Pourquoi la gestion des vulnérabilités devient un sujet de gouvernance

Corriger tout, tout de suite, c’est le mythe qui casse en premier quand la réalité dépasse 130 vulnérabilités publiées par jour. NIS2 pousse à passer du flux d’alertes à un processus décisionnel défendable, avec responsables identifiés, acceptations de risque cadrées et métriques de suivi. La maturité cyber se mesure à la qualité des choix, pas à la taille de la backlog.

Par Agathe Tonarelli, Product Manager Cybersecurity chez XMCO

La directive NIS2 marque un tournant dans la manière dont les organisations doivent aborder la cybersécurité. Longtemps perçue comme un sujet essentiellement technique, la gestion des vulnérabilités s’impose désormais comme un enjeu de gouvernance à part entière. Non pas parce que le volume de failles augmente, c’est déjà le cas depuis plusieurs années, mais parce que les organisations doivent désormais être capables de démontrer leurs décisions.

Avec plus de 130 nouvelles vulnérabilités publiées chaque jour, aucune entreprise ne peut raisonnablement prétendre toutes les surveiller ni toutes les corriger. L’ambition de NIS2 n’est d’ailleurs pas là. Elle ne vise pas l’exhaustivité technique, mais la capacité des organisations à identifier ce qui les concerne réellement, à prioriser et à tracer leurs arbitrages.

Du flux de CVE à la décision documentée

Dans de nombreuses organisations, la gestion des vulnérabilités repose encore sur une accumulation de flux : bulletins éditeurs, bases de vulnérabilités publiques, alertes automatisées. Cette approche produit une grande quantité d’informations, mais peu de décisions claires. Les équipes passent un temps considérable à trier des alertes, sans toujours savoir lesquelles représentent un risque réel pour leur environnement.

Or, NIS2 change la perspective. Il ne s’agit plus seulement de détecter des vulnérabilités, mais de pouvoir expliquer pourquoi certaines ont été traitées immédiatement, pourquoi d’autres ont été planifiées, et pourquoi certaines ont fait l’objet d’une acceptation de risque. Autrement dit, la gestion des vulnérabilités devient un processus décisionnel, et non plus un simple exercice de surveillance.

La fin du mythe du “tout corriger”

Un des écueils fréquents consiste à confondre sévérité technique et risque réel. Les scores standards restent utiles pour évaluer la gravité d’une faille, mais ils ne tiennent pas compte du contexte métier. Une vulnérabilité très critique sur un serveur de test isolé n’a pas le même impact qu’une faille moins sévère sur un service exposé sur Internet et supportant une application métier essentielle.

Les organisations les plus matures complètent donc l’analyse technique par des critères contextuels : exposition réelle des actifs, exploitabilité connue, impact métier, sensibilité des données. Cette approche permet de prioriser de manière rationnelle, mais surtout défendable. Dans un cadre réglementaire comme NIS2, ne pas corriger immédiatement une vulnérabilité peut être acceptable, à condition que la décision soit justifiée, documentée et cohérente.

Responsabilités et traçabilité : le cœur du sujet

La gouvernance commence par une organisation claire. Qui est responsable de la remédiation sur chaque périmètre ? Qui arbitre en cas de conflit entre sécurité et continuité de service ? Sans réponses explicites, les alertes s’accumulent, les délais s’allongent et la traçabilité disparaît.

Formaliser les responsabilités par périmètre technologique et tracer systématiquement les actions : vulnérabilité identifiée, actif concerné, décision prise, délai appliqué, permet de structurer durablement la gestion des vulnérabilités. Cette traçabilité n’est pas un luxe administratif. Elle constitue un élément clé de protection pour l’organisation et ses dirigeants, en démontrant qu’une vulnérabilité a été évaluée et traitée selon un processus établi.

Mesurer pour piloter dans la durée

Enfin, la gouvernance ne peut s’exercer sans indicateurs. Délai de correction par niveau de criticité, taux de couverture des actifs critiques, respect des échéances définies : ces indicateurs permettent de piloter la gestion des vulnérabilités dans le temps et de rendre compte à la direction.

Cette mesure transforme la cybersécurité en langage commun. On ne parle plus de listes de vulnérabilités, mais de délais tenus, de risques maîtrisés et de priorités respectées. Progressivement, l’organisation passe d’une logique d’urgence permanente à une démarche d’amélioration continue, capable d’anticiper plutôt que de subir.

NIS2 ne demande ainsi pas aux organisations d’atteindre une sécurité parfaite, mais de faire des choix éclairés et assumés. Dans un contexte de surcharge informationnelle, la maturité ne se mesure plus à la quantité d’alertes traitées, mais à la capacité à prioriser, décider et documenter. La gestion des vulnérabilités devient ainsi l’un des piliers de la gouvernance du risque cyber.

À LIRE AUSSI :

Secu

Le stress des RSSI, une réalité avec laquelle composer en 2026

Thierry Derouet

2 Jan

À LIRE AUSSI :

Cloud

NIS 2, le chantier n°1 des RSSI pour 2026

Alain Clapaud

2 Déc

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !