Scanner produit des milliers de CVE ; sans triage, l'équipe se noie et corrige au hasard. Le domaine Vulnérabilités, VEX & réponse (VLN) est transversal : il fait le pont entre connaître les failles et y répondre utilement.
Le score CVSS dit qu'une faille est grave en théorie, pas qu'elle est exploitable dans votre contexte. Sans VEX (Vulnerability Exploitability eXchange), on traite des centaines de faux positifs et on rate la poignée de failles réellement exploitables ; la priorisation par exposition et exploitabilité (EPSS, CISA KEV) concentre l'effort là où il compte. La logique du domaine tient alors en un cycle continu : inventorier les vulnérabilités depuis les SBOM, les trier avec VEX et l'exploitabilité connue, les remédier selon des SLA par criticité, puis les signaler et les divulguer au format machine (CSAF) quand la réglementation l'exige.
Concrètement, ces exigences parent : la vulnérabilité invisible faute d'inventaire consolidé, l'effort noyé dans le bruit sans triage par exploitabilité réelle, la faille qui s'éternise sans SLA de correction, et l'obligation réglementaire de signalement (CRA) manquée. Cette page couvre les 19 exigences SOCLE du domaine, des fondamentales (R1) aux souveraines (R3).
Connaître ne suffit pas : il faut prioriser (VEX/exploitabilité) et corriger dans les délais (CRA).
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Les exigences essentielles
Section intitulée « Les exigences essentielles »Cinq exigences forment la base : inventaire consolidé, triage VEX, délais de correction par criticité, signalement réglementaire et politique de divulgation.
inventaire consolidé des vulnérabilités (SCA / scan, OSV).#
On ne corrige pas des vulnérabilités qu'on ne voit pas : éparpillées entre scans, elles restent ingérables. Un inventaire consolidé (SCA, scan, base OSV) rassemble en un point ce qui est vulnérable, condition pour trier, prioriser et suivre, plutôt que de réagir au coup par coup à chaque alerte isolée.
- Preuve attendue
- Inventaire consolidé des vulnérabilités (SCA/scan, OSV).
- Outillage
- OSV-Scanner Trivy Dependency-Track
Correspondances & menaces parées 5 standards · 2 menaces
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances). Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK.
triage et priorisation via VEX (exploitabilité réelle).#
Toutes les vulnérabilités détectées ne sont pas exploitables dans votre contexte : noyer l'équipe sous le bruit retarde les vraies. Le triage via VEX (exploitabilité réelle) sépare ce qui compte de ce qui ne vous affecte pas, concentrant l'effort de correction là où le risque est avéré.
- Preuve attendue
- Processus de triage/priorisation via VEX (exploitabilité réelle).
- Outillage
- OSV-Scanner Trivy Dependency-Track
Correspondances & menaces parées 6 standards · 1 menace
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances).
délais de correction définis par criticité et suivis.#
Une vulnérabilité critique laissée sans échéance traîne indéfiniment et reste exploitable. Des délais de correction définis par criticité et suivis créent une obligation mesurable : on sait combien de temps une faille peut rester ouverte, et on détecte celles qui dépassent le seuil acceptable.
- Preuve attendue
- Délais de correction par criticité définis et suivis.
- Outillage
- OSV-Scanner Trivy Dependency-Track
Correspondances & menaces parées 5 standards · 2 menaces
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances). Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK.
signalement réglementaire des vulnérabilités exploitées.#
Une vulnérabilité activement exploitée dans un produit livré déclenche des obligations légales (CRA). Disposer d'une procédure de signalement réglementaire garantit de respecter les délais et d'éviter la sanction, tout en informant ceux qui doivent réagir, plutôt que de gérer l'urgence légale en improvisation.
- Preuve attendue
- Procédure de signalement réglementaire des vulnérabilités exploitées.
