Solution de gestion des vulnérabilités : guide 2026

En bref

Une solution de gestion des vulnérabilités moderne repose sur quatre fonctions indissociables : la découverte continue des assets, la détection des failles, la priorisation basée sur le risque réel (CVSS v4 + EPSS + KEV) et la remédiation orchestrée. L'approche VMDR (Vulnerability Management, Detection and Response) représente l'état de l'art en 2026, intégré au cadre CTEM de Gartner. Côté réglementaire, NIS2, DORA et le RGPD imposent désormais des obligations structurées assorties de sanctions pouvant atteindre 2 % du chiffre d'affaires mondial. La priorisation par CVSS seul ne cible que 2,3 % des CVE réellement exploitées : un programme efficace mobilise l'EPSS, le catalogue KEV de la CISA et le contexte métier pour réduire de 84 % les faux urgents.

48 185

CVE publiées en 2025, record absolu (+20,6 % vs 2024)

5 jours

Délai moyen d'exploitation d'une faille en 2024, contre 63 jours en 2018

60 %

Des violations exploitent une vulnérabilité connue pour laquelle un correctif existait

3,85 M€

Coût moyen d'une violation de données en France en 2024 (IBM)

1. L'explosion des CVE et l'effondrement du délai d'exploitation

Le volume de vulnérabilités publiées a atteint en 2025 un niveau qui dépasse les capacités de traitement manuel de toute organisation, quelle que soit sa taille. 48 185 CVE ont été enregistrées cette année-là, soit une progression de 20,6 % par rapport aux 40 009 de 2024, elles-mêmes déjà en hausse de 38 % sur 2023. Depuis l'origine du système en 1999, le cumul historique dépasse désormais les 308 920 vulnérabilités référencées. En pratique, 130 nouvelles CVE apparaissent chaque jour ouvré. Parmi elles, 39,4 % sont classées critiques ou élevées (score CVSS supérieur ou égal à 7).

Ce volume est en partie alimenté par la multiplication des CNA (CVE Numbering Authorities), notamment dans l'écosystème open source. En 2025, Patchstack, spécialisé dans WordPress, a contribué à lui seul 7 007 CVE, devançant Microsoft et Google. Cela signifie qu'une fraction significative des nouvelles entrées concerne des plugins ou bibliothèques peu diffusés, dont l'impact réel sur votre périmètre dépend entièrement de ce que vous avez déployé. C'est précisément ce que fait une solution de gestion des vulnérabilités : croiser le flux mondial des CVE avec l'inventaire précis de vos assets pour ne traiter que ce qui vous concerne.

1.1 Le délai d'exploitation a chuté à un niveau structurellement incompatible avec les cycles de patch classiques

Le chiffre qui remet en question tous les processus hérités est celui-ci : le délai moyen entre la publication d'une CVE et son exploitation active en conditions réelles est passé de 63 jours en 2018 à 5 jours en 2024. En 2025, le phénomène s'est encore aggravé avec l'apparition des exploitations à délai négatif : 28,96 % des entrées KEV ont été exploitées le jour même ou avant la divulgation publique, contre 23,6 % l'année précédente.

Les cycles mensuels ou trimestriels sont structurellement obsolètes

Avec 56 % des vulnérabilités exploitées dans le premier mois suivant leur divulgation, une organisation qui patche à cadence mensuelle expose ses systèmes plusieurs semaines après que la menace soit opérationnelle. Pour les équipements périmétriques (VPN, pare-feu, passerelles), ce délai peut être mesuré en heures.

1.2 Les délais de remédiation observés sur le terrain

Les données de terrain révèlent un écart important entre les recommandations et la réalité opérationnelle. Le MTTR (Mean Time to Remediate) moyen pour les applications et API critiques atteint 74,3 jours, et 54,8 jours pour les équipements réseau (Edgescan 2025). Le Verizon DBIR 2024 établit qu'il faut en moyenne 55 jours pour corriger seulement 50 % des vulnérabilités critiques après publication du correctif. Les entrées KEV de la CISA, pourtant les failles les plus urgentes, sont remédiées en médiane à 174 jours, les non-KEV à 621 jours.

