Patch management : prioriser avec CVSS 3.1, EPSS et le catalogue KEV CISA
Stratégie de patch management pour PME : priorités CVSS 3.1 et EPSS, catalogue KEV CISA, SLA par criticité, outils d'automatisation et conformité NIS2.
En 2025, plus de 29 000 CVE ont été publiées, soit environ 80 nouvelles vulnérabilités par jour. Il est impossible de tout patcher immédiatement. La clé est de prioriser intelligemment grâce au CVSS 3.1, au score EPSSet au catalogue KEV de la CISA. Voici la méthode.
1. Comprendre les systèmes de scoring
CVSS 3.1 (Common Vulnerability Scoring System)
Le CVSS est le standard industriel pour noter la sévérité d'une vulnérabilité de 0 à 10 :
- Critique (9.0–10.0) : exploitation distante sans authentification, impact total.
- Élevé (7.0–8.9) : compromission significative mais avec contraintes.
- Moyen (4.0–6.9) : conditions d'exploitation difficiles ou impact limité.
- Faible (0.1–3.9) : impact minimal, exploitation très contrainte.
Limite du CVSS : il mesure la sévérité théorique, pas la probabilité d'exploitation réelle. Une CVE critique peut ne jamais être exploitée ; une CVE moyenne peut être activement utilisée par des groupes APT.
EPSS (Exploit Prediction Scoring System)
L'EPSS, développé par FIRST.org, prédit la probabilité qu'une vulnérabilité soit exploitée dans les 30 prochains jours. C'est un score de 0 à 1 (ex : 0,95 = 95 % de probabilité).
Selon FIRST, seulement 4 % des CVE ont un EPSS supérieur à 0,1. Combiner CVSS + EPSS permet de réduire de 87 % le volume de patches prioritaires à traiter immédiatement.
KEV CISA (Known Exploited Vulnerabilities)
Le catalogue KEV de la CISA (agence fédérale américaine) liste les vulnérabilitésactivement exploitées dans la nature. Il compte plus de 1 200 entrées. Toute CVE présente dans le KEV doit être patchée en urgence, indépendamment du score CVSS. En 2025, des agences françaises recommandent d'aligner les SLA de patch sur ce catalogue.
2. Définir des SLA de patch par criticité
Voici un modèle de SLA recommandé pour une PME/ETI, conforme aux exigences NIS2 :
- KEV CISA ou CVSS ≥ 9.0 : patch sous 24 à 72 heures (ou mesure compensatoire immédiate).
- CVSS 7.0–8.9 + EPSS > 0.1 : patch sous 7 jours.
- CVSS 7.0–8.9 + EPSS < 0.1 : patch sous 30 jours.
- CVSS 4.0–6.9 : patch sous 90 jours (cycle mensuel).
- CVSS < 4.0 : best effort, intégré au cycle trimestriel ou annuel.
NIS2 exige que les entités essentielles et importantes documentent leurs politiques de gestion des vulnérabilités et démontrent des délais de correction maîtrisés (art. 21 de la directive). Ces SLA servent de preuve de conformité.
3. Les outils du patch management moderne
Inventaire et découverte
- Tenable.io / Nessus : scanner de vulnérabilités avec score EPSS intégré.
- Qualys VMDR : priorisation automatique, intégration ITSM.
- Wiz / Orca : pour les environnements cloud (AWS, Azure, GCP).
- Trivy : scan d'images Docker et de dépendances open source (gratuit).
Déploiement des patchs
- Microsoft Endpoint Configuration Manager (MECM) / Intune : pour les postes Windows.
- Ansible / Puppet : automatisation sur serveurs Linux et multi-OS.
- AWS Systems Manager Patch Manager : gestion centralisée des instances EC2.
- JetPatch / Ivanti : solutions dédiées au patch management avec reporting de conformité.
Mesure et reporting
- Mean Time to Patch (MTTP) : KPI principal de performance patch management.
- Patch compliance rate : % de systèmes patchés dans le SLA défini.
- Vulnérabilités résiduelles critiques : nombre de CVE critiques non patchées à J+30.
4. Gérer les systèmes non patchables
Certains systèmes ne peuvent pas être patchés immédiatement : serveurs de production critiques nécessitant une fenêtre de maintenance, OT/IoT non maintenables, applications legacy. Dans ce cas, appliquez des mesures compensatoires :
- Segmentation réseau et micro-segmentation pour isoler les actifs vulnérables.
- Virtual patching via WAF ou IPS pour bloquer l'exploitation de la vulnérabilité.
- Monitoring renforcé et alertes SIEM sur les tentatives d'exploitation.
- Revue mensuelle du risque résiduel et document d'acception de risque formalisé.
5. Intégrer le patch management dans la conformité NIS2
L'article 21 de la directive NIS2 impose la mise en place de politiques de gestion des vulnérabilités. Pour les entités concernées (essentielles ou importantes), cela implique :
- Une politique documentée de patch management avec SLA formalisés.
- Un registre des vulnérabilités actives et de leur état de remédiation.
- Des rapports de conformité fournis au RSSI et à la direction trimestriellement.
- Des tests de vulnérabilités réguliers (scan mensuel a minima, pentest annuel).
- Des preuves d'application des patchs dans les délais pour les inspections ANSSI.
Conclusion
Un patch management efficace ne consiste pas à tout patcher — c'est impossible. C'est une discipline de priorisation basée sur la data : CVSS pour la sévérité, EPSS pour la probabilité d'exploitation, KEV pour les urgences confirmées. Avec des SLA clairs, des outils adaptés et une traçabilité rigoureuse, vous réduisez votre surface d'attaque de façon mesurable tout en satisfaisant aux exigences NIS2.
Besoin d'un accompagnement en cybersécurité ?
CloudSecure vous aide à sécuriser votre infrastructure cloud et à protéger vos données.
Contactez-nous