- Outillage
- OSV-Scanner Trivy Dependency-Track
Correspondances & menaces parées 4 standards · 1 menace
Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK.
politique de divulgation et avis de sécurité (CSAF).#
Une faille corrigée mais non communiquée laisse vos utilisateurs exposés faute de savoir qu'ils doivent patcher. Une politique de divulgation et des avis CSAF (lisibles par machine) diffusent l'information de façon exploitable, permettant à vos consommateurs de réagir vite, comme vous l'attendez de vos fournisseurs.
- Preuve attendue
- Politique de divulgation et avis de sécurité (CSAF).
- Outillage
- OSV-Scanner Trivy Dependency-Track
Correspondances & menaces parées 5 standards · 1 menace
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances).
Inventorier et corréler
Section intitulée « Inventorier et corréler »On consolide les vulnérabilités multi-sources (SCA, conteneurs, IaC, runtime), dédoublonnées et reliées aux artefacts via les SBOM. On enrichit par l'exploitabilité connue (CISA KEV, EPSS) au-delà du seul CVSS, et au niveau souverain, on tient l'inventaire en continu pour les artefacts déployés.
corrélation des vulnérabilités multi-sources (SCA, conteneurs, IaC, runtime), dédoublonnées et reliées aux artefacts via les SBOM.#
Les mêmes vulnérabilités remontent en doublon de plusieurs sources (SCA, conteneurs, IaC, runtime), brouillant la vue. Les corréler, dédoublonner et relier aux artefacts via les SBOM donne une image unique et exploitable : on sait quelle faille touche quel artefact, base d'une priorisation et d'une remédiation cohérentes.
- Preuve attendue
- Plateforme de corrélation multi-sources reliant les vulnérabilités aux artefacts via SBOM.
- Outillage
- Dependency-Track
Correspondances & menaces parées 3 standards · 1 menace
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances).
enrichissement par l'exploitabilité connue (ex. CISA KEV, EPSS) en plus du score CVSS.#
Le score CVSS seul note la gravité théorique, pas la probabilité d'exploitation réelle. L'enrichir par l'exploitabilité connue (CISA KEV, EPSS) recentre la priorité sur ce qui est réellement attaqué : on corrige d'abord ce que les attaquants utilisent vraiment, pas la plus grosse note abstraite.
- Preuve attendue
- Vulnérabilités enrichies par CISA KEV / EPSS, au-delà du CVSS.
- Outillage
- Dependency-Track
Correspondances & menaces parées 2 standards · 2 menaces
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances). Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK.
inventaire des vulnérabilités tenu en continu pour les artefacts déployés (pas seulement au build).#
Un inventaire fait au build ignore les vulnérabilités apparues après le déploiement, quand un nouveau CVE touche un composant déjà en production. Le tenir en continu sur les artefacts déployés maintient la visibilité dans le temps : une faille publiée demain sur ce qui tourne aujourd'hui est vue.
- Preuve attendue
- Inventaire continu des vulnérabilités des artefacts en production.
- Outillage
- Dependency-Track
Correspondances & menaces parées 2 standards · 1 menace
Trier avec VEX
Section intitulée « Trier avec VEX »Chaque vulnérabilité reçoit un statut VEX (not_affected, affected,
fixed, under_investigation) documenté et publié. La priorisation est
contextuelle (exposition, criticité de l'actif, exploitabilité), pas un
classement CVSS brut. Le triage s'automatise pour réduire les faux positifs.
statut VEX par vulnérabilité (not_affected / affected / fixed / under_investigation) documenté et publié.#
Sans statut VEX, chaque consommateur réévalue lui-même si une CVE de votre produit l'affecte, à l'aveugle. Documenter et publier le statut (not_affected, affected, fixed...) répond à sa place : il dit clairement ce qui le concerne, supprimant l'incertitude et le travail de triage redondant côté client.
- Preuve attendue
- Documents VEX (statut par vulnérabilité) produits et publiés.