Par secteur, les éditeurs logiciels affichent les meilleures performances avec 63 jours de MTTR moyen, tandis que le BTP dépasse les 104 jours. Les benchmarks NIST SP 800-53 et PCI-DSS recommandent une fenêtre de 30 à 90 jours pour les failles élevées à critiques. Les organisations qui atteignent ces seuils disposent systématiquement d'une solution de gestion des vulnérabilités intégrant la priorisation automatisée et les workflows de remédiation.

1.3 Les équipements périmétriques : cible prioritaire en France

L'ANSSI, dans son Panorama de la Cybermenace 2024 publié en mars 2025, documente un fait saillant qui interpelle directement les DSI : plus de la moitié des opérations de cyberdéfense ont été déclenchées par l'exploitation de vulnérabilités dans des équipements de sécurité en bordure de réseau, soit les pare-feu, VPN et passerelles de filtrage. Les CVE les plus exploitées en France en 2024 concernent Palo Alto PAN-OS (CVE-2024-3400, CVSS 10.0), FortiManager (CVE-2024-47575, CVSS 9.8), Check Point (CVE-2024-24919) et plusieurs failles Ivanti Connect Secure.

La leçon est directe : les équipements dont le rôle est précisément de protéger le périmètre sont devenus la porte d'entrée privilégiée. Leur surveillance doit être traitée en priorité absolue dans tout programme de gestion des vulnérabilités, avec des SLA d'urgence et une vérification post-remédiation systématique.

2. L'impact financier et réglementaire des vulnérabilités non corrigées

La question du ROI d'un programme de gestion des vulnérabilités se pose souvent dans les comités de direction. Les données disponibles apportent une réponse chiffrée. Selon le rapport IBM Cost of a Data Breach 2024, le coût moyen d'une violation de données en France s'établit à 3,85 millions d'euros (+3 % vs 2023). Ce chiffre monte à 5,19 millions d'euros dans la pharmacie et à 4,79 millions dans les services financiers. Le cycle de vie moyen d'une violation, de la détection au containment, atteint 258 jours.

Le rapport IBM 2025 enregistre une légère décrue globale à 4,44 millions de dollars en moyenne mondiale (-9 %), mais les États-Unis atteignent un record à 10,22 millions. L'utilisation extensive de l'IA en sécurité permet de réduire les coûts de 2,2 millions de dollars et de raccourcir le cycle de vie d'une violation de 80 jours. Ce dernier chiffre illustre concrètement l'argument économique de l'automatisation dans une solution de gestion des vulnérabilités.

2.1 La vulnérabilité non corrigée comme premier vecteur d'entrée

Environ 60 % des violations de données exploitent une vulnérabilité connue pour laquelle un correctif était disponible au moment de la compromission. 32 % des attaques ransomware démarrent par une faille non corrigée (Sophos State of Ransomware 2024). Le Verizon DBIR 2025 classe l'exploitation des vulnérabilités comme vecteur initial de 20 % de toutes les violations, en hausse de 34 % en un an, à seulement 2 points du vol d'identifiants.

Mandiant, dans son M-Trends 2025, confirme que les exploits représentent le vecteur d'infection initial numéro 1 pour la cinquième année consécutive, impliqués dans 33 % de toutes les intrusions. L'exploitation des équipements VPN et périmétriques a été multipliée par 8 en un an, passant de 3 à 22 % des cas documentés.

Le paradoxe des 81 %

81 % des DSI et RSSI reconnaissent avoir retardé l'application de correctifs pour éviter des interruptions métier (Automox). C'est précisément ce compromis que la gestion des vulnérabilités basée sur le risque est censée résoudre : prioriser ce qui menace réellement le business, pour déprioriser rationnellement le reste.

2.2 Le contexte français : les incidents de 2024-2025

Les données françaises illustrent concrètement ces tendances. En 2024, Viamedis et Almerys ont exposé les données de 33 millions d'assurés, et France Travail a vu les informations de 43 millions de personnes compromises. Le secteur de la santé a déclaré 749 incidents dans 558 établissements (+29 %), dont des attaques ransomware sur l'Hôpital de Cannes et l'Hôpital d'Armentières. En 2025, le ministère de l'Économie a subi une violation affectant 1,2 million de comptes bancaires.

