Priorisation des correctifs basée sur les risques

Série de rapports d'étude Ivanti sur la cybersécurité

Avec la priorisation des correctifs basée sur les risques, la gestion des correctifs devient une stratégie de sécurité proactive et performante. L'étude d'Ivanti présente les avantages de cette approche et les étapes à suivre pour l'implémenter

Priorisation des correctifs : un impératif stratégique souvent mal géré

La gestion des correctifs joue un rôle crucial dans une stratégie de cybersécurité efficace. Pourtant, pourquoi tant d'entreprises peinent-elles encore à prioriser et à implémenter correctement les correctifs ?

Face à l'ampleur et à la complexité des surfaces d'attaque, aucune entreprise ne peut assurer une remédiation permanente des vulnérabilités. C'est pourquoi la priorisation des correctifs est essentielle : elle permet de traiter en priorité les vulnérabilités les plus critiques, optimisant ainsi l'utilisation des ressources tout en réduisant les risques de sécurité.

Pourtant, lorsqu'il s'agit de gérer les correctifs, l'étude d'Ivanti révèle que « tout est prioritaire ». Presque tous les professionnels de sécurité interrogés attribuent un niveau d'urgence « Modéré » ou « Élevé » à l'ensemble des facteurs de priorisation. Cependant, lorsque tout est prioritaire, rien ne l'est plus vraiment.

Les fournisseurs attribuent souvent leur propre score de gravité pour alerter les clients de l'impact potentiel et de l'urgence des vulnérabilités nouvellement découvertes. Mais ces notations qui ne reposent sur aucune norme obligent les entreprises à comparer et prioriser les correctifs sur la base de ces recommandations isolées. De plus, ces notations sont rarement actualisées par rapport aux menaces actives, même lorsque les vulnérabilités évoluent.

Il n'est donc pas surprenant que 39 % des professionnels de cybersécurité déclarent avoir des difficultés à prioriser la remédiation des risques et le déploiement des correctifs. Par ailleurs, 35 % considèrent que l'application des correctifs pose un problème pour le maintien de la conformité.

L'approche « tout est prioritaire » n'est ni efficace ni durable.

Pour gérer les correctifs, l'approche la plus efficace est la priorisation basée sur les risques, une méthode qui s'appuie sur les principes de la gestion des vulnérabilités basée sur les risques. Au lieu de se fier uniquement aux scores de gravité fournis par les fournisseurs ou aux scores CVSS de base, la priorisation basée sur les risques prend en compte des facteurs contextuels comme la disponibilité d'exploitations actives, l'importance des actifs et l'impact business potentiel.

L'entreprise peut ensuite concentrer ses ressources sur les vulnérabilités les plus dangereuses pour son environnement. Cette approche stratégique garantit que l'équipe s'occupe en premier des failles de sécurité les plus critiques. Non seulement les ressources sont mieux utilisées, mais la posture de sécurité globale est renforcée.

Quelle mesure prendre ?

« La plupart des vulnérabilités activement exploitées ne sont pas celles que les entreprises traitent en priorité. C'est pourquoi il faut adopter une approche basée sur les risques de la priorisation des correctifs et de leur application. Les entreprises doivent gérer plusieurs voies de remédiation distinctes : la maintenance mensuelle de routine, les mises à jour haute priorité des applications fréquemment ciblées (comme les navigateurs et les outils de communication) et les réponses urgentes aux vulnérabilités Zero Day. Une fois les systèmes correctement configurés, les mises à jour sont traitées dans l'une de ces voies dans le cadre du processus de gestion continue des correctifs, au lieu de suivre un cycle mensuel. »

Chris Goettl, Vice President of Product Management, Endpoint Security chez Ivanti

Le manque de données : un défi majeur

La majorité des professionnels de cybersécurité (87 %) n'ont pas accès aux données critiques qui les aideraient à prendre des décisions de sécurité éclairées.

