La priorisation des vulnérabilités consiste à classer les failles de sécurité par ordre d'urgence de correction. Elle combine sévérité technique, probabilité d'exploitation et importance de l'actif concerné. C'est la seule approche réaliste quand le volume de vulnérabilités dépasse la capacité de correction des équipes.
Selon le Rapport CAASM 2024 publié par le CESIN et OverSOC, 64,3 % des professionnels de la sécurité considèrent le contexte métier comme le facteur le plus important pour prioriser les vulnérabilités. L'exposition sur internet arrive en deuxième position (58,6 %), suivie de l'analyse de risques (54,3 %). Le score technique seul ne suffit pas.
Pourquoi la priorisation est indispensable
Le volume de vulnérabilités dépasse la capacité de correction
Chaque année, des dizaines de milliers de nouvelles vulnérabilités sont publiées dans la base CVE (Common Vulnerabilities and Exposures). Les scanners de vulnérabilités remontent des centaines, voire des milliers de failles sur un SI d'entreprise. Corriger tout, tout de suite, est impossible.
Sans priorisation, les équipes traitent les vulnérabilités dans le désordre — ou pire, commencent par les plus faciles à corriger plutôt que les plus dangereuses. Le résultat : des failles critiques restent ouvertes pendant que les équipes s'épuisent sur des correctifs à faible impact.
Les attaquants exploitent les failles les plus accessibles
Selon le rapport M-Trends 2025 de Mandiant, l'exploitation de vulnérabilités est le premier vecteur d'accès initial dans les intrusions analysées. Les attaquants ne ciblent pas nécessairement les vulnérabilités les plus sévères — ils ciblent celles qui sont exploitables et exposées.
Les trois axes de la priorisation
1. Sévérité technique : le score CVSS
Le CVSS (Common Vulnerability Scoring System) attribue à chaque vulnérabilité un score de 0 à 10 basé sur ses caractéristiques techniques intrinsèques.
| Score CVSS | Niveau | Action type |
|---|---|---|
| 9,0 – 10,0 | Critique | Correction immédiate |
| 7,0 – 8,9 | Élevé | Correction sous 7 jours |
| 4,0 – 6,9 | Moyen | Correction planifiée |
| 0,1 – 3,9 | Faible | Surveillance |
Le CVSS 4.0 (publié fin 2023 par le FIRST) introduit quatre types de scores : CVSS-B (base), CVSS-BT (base + menace), CVSS-BE (base + environnement) et CVSS-BTE (score complet). Cette évolution permet de mieux contextualiser la sévérité.
Limite du CVSS seul : un score de 9.8 sur un serveur de test isolé est moins urgent qu'un score de 6.5 sur un serveur de production exposé sur internet. Le CVSS mesure la gravité intrinsèque, pas le risque réel pour votre organisation. Pour une comparaison détaillée avec l'approche financière FAIR, consultez notre guide sur FAIR et CVSS.
2. Exploitabilité : le score EPSS
Le score EPSS (Exploit Prediction Scoring System), maintenu par le FIRST, estime la probabilité qu'une vulnérabilité soit exploitée dans les 30 prochains jours. Il complète le CVSS en ajoutant une dimension temporelle et contextuelle.
| EPSS | Interprétation |
|---|---|
| > 10 % | Forte probabilité d'exploitation — correction prioritaire |
| 1 % – 10 % | Risque modéré — à traiter selon le contexte |
| < 1 % | Faible probabilité — surveillance |
En combinant CVSS et EPSS, les équipes concentrent leurs efforts sur les vulnérabilités qui sont à la fois graves et activement exploitées — une fraction du total, mais celle qui représente le risque réel.
3. Criticité métier : le contexte de l'actif
C'est l'axe le plus déterminant selon les professionnels interrogés par le CESIN. La criticité métier prend en compte :
- L'exposition — l'actif est-il accessible depuis internet ?
- Le rôle métier — l'actif supporte-t-il une activité critique (production, paiements, données patients) ?
- Les dépendances — quels autres systèmes sont impactés si cet actif est compromis ?
- Le propriétaire — qui est responsable de la décision de correction ?
Le Rapport CAASM 2024 du CESIN révèle que seulement 57 % des organisations connaissent le niveau de criticité de leurs actifs, et que pour celles qui le connaissent, l'information est souvent compilée dans des tableurs Excel (45 % des cas) — difficilement exploitable par les équipes opérationnelles.
« Connaître et renseigner la criticité et le responsable métier d'un asset, ça nous permet de mieux prioriser le patch management, sans devoir investiguer, comprendre et rechercher les infos. » — Ghislain Banville, RSSI Opérationnel, Naval Group (Rapport CAASM 2024, CESIN/OverSOC)
Méthode de priorisation en 4 étapes
Étape 1 : Identifier — cartographier les vulnérabilités
L'identification repose sur deux leviers complémentaires :
- Les scans de vulnérabilités — outils automatisés (Qualys, Nessus, Rapid7) qui testent les actifs et remontent les failles détectées avec leur score CVSS
- La veille sécurité — suivi des bulletins du CERT-FR, des avis éditeurs et des publications de vulnérabilités zero-day
L'efficacité de cette étape dépend de la connaissance du SI. Si l'inventaire des actifs est incomplet, les scans ne couvrent qu'une partie du périmètre. Le CESIN note que 66,7 % des organisations ne connaissent pas l'ensemble de leur surface d'attaque — un angle mort qui rend la gestion des vulnérabilités partielle dès le départ.