Le baromètre CESIN 2025 (401 répondants) révèle que 47 % des entreprises françaises ont subi au moins une cyberattaque significative en 2024, l'exploitation de vulnérabilités figurant comme vecteur dans 47 % des attaques. Seulement 50 % des organisations disposent d'un VOC (Vulnerability Operation Center). La CNIL a reçu 5 629 notifications de violations de données en 2024, soit une hausse de 20 %.

Secteur / Entité	Incident	Ampleur	Sanction / Coût
Free / Free Mobile	Violations répétées, mesures de sécurité insuffisantes	Données clients, 5,1 M d'IBAN volés	42 M€ (CNIL, jan. 2026)
France Travail	Défaut de segmentation et de surveillance	43 millions de personnes	5 M€ (CNIL, 2024)
Viamedis / Almerys	Compromission opérateurs tiers payant	33 millions d'assurés	Instruction en cours
NEXPUBLICA	Vulnérabilités identifiées par audit, non corrigées jusqu'aux violations	Données personnelles	1,7 M€ (CNIL, déc. 2025)

3. Du scan périodique au VMDR : ce qui a changé

La notion de "scan de vulnérabilités" recouvre des réalités très différentes selon les organisations. D'un côté, le scan périodique classique : une ou deux fois par mois, un outil balaie un périmètre déclaré, produit un rapport classé par sévérité CVSS, transmis aux équipes IT qui traitent ce qu'elles peuvent selon leurs disponibilités. De l'autre, ce que l'on désigne sous le terme VMDR (Vulnerability Management, Detection and Response) : une approche intégrée du cycle de vie complet des vulnérabilités, de la découverte à la vérification post-remédiation.

La différence fondamentale entre les deux n'est pas la qualité des scanners, mais l'architecture du processus. Le VMDR repose sur quatre axes qui rompent chacun avec une limite structurelle du scan classique.

Découverte continue vs. inventaire statique

Le VMDR cartographie en permanence l'intégralité de la surface d'attaque : on-premise, cloud multi-provider, conteneurs, IoT/OT, Shadow IT. L'objectif de couverture cible est supérieur à 95 % des assets. Un équipement non inventorié est une vulnérabilité invisible, donc non corrigée.

Priorisation contextuelle vs. tri CVSS

L'intégration de la threat intelligence, de l'EPSS, du catalogue KEV, de la criticité métier des assets et du contexte d'exposition permet de réduire plusieurs milliers de "critiques" à une liste de 6 à 20 vulnérabilités véritablement urgentes par cycle. Sans cette couche, les équipes noient sous le volume.

Remédiation orchestrée vs. ticketing manuel

Les workflows automatisés déclenchent la création de tickets dans l'ITSM (ServiceNow, Jira), le suivi des SLA, les mesures compensatoires (virtual patching, segmentation réseau) et la corrélation avec le SIEM et le SOAR. La remédiation devient un processus piloté, pas une liste d'attente.

Boucle fermée vs. processus ouvert

La vérification systématique que le correctif a effectivement éliminé la vulnérabilité est ce qui transforme le VMDR en programme d'amélioration continue. Sans cette étape, les organisations satisfont les auditeurs sans réduire le risque réel.

3.1 Le CTEM : quand le VMDR s'inscrit dans un cadre stratégique

Introduit par Gartner en juillet 2022, le CTEM (Continuous Threat Exposure Management) est un cadre stratégique structuré en cinq étapes : Scoping (périmètre métier critique), Discovery (identification continue des expositions), Prioritization (classement par impact métier et exploitabilité réelle), Validation (simulation d'attaque, BAS, purple team) et Mobilization (coordination interfonctionnelle avec SLA clairs).

La prédiction de Gartner est nette : d'ici 2026, les organisations ayant structuré leurs investissements sécurité via un programme CTEM seront 3 fois moins susceptibles de subir une violation. Le VMDR constitue le socle technologique de ce cadre, mais le CTEM élargit le champ au-delà des seules CVE logicielles, intégrant les configurations, les identités et les permissions SaaS.

