Contrôle 7 — Gestion continue des vulnérabilités
Identifier, prioriser et corriger en continu les failles de sécurité dans vos systèmes. Ce contrôle couvre le scan automatisé, le patch management et la remédiation des vulnérabilités critiques.
Pourquoi ce contrôle est critique ?
Les vulnérabilités non corrigées sont le vecteur le plus exploité dans les attaques ciblées comme opportunistes. Le délai moyen de patch en entreprise dépasse 60 jours — largement suffisant pour qu'un attaquant automatisé exploite la faille.
Procédures & outils recommandés
Établir un calendrier de mise à jour : systèmes critiques patchés dans les 14 jours pour les failles critiques (CVSS >= 9), 30 jours pour les importantes. Utiliser un scanner de vulnérabilités gratuit pour identifier les failles existantes avant de définir les priorités.
- OpenVAS / Greenbone (open source) — scanner de vulnérabilités complet
- Tenable Nessus Essentials (gratuit, 16 IPs) — référence du secteur
- Windows Update / WSUS — patch management Windows
- Qualys Community (freemium) — scan cloud
- Dependabot / Snyk — vulnérabilités dans les dépendances logicielles
Tableau des Safeguards
| # | Action (Safeguard) | IG | Classe |
|---|---|---|---|
| 7.1 | Établir et tenir à jour un programme de gestion des vulnérabilités avec des rôles, responsabilités et délais définis. | IG1 | Appareils |
| 7.2 | Établir un processus de remédiation (correction ou mitigation) des vulnérabilités selon leur criticité. | IG1 | Applications |
| 7.3 | Effectuer des mises à jour automatiques des systèmes d'exploitation sur tous les actifs. | IG1 | Appareils |
| 7.4 | Effectuer des mises à jour automatiques des applications sur tous les actifs. | IG1 | Applications |
| 7.5 | Effectuer des scans automatisés de vulnérabilités sur les actifs internes. Au minimum une fois par mois. | IG2 | Appareils |
| 7.6 | Effectuer des scans automatisés sur les actifs exposés sur Internet. Au minimum hebdomadaire. | IG2 | Réseau |
| 7.7 | Remédier aux vulnérabilités détectées selon la criticité : critique <= 14j, haute <= 30j, moyenne <= 60j. | IG2 | Appareils |
Application pour les PME québécoises
Priorité IG1 : activer les mises à jour automatiques sur tous les postes Windows et macOS (7.3 et 7.4). Gratuit et immédiat. Ensuite, scanner gratuit Nessus Essentials pour inventorier les failles existantes et définir un plan de remédiation par priorité.
Quiz de validation — 5 questions
1. Quel % des brèches exploite des vulnérabilités connues avec un correctif disponible ?
2. Délai maximum pour patcher une vulnérabilité critique (CVSS >=9) ?
3. Quel outil gratuit scanne jusqu'à 16 IPs pour les vulnérabilités ?
4. Quelle action IG1 est la plus simple à activer immédiatement ?
5. Combien de Safeguards IG1 contient le Contrôle 7 ?
Voir aussi