Gestion des vulnérabilités : un enjeu de gouvernance avec NIS2

Agathe Tonarelli, Product Manager Cybersecurity chez XMCO, publie une tribune dans laquelle elle remet en question une idée reçue tenace : celle qu’une bonne cybersécurité consiste à tout corriger. Avec NIS2, la gestion des vulnérabilités devient avant tout un exercice de gouvernance. Voici ce que l’on en retient.

La réalité des équipes cyber est souvent celle-ci : des flux d’alertes interminables, des bulletins éditeurs qui s’accumulent, et peu de temps pour décider. Dans beaucoup d’organisations, la gestion des vulnérabilités fonctionne encore comme un exercice de tri sans véritable processus décisionnel derrière.

Or le contexte a changé. Avec NIS2, il ne s’agit plus seulement de détecter des failles. Les organisations doivent désormais être capables d’expliquer leurs choix : pourquoi cette vulnérabilité a été traitée en priorité, pourquoi une autre a été planifiée, et sur quelle base certaines ont fait l’objet d’une acceptation de risque. C’est un changement de paradigme profond et beaucoup d’entreprises n’y sont pas encore préparées.

C’est l’un des biais les plus répandus en cybersécurité. Un score élevé attire naturellement l’attention. Pourtant, une faille critique sur un système isolé pèse bien moins lourd qu’une vulnérabilité modérée sur un actif exposé, directement lié à un processus métier essentiel.

Alors les organisations qui gèrent bien leurs vulnérabilités ont donc appris à contextualiser. Elles croisent la sévérité technique avec l’exposition réelle de leurs actifs, l’exploitabilité connue et l’impact potentiel sur l’activité. Donc cette approche permet non seulement de prioriser de façon rationnelle, mais aussi de justifier chaque décision. Dans le cadre réglementaire de NIS2, c’est précisément ce que les autorités attendent.

Une bonne gestion des vulnérabilités repose sur des responsabilités claires. Qui prend en charge la remédiation sur quel périmètre ? Qui tranche lorsque sécurité et continuité de service entrent en conflit ? Sans réponses explicites à ces questions, les délais s’allongent et les décisions se perdent.

Tracer chaque étape du traitement devient ainsi indispensable : identification de la faille, actif concerné, décision prise, délai retenu. Ce niveau de documentation n’est pas une contrainte administrative. C’est au contraire une protection pour l’organisation et pour ses dirigeants en cas de contrôle ou d’incident.

Piloter la gestion des vulnérabilités dans la durée suppose enfin de se doter d’indicateurs pertinents.  Délais de correction par niveau de criticité, couverture des actifs sensibles, respect des échéances ces métriques permettent ainsi de rendre compte à la direction dans un langage concret, loin du jargon technique.

C’est ainsi que la cybersécurité change de registre. On ne parle plus de listes de failles à traiter en urgence, mais de risques maîtrisés, de priorités tenues et d’une démarche qui s’améliore dans le temps.

Pour conclure, la tribune d’Agathe Tonarelli pose un constat utile : dans un environnement où les failles se comptent par centaines chaque jour, la maturité cyber ne se mesure plus à l’exhaustivité du traitement. Elle se mesure à la capacité à faire des choix éclairés, à les documenter et à les assumer. Alors c’est précisément ce que NIS2 vient consacrer et ce que les organisations ont encore, pour beaucoup, du chemin à faire pour atteindre.

L’article complet ici : https://www.itforbusiness.fr/pourquoi-la-gestion-des-vulnerabilites-devient-un-sujet-de-gouvernance-100729