3.2 L'IA comme accélérateur opérationnel

Face à 130 CVE quotidiennes, le triage manuel ne peut structurellement pas suivre. L'IA intervient à plusieurs niveaux dans les solutions modernes : triage intelligent corrélant sévérité, EPSS et criticité métier en temps réel ; automatisation de la remédiation via workflows no-code ; IA agentique permettant de réduire de 70 % le temps d'analyse et de 50 % le temps de triage. En 2024, plus de 110 millions de correctifs ont été déployés directement depuis des plateformes VMDR intégrées.

CTEM : le framework Gartner pour piloter l'exposition aux menaces

Les cinq étapes du Continuous Threat Exposure Management et leur mise en oeuvre concrète

4. Priorisation basée sur le risque : CVSS v4, EPSS et KEV

La priorisation est le coeur opérationnel de toute solution de gestion des vulnérabilités. C'est là que les ressources limitées d'une équipe sécurité sont allouées, et que les mauvais choix ont le plus d'impact. Le recours exclusif au score CVSS comme critère de priorisation est l'un des pièges les mieux documentés du secteur. Les données le confirment : une stratégie basée sur le seul seuil CVSS supérieur ou égal à 7 ne cible en réalité que 2,3 % des CVE réellement exploitées. Le reste du budget remédiation est consommé par des failles à score CVSS élevé mais sans exploitation active connue.

4.1 CVSS v4.0 : ce qui a changé en novembre 2023

Le CVSS v4.0, publié le 1er novembre 2023 par FIRST et adopté par le NVD en juin 2024, apporte plusieurs ajustements structurants. Il introduit une nouvelle métrique "Attack Requirements" distincte de la complexité d'attaque, remplace le concept de "Scope" par des métriques d'impact sur les systèmes subséquents, et simplifie les métriques temporelles en une unique "Threat Metric" (exploit maturity). Pour les environnements OT, ICS et IoT, des métriques supplémentaires sont disponibles (Safety, Automatable, Provider Urgency).

La nomenclature à quatre niveaux du CVSS v4 (CVSS-B, CVSS-BT, CVSS-BE, CVSS-BTE) rappelle explicitement que le score de base seul est insuffisant pour décider. Cette évolution va dans le sens d'une priorisation plus contextuelle, mais elle ne suffit pas à elle seule. Elle doit être combinée avec d'autres signaux.

4.2 EPSS v4 : prédire l'exploitation dans les 30 prochains jours

L'EPSS (Exploit Prediction Scoring System), publié dans sa version 4 en mars 2025 par FIRST, utilise un modèle de machine learning entraîné sur plus de 1 100 variables pour calculer la probabilité qu'une CVE soit exploitée dans les 30 prochains jours. L'efficacité de ce signal est démontrée par les données : une stratégie appliquant un seuil EPSS supérieur ou égal à 10 % réduit les faux urgents de 84 % par rapport à une approche CVSS-only.

Concrètement, l'EPSS permet d'identifier des failles à score CVSS modéré mais avec une probabilité d'exploitation élevée, que le tri CVSS-only aurait reléguées en bas de liste. C'est notamment le cas de nombreuses vulnérabilités d'équipements industriels ou de bibliothèques logicielles très répandues.

4.3 Le catalogue KEV de la CISA : le signal binaire de l'exploitation confirmée

Le catalogue KEV (Known Exploited Vulnerabilities) de la CISA comptait 1 484 entrées fin 2025, avec 245 ajouts en 2025 seuls. Il offre un signal binaire fort : une CVE y figure si et seulement si son exploitation active en conditions réelles a été confirmée. Le score CVSS moyen des entrées KEV est de 8,21, soit 1,2 point au-dessus de la moyenne générale.

L'ancienneté de certaines entrées est instructive : CVE-2002-0367, affectant Windows NT, figure toujours au catalogue car des groupes ransomware l'exploitent encore activement. En 2025, 24 CVE ajoutées au catalogue sont confirmées exploitées par des groupes ransomware. La CISA impose aux agences fédérales américaines un délai de 14 jours pour remédier toute entrée KEV.

