Besoin d’aide ?

Sélectionnez votre région et votre langue

EMEA

AMER

APAC

De la découverte à la divulgation : gérer une vulnérabilité en cybersécurité

juillet 08, 2025 6 min lecture Personne portant une chemise à carreaux bleus devant un fond de studio blanc propre. par Grant Gallacher

Articles les plus populaires de la catégorie

Catégorie

Aucun système n'est à l'abri des cybermenaces. Découvrez comment gérer une vulnérabilité en matière de cybersécurité, de la détection à la divulgation, et pourquoi la transparence des fournisseurs est importante.

Aucun système n'est jamais sûr à 100%

Cette affirmation, qui est vraie depuis plus de 40 ans, est plus pertinente que jamais. Même avec des utilisateurs bien formés et un développement axé sur la sécurité, de nouvelles vulnérabilités continuent d'émerger, parfois de manière inattendue, ce qui souligne l'importance de la sensibilisation à la cybersécurité.

La gestion des vulnérabilités n'est pas seulement la responsabilité des fabricants, mais un effort commun impliquant les intégrateurs de systèmes, les hackers éthiques et les chercheurs en sécurité. Tout le monde peut découvrir des failles de sécurité dans un système quelconque. La question est la suivante : quelles actions devraient-ils entreprendre par la suite, et comment l'entreprise doit-elle réagir ?

Identifier une vulnérabilité

Une vulnérabilité de cybersécurité peut prendre d'innombrables formes, telles que :

  • Vulnérabilités logicielles et micrologicielles : un code obsolète ou non sécurisé présente de graves risques de sécurité (comme vulnérabilités non corrigées, portes dérobées codées en dur, et des mécanismes de mise à jour inappropriés)
  • Faiblesses de la sécurité du réseau et des communications : le trafic réseau non protégé peut être intercepté et manipulé par des pirates (communications non chiffrées, attaques de type homme du milieu, algorithmes de cryptage faibles)
  • Vulnérabilités de l'authentification et du contrôle d'accès : des mécanismes d'authentification faibles peuvent permettre un accès non autorisé au système (comme l'utilisation de mots de passe par défaut, vulnérabilité par force brute, ou l'absence de méthodes d'authentification multifactorielle)
  • Matériel et vulnérabilités de configuration : des dispositifs mal configurés constituent un point d'entrée facile pour les cybercriminels (paramètres par défaut non sécurisés, interface d'administration exposée)
  • Facteur humain : manipulation d'individus pour qu'ils effectuent des actions ou divulguent des informations confidentielles (hameçonnage, ingénierie sociale). C'est pourquoi il est essentiel de sensibiliser les employés à la cybersécurité, afin qu'ils puissent reconnaître les menaces potentielles et y répondre de manière appropriée.

Quelle que soit la façon dont vous découvrez la vulnérabilité, que ce soit lors de l'installation, du fonctionnement du système, des tests de sécurité ou d'un test d'intrusion, il est essentiel de la traiter de manière responsable.

Signaler la vulnérabilité aux bonnes personnes

La première étape, et la plus importante, après avoir identifié une vulnérabilité, consiste à la signaler directement au fabricant et à coordonner sa divulgation publique après son atténuation. Les fabricants responsables ont mis en place un processus clair de gestion des vulnérabilités en matière de cybersécurité, qui comprend généralement les éléments suivants :

  • Une adresse e-mail de contact dédiée à la sécurité, un formulaire de signalement ou un système de tickets - la plupart des entreprises proposent un moyen de signaler les vulnérabilités en toute sécurité. Chez 2N, par exemple, nous avons une politique de gestion des vulnérabilités accessible au public et un canal officiel pour les signalements sur 2N.com.
  • Des accords de divulgation coordonnés - les chercheurs en sécurité travaillent souvent avec les fabricants selon un calendrier convenu avant que les vulnérabilités ne soient rendues publiques.

Ce qu'il ne faut PAS faire :

  • Ne supposez pas que quelqu'un d'autre le signalera. Si vous voyez quelque chose, dites-le.
  • Évitez de divulguer publiquement la vulnérabilité tant que l'organisation concernée n'a pas eu suffisamment de temps pour la corriger.
  • Ne partagez pas les détails de la vulnérabilité avec des personnes ou des entités non autorisées.

Qu'est-ce qu'un programme de divulgation des vulnérabilités ?

La réponse du fabricant - que se passe-t-il ensuite ? Un fabricant responsable suivra probablement un programme de divulgation des vulnérabilités et, à ce titre, prendra les mesures suivantes :

  1. Accusé de réception : l'entreprise doit confirmer la réception du rapport et fournir une première évaluation.

  2. Enquête et analyse des risques : les experts en sécurité évaluent la gravité de la vulnérabilité, déterminent la facilité avec laquelle elle peut être exploitée et définissent les stratégies d'atténuation les plus efficaces. De plus, toutes les parties doivent s'accorder sur un calendrier pour la publication d'un correctif et la divulgation publique ultérieure de cette vulnérabilité.