Étape 2 : Évaluer — scorer chaque vulnérabilité
Pour chaque vulnérabilité identifiée, combiner :
- Score CVSS — sévérité intrinsèque (données publiques, fournies par les CVE)
- Score EPSS — probabilité d'exploitation (mis à jour quotidiennement par le FIRST)
- Contexte d'exploitation — un exploit public existe-t-il ? La vulnérabilité est-elle référencée dans le catalogue KEV de la CISA (Known Exploited Vulnerabilities) ?
Étape 3 : Prioriser — croiser avec le contexte métier
C'est ici que le score technique rencontre la réalité opérationnelle :
- Une vulnérabilité CVSS 9.0 sur un serveur de test isolé → priorité moyenne
- Une vulnérabilité CVSS 6.5 sur un serveur de production exposé, avec un EPSS > 10 % → priorité critique
La matrice de priorisation croise la sévérité/exploitabilité (axe technique) avec la criticité de l'actif (axe métier). Ce croisement produit un classement actionnable.
Étape 4 : Corriger — exécuter le plan de remédiation
Le plan de remédiation formalise les actions à mener :
- Patch — appliquer le correctif de l'éditeur
- Contre-mesure — si le patch n'est pas disponible : isolation réseau, règle de filtrage, désactivation du service vulnérable
- Acceptation du risque — documentée et validée par le RSSI quand la correction est impossible ou disproportionnée
Le suivi dans le temps est essentiel. Le taux de correction des vulnérabilités critiques dans les 30 jours est un KPI de cybersécurité fondamental.
Le rôle de la cartographie du SI dans la priorisation
Sans cartographie, la priorisation est aveugle. Vous savez qu'une vulnérabilité existe, mais pas si l'actif concerné est critique, exposé, ou isolé.
Le Rapport CAASM 2024 du CESIN montre que 73,9 % des organisations ne disposent pas d'un outil leur permettant de réconcilier l'ensemble de leurs sources IT et cyber. Résultat : les équipes jonglent entre les consoles de scan, l'Active Directory, la CMDB et des tableurs pour reconstituer manuellement le contexte de chaque vulnérabilité.
« L'important est de consolider l'existant. Une fois cette vision complète, on peut l'utiliser pour étendre le périmètre d'installation de chacun des agents/outils. Puis, en faire son point de référence pour avoir une vision sur l'obsolescence, les vulnérabilités, etc. » — Pierre Bedel, RSSI, Groupe Hospitalier Privé (Rapport CAASM 2024, CESIN/OverSOC)
OverView automatise ce croisement : en connectant vos scanners de vulnérabilités, votre AD, votre EDR et votre CMDB, la plateforme associe chaque vulnérabilité à son contexte métier — criticité de l'actif, exposition, propriétaire — et produit un classement priorisé exploitable directement.
Le rôle de la Cyber Threat Intelligence
La CTI (Cyber Threat Intelligence) enrichit la priorisation en ajoutant le renseignement sur les menaces actives :
- Quelles vulnérabilités sont activement exploitées par des groupes d'attaquants ?
- Quels secteurs sont ciblés en ce moment ?
- Des exploits publics circulent-ils pour les vulnérabilités de votre périmètre ?
En croisant les données de CTI avec l'inventaire des actifs et les résultats de scans, les équipes obtiennent une vision complète : ce qui est vulnérable, ce qui est exploitable, et ce qui est critique pour l'activité.
FAQ
Le score CVSS suffit-il pour prioriser ?
Non. Le CVSS mesure la sévérité intrinsèque d'une vulnérabilité, pas le risque qu'elle représente pour votre organisation. Il faut le combiner avec l'EPSS (exploitabilité) et le contexte métier (criticité de l'actif). Une vulnérabilité CVSS 6.5 sur un serveur de production exposé peut être plus urgente qu'une CVSS 9.8 sur une machine de test isolée.
Quelle différence entre CVSS et EPSS ?
Le CVSS note la gravité technique d'une vulnérabilité (de 0 à 10). L'EPSS estime la probabilité qu'elle soit exploitée dans les 30 jours (de 0 à 100 %). Les deux sont complémentaires : le CVSS dit « à quel point c'est grave », l'EPSS dit « à quel point c'est probable ».
Combien de temps pour corriger une vulnérabilité critique ?
Il n'existe pas de standard universel, mais les bonnes pratiques recommandent de corriger les vulnérabilités critiques (CVSS ≥ 9.0) sous 7 jours et les vulnérabilités élevées (CVSS 7.0-8.9) sous 30 jours. La CISA impose des délais stricts pour les vulnérabilités listées dans son catalogue KEV.
Faut-il corriger toutes les vulnérabilités ?
Non. L'objectif n'est pas de patcher 100 % des vulnérabilités — c'est irréaliste. L'objectif est de réduire le risque réel en traitant celles qui combinent sévérité élevée, exploitabilité forte et actif critique. Pour les vulnérabilités à faible impact sur des actifs isolés, l'acceptation du risque — documentée et validée par le RSSI — est une réponse légitime. Même une priorisation simplifiée (CVSS + EPSS, sans analyse métier formelle) est un progrès majeur par rapport à l'absence de priorisation.
Ce qu'il faut retenir
- La priorisation repose sur trois axes : sévérité (CVSS), exploitabilité (EPSS) et criticité métier de l'actif.
- Le score technique seul ne suffit pas — 64,3 % des professionnels citent le contexte métier comme facteur le plus important (CESIN 2024).
- Sans cartographie du SI, la priorisation est aveugle : on ne sait pas si l'actif vulnérable est critique ou exposé.
- La CTI complète la démarche en identifiant les vulnérabilités activement exploitées.
Testez le simulateur OverView pour évaluer votre couverture actuelle, ou demandez une démo pour voir comment OverView automatise la priorisation de vos vulnérabilités.