VM FUNDAMENTALS
Une vulnérabilité critique détectée n’a jamais réduit le risque
Détecter une vulnérabilité critique est important. Mais tant qu’elle n’est pas qualifiée, assignée, corrigée et vérifiée, le risque demeure.
Détecter n’est pas corriger
Une vulnérabilité détectée reste exploitable tant qu’aucune action n’a été menée. La détection améliore la visibilité, mais elle ne réduit pas automatiquement le risque.
La chaîne de réduction du risque
Pour réduire réellement le risque, il faut une chaîne complète : détection, qualification, priorisation, attribution, remédiation et vérification.
Si une seule de ces étapes échoue, la vulnérabilité reste présente dans l’environnement.
Mesurer ce qui compte
Les indicateurs les plus utiles ne sont pas uniquement le nombre de vulnérabilités détectées, mais aussi le délai moyen de correction, le taux de remédiation et l’évolution de l’exposition.
Conclusion
Une vulnérabilité critique détectée représente une information. Une vulnérabilité critique corrigée représente une réduction du risque.