- Outillage
- OpenVEX Dependency-Track
Correspondances & menaces parées 3 standards · 1 menace
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances).
priorisation contextuelle (exposition, criticité de l'actif, exploitabilité réelle) plutôt que CVSS seul.#
Trier au CVSS seul fait corriger des failles inoffensives chez vous et reporter des vraies. Une priorisation contextuelle (exposition, criticité de l'actif, exploitabilité réelle) classe selon le risque qui vous est propre : la même CVE est urgente sur un service exposé, négligeable sur un composant isolé.
- Preuve attendue
- Priorisation contextuelle documentée (exposition, criticité, exploitabilité).
- Outillage
- OpenVEX Dependency-Track
Correspondances & menaces parées 2 standards · 1 menace
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances).
automatisation du triage (réduction des faux positifs via VEX) intégrée à la chaîne.#
Le triage manuel des vulnérabilités noie l'équipe sous les faux positifs et épuise l'attention. Automatiser la réduction du bruit (via VEX) intégrée à la chaîne ne laisse remonter que ce qui mérite décision humaine, rendant la gestion soutenable à l'échelle de centaines d'alertes par build.
- Preuve attendue
- Triage automatisé intégrant les VEX (réduction des faux positifs).
- Outillage
- OpenVEX Dependency-Track
Correspondances & menaces parées 2 standards · 1 menace
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances).
Remédier dans les délais
Section intitulée « Remédier dans les délais »La correction suit des SLA chiffrés par criticité et exposition, suivis jusqu'à la fermeture (mise à jour, rebuild, redéploiement). Quand le correctif n'est pas immédiat, on applique des mesures d'atténuation temporaires, et on garde une capacité de hotfix d'urgence testée pour les failles activement exploitées.
SLA de correction chiffrés par criticité et par exposition, suivis et reportés.#
Sans SLA chiffré, « on corrigera » ne s'oppose à rien et les failles s'éternisent. Des délais par criticité et exposition, suivis et reportés, créent une obligation mesurable et visible : les dépassements sautent aux yeux et la remédiation devient pilotable plutôt que dépendante de la bonne volonté.
- Preuve attendue
- SLA de correction par criticité, suivis et reportés.
Correspondances & menaces parées 2 standards · 2 menaces
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances). Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK.
gestion des correctifs (mise à jour des dépendances, rebuild, redéploiement) tracée jusqu'à la fermeture.#
Une vulnérabilité « en cours » sans suivi jusqu'au bout reste peut-être ouverte sans qu'on le sache. Tracer la remédiation (mise à jour, rebuild, redéploiement) jusqu'à la fermeture garantit que le correctif est réellement déployé, pas seulement décidé : on ne ferme une faille que quand elle ne tourne plus nulle part.
- Preuve attendue
- Suivi des correctifs jusqu'à fermeture (mise à jour, rebuild, redéploiement).
Correspondances & menaces parées 2 standards · 1 menace
mesures d'atténuation temporaires (compensating controls) quand le correctif n'est pas immédiat.#
Quand le correctif n'est pas immédiat, laisser la faille exploitable en attendant est inacceptable. Des mesures d'atténuation temporaires (compensating controls : filtrage, désactivation, isolation) réduisent le risque pendant l'intervalle, transformant l'attente du patch en exposition maîtrisée plutôt qu'en fenêtre ouverte.
- Preuve attendue
- Mesures d'atténuation temporaires documentées en l'absence de correctif.
Correspondances & menaces parées 1 standard · 1 menace
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances).
capacité de correction d'urgence (hotfix) testée pour les vulnérabilités activement exploitées.#
Face à une vulnérabilité activement exploitée, découvrir que la chaîne de correction d'urgence ne fonctionne pas est catastrophique. Tester la capacité de hotfix garantit qu'on peut livrer un correctif en heures le jour où il le faut, pas en jours, quand chaque minute d'exposition compte.
