee thaïlandais a conduit des audits auprès d'organisations ayant subi des violations de données soumises à notification. Dans plusieurs cas, l'audit a révélé que les organisations disposaient d'un programme de gestion des vulnérabilités au moment de la certification ou de l'audit initial, mais que ce programme avait été significativement réduit dans les 12 à 24 mois suivants faute d'investissement récurrent. Ces cas ont conduit le PDPC à inclure dans ses lignes directrices des exigences sur la pérennité des programmes de sécurité.

Articles similaires

Les failles connues restent la première cause des attaques réussies

Points clés Entre 80 et 90 % des attaques exploitent des vulnérabilités pour lesquelles un correctif existe déjà au moment de l'incident. Les failles connues fi

24 mai 2026 7 min

Pourquoi les vulnérabilités s’accumulent dans les systèmes d’information

Points clés Les vulnérabilités s'accumulent principalement dans les angles morts du patrimoine applicatif : applications legacy, composants tiers non inventorié

24 mai 2026 7 min

Les erreurs fréquentes dans la gestion des correctifs de sécurité

Points clés Les erreurs les plus courantes dans le patch management sont organisationnelles autant que techniques : absence de priorisation formelle, délais non

24 mai 2026 7 min
WhatsApp