En 2024, le CERT-FR a dû se mobiliser sur 4 386 événements de sécurité en 2024, soit 15 % de plus qu’en 2023. Une faille exploitable n’a donc plus rien d’une anomalie rare, elle est désormais un élément à part entière de l’économie numérique. Autrement dit, la question n’est aujourd’hui plus de savoir si l’on est vulnérable mais quand, comment et avec quel impact. Comprendre la nature des vulnérabilités, les hiérarchiser et se préparer à penser comme un attaquant deviennent donc des compétences stratégiques pour tout CODIR.
La transformation numérique a ouvert de (larges) nouvelles portes
En moins de dix ans, les entreprises ont multiplié les SaaS, exposé des API vers leurs partenaires et connecté des milliers d’objets industriels ou bureautiques. Chaque service en ligne ajoute un module logiciel, chaque module multiplie les bibliothèques tierces et chaque librairie embarque son lot de correctifs à déployer.
Résultat : la surface d’attaque grandit plus vite que la capacité humaine à patcher.
Les assaillants le savent. 98 % du trafic malveillant détecté sur les réseaux d’entreprises cible encore des protocoles d’accès à distance mal configurés comme VNC ou RDP (selon une étude Barracuda).
La transformation numérique crée de la valeur mais ouvre malhereusement autant de portes qu’elle installe de services…
Une vulnérabilité, ce n’est pas que du code
Dans l’imaginaire collectif, une faille réside dans une ligne C++ mal écrite.
En réalité, la configuration par défaut d’un SaaS, une règle de pare-feu trop large ou un compte dormant représentent des points d’entrée tout aussi efficaces.
L’ANSSI insiste : plus de la moitié des vulnérabilités critiques exploitées en 2024 concernaient des équipements de sécurité en bordure de SI, non des applications métier internes.
Le code n’est donc que l’un des maillons d’une chaîne qui inclut architecture, processus et culture.
Pourquoi le risque s’aggrave aujourd’hui ?
Globalement, trois tendances accélèrent actuellement la menace :
- Le cloud généralisé. Lorsque l’on déploie dix micro-services par jour, le temps entre la disponibilité d’un patch et son application se réduit souvent à un créneau du week-end.
- L’ndustrialisation des attaquants. Les groupes de ransomwares recyclent des kits prêts à l’emploi, ciblent à grande échelle les failles déjà documentées et mutualisent leurs infrastructures.
- Les réglementations plus strictes. RGPD, DORA ou NIS 2 imposent la déclaration d’incident, ce qui oblige les entreprises à divulguer leurs failles et donc à les traiter sous regard externe.
Ces idées reçues qui freinent l’action
Parallèlement à cela, beaucoup d’entreprises restent encore persuadées qu’un antivirus et un pare-feu suffisent. Pourtant, l’ANSSI ne cesse de rappeler que la plupart des malwares d’aujourd’hui se faufilent par le navigateur ou les outils de collaboration plutôt que par les ports « classiques » surveillés par un pare-feu.
Le mythe d’un mur protecteur unique a la peau dure, alors même que l’expérience de terrain montre que se croire protégé derrière le pare-feu est une illusion.
Autre croyance : « Ce n’est pas critique, cela ne concerne que le SI ». L’attaque de l’hôpital de Versailles en 2022 a prouvé l’inverse. Une rançon logicielle a stoppé les blocs opératoires et reporté les soins. Une vulnérabilité technique qui est instantanément devenu un risque patient ou client. A noter que, plus 2 ans après l’incident, l’établissement est toujours en difficulté.
Troisième idée reçue : « Nous n’avons jamais été attaqués, donc nous sommes à l’abri » ou sa variante fourre-tout « ça n’arrive qu’aux autres ».
Rappelons que, selon le baromètre PwC 2024, 66 % des dirigeants français redoutent l’impact d’une cyber-attaque sur leur modèle économique. L’absence d’incident déclaré ne vaut pas immunité, elle reflète souvent une détection insuffisante ou une chance temporaire.
Tout cela pour dire que ces fausses certitudes retardent la mise en place d’une démarche structurée de réduction des vulnérabilités et maintiennent l’organisation dans une posture réactive.
Cartographier ses vulnérabilités : un prérequis stratégique
La cartographie ne se limite pas à un inventaire Excel. Elle agrège l’inventaire matériel, la topologie réseau, les versions logicielles, le scoring CVSS et la criticité métier. Seule cette vue à 360 ° permettra d’associer un risque technique à une priorité business : une faille sur un serveur de test isolé vaut moins qu’une faille identique sur le frontal e-commerce.
Les organisations équipées d’une plateforme de gestion d’exposition (CAASM ou VOC) sont déjà une sur deux dans les grands comptes français selon le CESIN.
Mieux prioriser pour ne pas s’épuiser
Corriger toutes les failles est irréaliste. L’enjeu est de choisir.
Prioriser implique de pondére le score CVSS avec l’exploitabilité publique, la présence de contrôle compensatoire et l’impact métier.
Une équipe finance peut accepter un risque sur un serveur d’impression, mais pas sur le référentiel de consolidation. La priorisation permet notamment de réduire le délai moyen de patch de 30 % selon de nombreux RETEX de groupes industriels français.
Et si vous pensiez comme un attaquant ?
C’est là qu’intervient une approche offensive en cybersécurité : se mettre dans la peau d’un attaquant pour mesurer réellement son niveau d’exposition.
Tests d’intrusion, simulations ciblées, red teaming… Ces pratiques permettent de valider les vulnérabilités identifiées et de révéler celles qu’aucun outil automatique ne détectera.
Toujours selon le CERT-FR, les exercices de red teaming menés en 2024 sur les chaînes industrielles ont notamment débouché sur la découverte de vulnérabilités non référencées dans les bases CVE.
Ce que les décideurs peuvent (et doivent) exiger
Les membres du comité de direction n’ont pas besoin d’être experts pour piloter efficacement la réduction des failles. Ils doivent disposer d’indicateurs simples de niveau de risque : nombre de vulnérabilités critiques non corrigées au-delà de trente jours, délai médian de déploiement des correctifs, couverture des audits offensifs. Avec ces données, deux questions deviennent incontournables : « Avons-nous une vue consolidée de nos failles ? » et « Corrigeons-nous les vulnérabilités critiques dans un délai acceptable ? ».
La gouvernance gagne à programmer des exercices réguliers. L’ANSSI recommande ainsi au moins un test de crise par an, afin de réduire le temps de reprise après incident. Les comités doivent donc inscrire ces tests dans l’agenda, valider le budget et exiger un compte-rendu avec plan d’action.
Dernier levier : intégrer le risque de vulnérabilité dans le pilotage global des risques d’entreprise. PwC classe le risque cyber au même niveau que le risque réputationnel ou réglementaire. Concrètement, cela signifie un reporting cyber présenté au même titre que la trésorerie ou la conformité. Les indicateurs techniques se transforment alors en métriques décisionnelles : impact financier potentiel, exposition juridique, influence sur la chaîne de valeur. Cette intégration permet aux DAF et dirigeants d’arbitrer investissement, assurance et remédiation avec la même rigueur que les autres risques stratégiques.
En clair, ces exigences, claires et mesurables, placent la gestion des vulnérabilités dans le champ de la gouvernance, loin de la seule sphère technique. Elles permettent surtout de passer d’une posture subie à une posture proactive, aligné sur les enjeux globaux de l’entreprise…