  3. Développement d'un correctif : le fabricant travaille sur un correctif de sécurité pour résoudre le problème.

  4. Test et vérification de la vulnérabilité de sécurité : le correctif doit être testé pour s'assurer qu'il résout correctement la vulnérabilité sans introduire de nouveaux problèmes.

  5. Divulgation publique et attribution d'un identifiant CVE : lors de la communication mutuelle, les parties doivent s'accorder sur l'attribution d'un identifiant CVE (Common Vulnerabilities and Exposures) pour rendre la vulnérabilité publique une fois qu'un correctif est disponible.

Que sont les identifiants CVE et CNA ?

  • CVE (Common Vulnerabilities and Exposures) est un programme de divulgation des vulnérabilités standard dans le secteur : un système qui suit et nomme les vulnérabilités de sécurité. Chaque entrée CVE décrit une vulnérabilité spécifique de cybersécurité, sa gravité, le score CVSS correspondant, les produits affectés, l'avis de sécurité pertinent et les correctifs disponibles.
  • CNA (CVE Numbering Authority) est une organisation autorisée à attribuer des identifiants CVE. Certains grands fabricants du secteur des technologies de l'information et de la sécurité, tels qu'Axis, Cisco et Honeywell, entre autres, agissent en tant que CNA.

Que se passe-t-il si les vulnérabilités sont ignorées ?

Une fois le correctif de sécurité publié, les intégrateurs de systèmes et les équipes informatiques doivent agir rapidement pour appliquer les mises à jour. Tout retard dans les mises à jour rend les systèmes vulnérables à l'exploitation.

Voici un exemple de ce qui se passe lorsque les vulnérabilités en matière de cybersécurité sont ignorées :

  • La violation de données d'Equifax (2017) est un exemple majeur de fabricant négligeant la gestion des vulnérabilités et ne suivant pas les meilleures pratiques en matière de cybersécurité. Une faille connue dans Apache Struts (CVE-2017-5638) n'a pas été corrigée à temps, ce qui a entraîné l'exposition de 147 millions d'enregistrements, y compris des numéros de sécurité sociale aux États-Unis. Cette faille a conduit à une amende de 700 millions de dollars et a causé des dommages irréparables à la réputation d'Equifax.

Cette affaire nous enseigne une leçon cruciale : il ne suffit pas d'identifier les vulnérabilités, il faut aussi réagir rapidement et communiquer de manière transparente.

Pourquoi s'associer à des fabricants transparents ?

  • Pour protéger vos clients : lorsqu'ils investissent dans des produits de haute qualité, les clients s'attendent à un système sécurisé et à jour. En vous associant à des fabricants qui publient des mises à jour de sécurité en temps réel, vous garantissez la résilience des systèmes de vos clients, renforçant ainsi les relations et la fidélité à long terme.
  • Pour renforcer votre expertise : savoir comment gérer les vulnérabilités en matière de cybersécurité fait de vous un partenaire plus précieux pour vos clients. De plus, vous pouvez proposer des forfaits de maintenance et des mises à jour proactives dans le cadre du modèle de service, créant ainsi de nouvelles sources de revenus.
  • Pour vous assurer de travailler avec des fabricants responsables : les fournisseurs qui prennent la sécurité au sérieux fourniront des politiques claires et transparentes de gestion des vulnérabilités en matière de cybersécurité, y compris des alertes précoces, des avis de sécurité et des conseils sur la protection des systèmes déployés.

La cybersécurité est une responsabilité partagée

La boucle est bouclée : aucun système ne sera jamais sûr à 100 % et des vulnérabilités apparaîtront toujours. Mais avec des rapports responsables, des tests de vulnérabilité proactifs et une collaboration transparente entre les fabricants et les intégrateurs, les risques peuvent être atténués et la confiance peut être instaurée.

Que vous soyez intégrateur, développeur ou chercheur en sécurité, votre rôle dans la cybersécurité est important. Et comprendre comment gérer les vulnérabilités est l'une des compétences les plus importantes que vous puissiez acquérir.

Vous voulez aller plus loin ?

Téléchargez notre eBook sur la cybersécurité pour en savoir plus sur les vulnérabilités, le développement sécurisé et la manière de protéger vos systèmes contre les menaces en constante évolution.

Télécharger notre livre électronique
Catégorie

Personne portant une chemise à carreaux bleus devant un fond de studio blanc propre.

Grant Gallacher

Linkedin
Rédacteur marketing

Grant est un rédacteur publicitaire et un comédien écossais qui a déménagé à Prague en 2018 et a rejoint 2N en 2025. Il a lamentablement échoué dans son apprentissage du tchèque, mais heureusement, son anglais est bien meilleur.