La combinaison recommandée en 2026

La pratique mature combine quatre signaux : CVSS v4 (sévérité intrinsèque) + EPSS (probabilité d'exploitation dans les 30 jours) + KEV (exploitation confirmée) + contexte métier (criticité de l'asset, exposition internet, chemin d'attaque, données sensibles hébergées). L'objectif est de produire une liste quotidienne des 20 vulnérabilités les plus urgentes par équipe, avec justification contextuelle pour chaque entrée.

4.4 Les techniques d'exploitation les plus documentées

La cartographie MITRE ATT&CK des techniques d'exploitation les plus utilisées en 2024-2025 suit une kill chain cohérente. L'accès initial passe principalement par T1190 (Exploit Public-Facing Application), qui couvre tous les exploits VPN et pare-feu. Le mouvement latéral mobilise T1210 (Exploitation of Remote Services), notamment via VMware ESXi, SharePoint ou SMB. L'élévation de privilèges passe par T1068, illustrée par CVE-2024-1086 sur Linux netfilter. Le déploiement du ransomware repose enfin sur T1486 (Data Encrypted for Impact).

Ces techniques se combinent avec des vulnérabilités spécifiques. La CVE-2024-55591 de Fortinet FortiOS (CVSS 9.8) a été exploitée massivement sous 96 heures après la publication du PoC, permettant au groupe Mora_001 (affilié LockBit) de déployer le ransomware SuperBlack sur plus de 31 000 instances FortiGate exposées. La fenêtre de réaction disponible pour les équipes de sécurité : moins de 4 jours.

5. NIS2, DORA, RGPD : les obligations réglementaires en vigueur

La gestion des vulnérabilités est passée du statut de bonne pratique à celui d'obligation réglementaire sanctionnable. Trois cadres principaux sont à connaître pour toute organisation française en 2026.

5.1 NIS2 : 15 000 entités françaises bientôt dans le périmètre

La directive NIS2 (2022/2555) n'est pas encore pleinement transposée en France à mars 2026. Le projet de loi relatif à la résilience des infrastructures critiques a été adopté par le Sénat en mars 2025 et voté en commission spéciale à l'Assemblée en septembre 2025, avec une adoption définitive attendue à mi-2026. La Commission européenne a adressé un avis motivé à la France en mai 2025 pour défaut de notification.

L'impact est considérable : le périmètre passe d'environ 500 entités sous NIS1 à près de 15 000 entités couvrant 18 secteurs. L'article 21(2)(e) de la directive impose explicitement des mesures de gestion des vulnérabilités et de divulgation, incluant le patch management, les scans de vulnérabilités réguliers, les tests d'intrusion et l'évaluation des vulnérabilités dans la chaîne d'approvisionnement. Les sanctions prévues atteignent 10 millions d'euros ou 2 % du CA mondial pour les entités essentielles, avec possibilité de mise en cause personnelle des dirigeants.

Point important : l'ANSSI a précisé que la certification ISO 27001 ne couvre que 2 des 20 objectifs NIS2 pour les entités essentielles. Elle ne constitue donc pas un équivalent de conformité. Les coûts de mise en conformité estimés par l'ANSSI s'échelonnent de 100 à 200 000 euros initiaux pour les entités importantes à 450-880 000 euros pour les essentielles.

5.2 DORA : obligations concrètes pour le secteur financier

Le règlement DORA (EU 2022/2554) est en vigueur depuis le 17 janvier 2025. Il s'applique directement à 20 types d'entités financières. L'article 8 impose l'identification continue des vulnérabilités ICT pertinentes. L'article 25 mandate un programme de tests incluant des évaluations et scans de vulnérabilités, des analyses open source, des revues de sécurité réseau et des analyses de code source. L'article 26 exige des tests d'intrusion basés sur les menaces (TLPT / TIBER-EU) au minimum tous les 3 ans pour les entités significatives. Les sanctions peuvent atteindre 2 % du CA mondial annuel.

5.3 RGPD : la CNIL sanctionne les vulnérabilités non corrigées

L'article 32 du RGPD impose des mesures techniques "appropriées" selon l'état de l'art. La CNIL considère explicitement que des vulnérabilités connues non corrigées constituent un manquement à cet article. La doctrine est illustrée par les sanctions récentes : Free / Free Mobile à 42 millions d'euros pour absence de mesures élémentaires (janvier 2026), France Travail à 5 millions pour défaut de segmentation et de surveillance, NEXPUBLICA à 1,7 million pour des vulnérabilités identifiées par audit mais non corrigées jusqu'aux violations.