Pour prendre des décisions basées sur les risques, les entreprises doivent avoir accès, en temps réel, à des données fiables sur l'ensemble de leur environnement. Pourtant, l'étude d'Ivanti montre que c'est rarement le cas.

Selon l'étude d'Ivanti, voici les principaux obstacles à des prises de décision avisées :

  • Manque de visibilité : 45 % des entreprises signalent des zones d'ombre dans les données (comme le Shadow IT), rendant difficile la surveillance de leur surface d'attaque.

  • Manque de contexte : 41 % des entreprises disent manquer de données contextuelles sur les vulnérabilités, ce qui expose leurs systèmes aux cyberattaques.

  • Manque de conformité : plus d'un tiers des entreprises (37 %) signalent des angles morts liés aux configurations de correctifs, à l'état de conformité et/ou au respect des SLA en matière d'application des correctifs.

Ces obstacles ont de graves conséquences. Si l'IA et l'automatisation sont souvent présentées comme des solutions pour améliorer la prise de décision en matière de sécurité et d'efficacité opérationnelle, leur potentiel est fortement compromis par le manque de données. En effet, l'IA se trouve alors dans l'incapacité d'analyser des jeux de données complets et d'en tirer des insights fiables. C'est un frein significatif pour prendre des décisions éclairées basées sur des preuves.

Les silos de données, l'inaccessibilité des données et le manque de données posent des problèmes de qualité persistants. C'est un problème qu'aucune IA ne peut résoudre. En fait, 37 % des professionnels considèrent que les « problèmes de qualité des données » sont un obstacle significatif à l'utilisation d'outils d'IA pour la cybersécurité.

Quelle mesure prendre ?

« Les organisations qui souhaitent améliorer leurs actions de remédiation doivent disposer de données contextuelles. Premièrement, il y a la visibilité de la surface d'attaque. Deuxièmement, l'impact des vulnérabilités sur l'organisation. Troisièmement, la threat intelligence qui permet de savoir comment une vulnérabilité évolue sur le terrain et dans votre environnement. En dernier, la conformité, qu'il s'agisse de conformité contractuelle ou de conformité des configurations. »

Corinna Fulton, VP Solutions Marketing, Ivanti

Les silos organisationnels compliquent la gestion des correctifs

Les professionnels de sécurité constatent une généralisation des silos organisationnels entre les équipes IT et Sécurité. Ces silos trouvent leur origine dans les piles technologiques déconnectées et des différences culturelles entre les équipes.

40 % des entreprises considèrent que l'utilisation d'outils hétérogènes entre les équipes IT et Sécurité est une source majeure de frictions. Mais cette fraction technologique n'est qu'un aspect du problème.

L'étude d'Ivanti souligne aussi des différences culturelles et stratégiques entre IT et Sécurité, qui entravent la prise de décision. Plus précisément, parmi les professionnels de sécurité :

  • 46 % estiment que les équipes IT ne traitent pas les problèmes de cybersécurité suffisamment tôt.

  • 40 % affirment que les équipes IT ne comprennent pas correctement la tolérance aux risques de l'entreprise

Ce manque d'alignement se manifeste clairement dans la gestion des correctifs. Les équipes Sécurité privilégient le test et le déploiement rapides des correctifs pour réduire au maximum la durée d’exposition aux menaces. De leur côté, les équipes IT doivent jongler entre les efforts de remédiation et l'impact opérationnel sur les activités de l’entreprise (comme les interruptions de service et la perte de productivité). Cette divergence face aux priorités entraîne souvent des désaccords sur le calendrier d'application des correctifs : la Sécurité privilégie la rapidité, alors que l'IT mise sur la stabilité.

Pour aggraver le problème, la mentalité du « tout est urgent » peut inciter l'IT à déployer des correctifs sans tests approfondis. Cela augmente considérablement les risques de pannes système ou les interruptions inattendues, et peut même entraîner une annulation des mises à jour.

