Gestion des vulnérabilités & patches Mis à jour : Juin 2026

CVE (Common Vulnerabilities and Exposures) : identifiant unique d'une vulnérabilité (ex: CVE-2024-1234). CVSS v3 (Common Vulnerability Scoring System) : score 0-10 (Critical ≥9, High ≥7, Medium ≥4, Low <4). NVD (National Vulnerability Database) : base de données NIST avec les CVE et leurs scores. KEV (Known Exploited Vulnerabilities) CISA : liste des CVE activement exploités — priorité absolue.

(1) Découverte (publication CVE), (2) Évaluation (score CVSS + exploitation active ?), (3) Test (environnement de test, vérification compatibilité), (4) Approbation (Change Advisory Board ou processus allégé pour critiques), (5) Déploiement (fenêtre de maintenance), (6) Vérification (scan post-déploiement), (7) Documentation. Ne pas sauter l'étape test pour les systèmes critiques.

Gratuits : OpenVAS/Greenbone (scan réseau complet), Microsoft Defender Vulnerability Management (endpoints Windows), Nessus Essentials (jusqu'à 16 IPs gratuit). Payants : Tenable.io, Qualys, Rapid7. Pour une PME : OpenVAS + Defender VM couvrent l'essentiel. Scanner mensuellement, immédiatement après publication d'un patch critique.

WSUS : solution gratuite Microsoft pour distribuer les mises à jour Windows dans un domaine AD. Avantage : contrôle total. Inconvénient : gestion complexe, pas de reporting avancé. Intune (Microsoft 365) : gestion cloud des patches et de la configuration. Recommandé pour PME hybrides. MECM (ex-SCCM) : pour les environnements > 500 postes. En 2024, Microsoft déconseille WSUS pour les nouvelles installations.

SLA recommandés : CVSS 9-10 (Critical) → patch sous 24-72h, CVSS 7-8.9 (High) → patch sous 15 jours, CVSS 4-6.9 (Medium) → patch sous 30 jours, CVSS <4 (Low) → patch lors du prochain cycle. Bonus : si le CVE est dans la liste KEV CISA, monter d'un niveau de priorité. Les systèmes exposés à internet → priorité maximale.

Définir des fenêtres de maintenance fixes (ex: mardi soir après le Patch Tuesday Microsoft). Toujours avoir un plan de rollback documenté. Pour les systèmes critiques : tester en staging d'abord, déployer par vagues (10% → 50% → 100%). Conserver les anciens patches 30 jours. Documenter chaque déploiement avec timestamp, scope, résultat.

Un zero-day est une vulnérabilité exploitée avant qu'un patch existe. Actions immédiates : identifier si les systèmes vulnérables sont exposés, appliquer les mitigations publiées par l'éditeur (souvent : désactiver une fonctionnalité, bloquer un port, configurer un WAF), surveiller les IoC fournis par le CCCS/ANSSI. Maintenir un abonnement aux alertes CCCS.