5.4 ISO 27001:2022 et le contrôle A.8.8

Le contrôle A.8.8 de l'ISO 27001:2022 "Gestion des vulnérabilités techniques" exige un inventaire complet des assets avec versions logicielles, un abonnement aux bulletins de sécurité et aux flux de threat intelligence, des scans périodiques, une évaluation des risques avec priorisation, une remédiation dans des délais basés sur la sévérité (48 heures recommandées pour les critiques, 7 jours pour les élevées) et une documentation probante du MTTR. Depuis le 31 octobre 2025, seuls les certificats ISO 27001:2022 sont valides, les certificats 2013 ayant été retirés.

Cadre	Obligation de gestion des vulnérabilités	Sanction maximale	Applicable depuis
NIS2	Art. 21(2)(e) : patch management, scans, tests d'intrusion, supply chain	10 M€ ou 2 % CA mondial	Transposition fr. attendue mi-2026
DORA	Art. 8, 25, 26 : identification continue, scans, TLPT tous les 3 ans	2 % CA mondial	✓ Jan. 2025
RGPD	Art. 32 : mesures techniques appropriées, vulnérabilités connues	20 M€ ou 4 % CA en récidive	✓ Mai 2018
ISO 27001:2022	Contrôle A.8.8 : inventaire, scans, SLA par sévérité, MTTR documenté	Perte de certification	✓ Oct. 2025

6. Déployer un programme VMDR : étapes, SLA et KPI

Structurer un programme de gestion des vulnérabilités ne se résume pas à choisir un outil. C'est un projet organisationnel qui engage la gouvernance, les équipes IT, le DevOps et les propriétaires métier. Les organisations qui échouent le font rarement à cause de l'outil : elles échouent parce que les rôles ne sont pas définis, les SLA pas tenus, ou le périmètre mal couvert.

6.1 Les cinq étapes fondamentales

Fondations et gouvernance

Définir les rôles : RSSI propriétaire de la politique, équipes IT/infrastructure responsables du déploiement des correctifs, DevOps chargé d'intégrer la sécurité dans les pipelines CI/CD, propriétaires métier classificateurs de la criticité de leurs assets. Sans propriétaire clairement désigné par asset, les conflits de responsabilité paralysent la remédiation.

Découverte et scanning continu

Passer du scan périodique au monitoring continu. Couvrir l'intégralité de la surface d'attaque : cloud multi-provider, conteneurs, serverless, Shadow IT, IoT/OT. L'objectif de couverture est supérieur à 95 % des assets. Un asset non scanné est un angle mort.

Priorisation contextuelle

Combiner CVSS v4 + EPSS + KEV + criticité de l'asset + contexte d'exposition + impact métier. L'objectif est de réduire les milliers de "critiques" à 6-20 vulnérabilités véritablement urgentes par cycle, en produisant une liste quotidienne par équipe avec justification explicite.

Remédiation orchestrée

Intégrer les workflows avec l'ITSM pour la création automatique de tickets, le SIEM pour la corrélation avec les événements de sécurité, et le SOAR pour l'exécution de playbooks. Pour les systèmes ne pouvant être patchés immédiatement : virtual patching, segmentation réseau, ACL strictes.

Vérification et amélioration continue

Confirmer que les correctifs ont été déployés et que la vulnérabilité est effectivement éliminée. Monitorer les régressions. Ajuster les processus selon les KPI. Le CERT-FR insiste : le patching seul ne suffit pas si la faille a pu être exploitée avant l'application du correctif.

6.2 SLA de remédiation recommandés par sévérité

Les SLA doivent être modulés par la criticité de l'asset. Une même vulnérabilité sur un asset exposé internet (Tier-1) reçoit un SLA plus serré que sur un environnement de développement isolé (Tier-3). Les valeurs ci-dessous constituent un référentiel opérationnel cohérent avec les exigences ISO 27001:2022, PCI-DSS et NIS2.