La communication entre les équipes est souvent fragmentée du fait des silos organisationnels et du manque d'alignement des priorités. Les responsabilités autour de la gestion des correctifs deviennent floues. Ce manque de coordination se traduit par une priorisation inefficace des correctifs et une augmentation des vulnérabilités de sécurité.

Quelle mesure prendre ?

« La gestion des correctifs basée sur les risques constitue une approche stratégique de la gestion des vulnérabilités, centrée sur l'impact business. Elle permet aux entreprises de prioriser les correctifs à l'aide d'une Threat Intelligence qui fonctionne en continu et d'une évaluation contextuelle des risques. Cette approche comble le fossé entre les équipes Sécurité et IT en définissant des priorités communes et en leur permettant de parler le même langage. »

Karl Triebes, Chief Product Officer chez Ivanti

L'IA et l'automatisation comblent le fossé

Face aux menaces sophistiquées qui exigent une surveillance et une remédiation continues et proactives, l'intelligence artificielle et l'automatisation ouvrent de nouvelles perspectives.

Les solutions d'IA et l'automatisation donnent aux entreprises les moyens de lutter contre des attaques sophistiquées :

  • Priorisation : l'IA synthétise d'énormes quantités de données et analyse les vulnérabilités en prenant en compte le contexte de menaces et le contexte de risques propres à l'entreprise.

  • Remédiation : les systèmes intelligents automatisent les workflows d'application des correctifs, éliminant ainsi les problèmes de communication entre les équipes Sécurité et IT. Ce processus réduit les inefficacités coûteuses et améliore considérablement la gestion des correctifs.

2025 pourrait marquer un tournant dans l'exploitation de l'IA. Nous avons posé la question suivante aux professionnels de sécurité : « Qui des pirates ou des équipes de sécurité utilisera l'IA plus efficacement d'ici 24 mois ? » Plus de la moitié (53 %) affirment que les équipes de sécurité utiliseront mieux l'IA, alors que 21 % pensent que les cybercriminels sauront en tirer parti.

Malgré cet optimisme quant au potentiel de l'IA pour renforcer la cybersécurité, les entreprises doivent d’abord surmonter des obstacles de taille avant de voir se concrétiser cette promesse de transformation. Les professionnels interrogés ont mis en lumière trois défis majeurs :

  • 48 % pointent des obstacles réglementaires et la confidentialité des données.

  • 46 % évoquent un manque de compétences nécessaires pour déployer des technologies d’IA avancées.

  • 46 % déplorent que le coût élevé des outils d’IA freine leur adoption.

Il n'est donc pas surprenant que moins de la moitié des entreprises interrogées par Ivanti utilisent l'IA et l'automatisation dans des situations où elles ont démontré leur efficacité : maintenance IT prédictive, détection des anomalies d'utilisation/de trafic et automatisation des processus de réponse aux incidents.

Quelle mesure prendre ?

« Avec un système de priorisation basée sur les risques, l'IA peut extraire des quantités massives d'informations à partir de sources et d'outils hétérogènes. Elle analyse ces informations et utilise des modèles prédictifs pour générer des scores de risques aussi efficaces que possible. Une fois votre appétence au risque définie, l'étape suivante consiste à mettre en place l'automatisation pour assurer une surveillance continue et appliquer automatiquement les mises à jour nécessaires, en alignement avec votre stratégie de priorisation des risques. »

Chris Goettl, Vice President of Product Management, Endpoint Security chez Ivanti

Méthodologie

Ce rapport s'appuie sur une enquête effectuée par Ivanti en octobre 2024 auprès de plus de 2 400 cadres dirigeants, et professionnels IT et de cybersécurité. L'étude a été administrée par Ravn Research et les panélistes ont été recrutés par MSI Advanced Customer Insights. Les résultats de l'enquête ne sont pas pondérés. Pour une analyse plus complète des données d'étude, consultez le rapport Ivanti complet : État de la cybersécurité en 2025 : Le changement de paradigme.