- Preuve attendue
- Procédure de hotfix d'urgence testée pour les vulnérabilités exploitées.
Correspondances & menaces parées 2 standards · 2 menaces
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances). Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK.
Signaler et divulguer
Section intitulée « Signaler et divulguer »Le CRA impose le signalement des vulnérabilités activement exploitées (échéance 11/09/2026). On publie des avis de sécurité au format machine (CSAF, OpenVEX) pour les produits livrés, on tient une politique de divulgation coordonnée (VDP) avec un contact PSIRT, et on corrèle au corpus de menaces pour prioriser.
procédure de signalement réglementaire des vulnérabilités activement exploitées (échéance CRA).#
Le CRA impose de signaler une vulnérabilité activement exploitée dans des délais courts, sous peine de sanction. Une procédure de signalement prête garantit de tenir l'échéance le jour venu, plutôt que de découvrir l'obligation et ses délais en pleine crise, quand l'équipe est déjà saturée.
- Preuve attendue
- Procédure de signalement réglementaire des vulnérabilités exploitées (CRA).
Correspondances & menaces parées 2 standards · 1 menace
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances).
avis de sécurité publiés au format machine (CSAF / OpenVEX) pour les produits livrés.#
Des avis de sécurité en texte libre ne s'intègrent pas dans les outils de vos consommateurs et ralentissent leur réaction. Les publier au format machine (CSAF, OpenVEX) pour les produits livrés permet leur traitement automatique : vos clients savent en minutes s'ils sont concernés et réagissent à l'échelle.
- Preuve attendue
- Avis de sécurité au format CSAF/OpenVEX pour les produits livrés.
Correspondances & menaces parées 2 standards · 1 menace
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances).
politique de divulgation coordonnée (VDP) et point de contact PSIRT.#
Sans point de contact clair, un chercheur qui découvre une faille ne sait pas à qui la signaler, et elle finit publiée sans préavis. Une politique de divulgation coordonnée (VDP) et un PSIRT identifié canalisent ces signalements, vous laissant corriger avant exposition plutôt que d'apprendre la faille par sa publication.
- Preuve attendue
- Politique de divulgation coordonnée (VDP) et contact PSIRT.
Correspondances & menaces parées 2 standards · 1 menace
corrélation avec le corpus de menaces (incidents réellement exploités) pour prioriser la réponse.#
Prioriser la réponse sans regarder ce qui est réellement exploité disperse l'effort. Corréler les vulnérabilités au corpus de menaces (incidents observés) recentre la réponse sur les failles que des attaquants utilisent vraiment dans l'écosystème, là où le risque est démontré plutôt que théorique.
- Preuve attendue
- Corrélation avec le corpus de menaces pour prioriser.
Correspondances & menaces parées 2 standards · 2 menaces
La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque SLSA (dépendances). Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK.
Pièges courants
Section intitulée « Pièges courants »- Prioriser au CVSS seul : on corrige des failles non exploitables et on rate les vraies (VLN-V2-2).
- Pas de VEX : l'équipe se noie dans les faux positifs (VLN-0-2).
- SLA non suivis : des délais affichés mais jamais mesurés ne corrigent rien (VLN-V3-1).
- Inventaire au build seulement : une CVE publiée après la release reste invisible sans suivi continu (VLN-V1-3).
- Signalement non préparé : l'échéance CRA arrive sans procédure prête (VLN-0-4).
À retenir
Section intitulée « À retenir »- Le domaine est transversal : connaître, prioriser, corriger, signaler.
- Les essentielles : inventaire, triage VEX, SLA par criticité, signalement, divulgation.
- Le VEX et l'exploitabilité (EPSS, KEV) priorisent mieux que le CVSS seul.
- La remédiation se suit jusqu'à fermeture, avec hotfix d'urgence pour l'exploité.
- Le CRA et CSAF encadrent le signalement et la divulgation au format machine.