Sévérité	SLA standard	SLA agressif	Conditions déclenchantes
Critique (CVSS 9-10, KEV, EPSS élevé)	24 à 72 heures	24 heures	Zero-day, exploitation active, asset exposé internet
Elevée (CVSS 7-8,9)	7 à 30 jours	14 jours	Maintenance prioritaire programmée
Moyenne (CVSS 4-6,9)	30 à 60 jours	30 jours	Cycle de maintenance courant
Faible (CVSS inférieur à 4)	60 à 90 jours	90 jours	Sans détourner des priorités hautes

6.3 KPI essentiels pour piloter le programme

Un programme sans indicateurs de pilotage revient à gérer sans tableau de bord. Les KPI suivants permettent un suivi opérationnel et stratégique, et constituent les indicateurs naturels à présenter au COMEX ou en audit NIS2/DORA.

MTTR (Mean Time to Remediate) : délai entre détection et fermeture effective. Benchmark mature : 14 jours pour une PME avec automatisation, 30 jours pour une grande entreprise.
Taux de conformité SLA : pourcentage de vulnérabilités remédiées dans les délais contractuels. Cible : supérieur ou égal à 85 %.
Couverture de scan : pourcentage des assets couverts par le scanning régulier. Cible : supérieur à 95 %.
Age moyen des vulnérabilités : durée pendant laquelle les failles ouvertes restent non résolues. La tendance attendue est décroissante.
Score de risque agrégé : évolution trimestrielle de la posture de risque globale, présentable en comité de direction.
Couverture d'exploitabilité : pourcentage des vulnérabilités activement exploitables remédiées. Cible : proche de 100 % pour les entrées KEV.

6.4 Sept pièges à éviter

L'analyse des programmes ayant échoué fait ressortir les mêmes erreurs de manière récurrente. L'inventaire incomplet des assets est le premier facteur d'échec : on ne protège pas ce qu'on ne voit pas. La dépendance exclusive au CVSS conduit à ignorer des failles à EPSS élevé mais CVSS modéré. Les SLA irréalistes provoquent fatigue et désengagement des équipes. L'absence de propriétaire désigné par asset génère des conflits de responsabilité. Le syndrome "scan sans remédiation" satisfait les auditeurs mais ne réduit pas le risque réel. La multiplication d'outils déconnectés crée du bruit sans signal exploitable. Enfin, traiter la gestion des vulnérabilités comme un projet ponctuel plutôt qu'un processus continu est structurellement voué à l'échec dès la première évolution de périmètre.

Le marché confirme la tendance

Le marché mondial de la gestion des vulnérabilités est estimé entre 15 et 17 milliards de dollars en 2024, avec une projection vers 24 à 28 milliards d'ici 2033 (CAGR de 6,5 à 8 %). Le segment des PME affiche la croissance la plus dynamique à 12,1 % par an, signe que la question ne se limite plus aux grands groupes. En France, NIS2 va élargir le périmètre de 500 à 15 000 entités concernées, ce qui amplifiera significativement la demande pour des solutions adaptées aux ETI.

Points clés à retenir

Le délai d'exploitation des failles est tombé à 5 jours en 2024 : les cycles de patch mensuels ne sont plus compatibles avec la réalité opérationnelle.
Une solution de gestion des vulnérabilités efficace repose sur quatre fonctions indissociables : découverte continue, priorisation contextuelle, remédiation orchestrée et vérification post-correctif (approche VMDR).
La priorisation par CVSS seul ne cible que 2,3 % des CVE réellement exploitées. La combinaison CVSS v4 + EPSS + KEV + contexte métier réduit les faux urgents de 84 %.
NIS2, DORA et le RGPD imposent désormais des obligations structurées de gestion des vulnérabilités, assorties de sanctions pouvant atteindre 2 % du CA mondial.
60 % des violations exploitent une vulnérabilité connue pour laquelle un correctif existait. La disponibilité du patch ne suffit pas : il faut un processus qui garantit son déploiement dans les délais.
Les sept pièges les plus courants (inventaire incomplet, dépendance CVSS, SLA irréalistes, absence de propriétaire, syndrome scan sans remédiation, silos d'outils, approche projet) sont tous évitables avec une gouvernance adaptée.