Du Vulnerability Management au CTEM : piloter l’exposition réelle de l’organisation

Le CTEM transforme la gestion des vulnérabilités : exposition réelle, exploitabilité, actifs critiques, chemins d’attaque et priorisation métier.

Du Vulnerability Management au CTEM : piloter l’exposition réelle de l’organisation

Le CTEM transforme la gestion des vulnérabilités : exposition réelle, exploitabilité, actifs critiques, chemins d’attaque et priorisation métier.

Introduction

Pendant longtemps, la gestion des vulnérabilités s’est résumée à une séquence éprouvée : scanner, classer, corriger. Les outils remontaient les CVE, les équipes sécurité les triaient selon leur score CVSS, et les équipes techniques engageaient la remédiation selon des délais plus ou moins tenables.

 

Ce modèle a démontré son utilité. Il rencontre désormais une limite structurelle.

 

L’enjeu s’est déplacé : du dénombrement des vulnérabilités vers l’identification de celles qui peuvent effectivement compromettre les actifs critiques de l’organisation. Tel est précisément le changement de paradigme porté par le CTEM ; Continuous Threat Exposure Management. Sa finalité dépasse la gestion d’une liste de vulnérabilités techniques : elle réside dans le pilotage continu de l’exposition réelle de l’organisation face aux menaces.

Du Vulnerability Management au pilotage de l'exposition

Le Vulnerability Management classique repose sur trois piliers : l’inventaire des actifs, le scan de vulnérabilités et la remédiation par criticité. Au sein d’un système d’information stable, maîtrisé et correctement cartographié, cette approche conservait sa pleine efficacité.

 

Les environnements contemporains ont rompu cette stabilité.

 

Les organisations opèrent désormais dans des architectures hybrides : cloud public, SaaS, identités fédérées, API exposées, prestataires, dépendances logicielles, dépôts de code, environnements de test parfois accessibles depuis Internet, shadow IT, outils métiers externalisés. La surface d’attaque s’étend bien au-delà du périmètre interne : elle est distribuée, mouvante et interconnectée.

 

Gartner décrit le CTEM comme une approche itérative structurée autour de cinq étapes : scoping, discovery, prioritization, validation, mobilization. Sa visée dépasse la découverte de faiblesses : elle consiste à produire un plan de réduction de l’exposition, compréhensible par les directions et actionnable par les équipes techniques.

 

La distinction est fondamentale. Le Vulnerability Management caractérise l’inventaire des vulnérabilités présentes. Le CTEM caractérise les scénarios d’attaque réellement praticables contre les actifs essentiels.

Les limites du patch management traditionnel

Le patch management demeure indispensable. Toute organisation qui renonce à corriger ses vulnérabilités connues accumule mécaniquement une dette de sécurité. Sa portée, néanmoins, ne saurait constituer l’unique centre de gravité d’un programme cyber, pour trois raisons.

 

La première tient aux volumes : les équipes sécurité ne disposent pas des ressources nécessaires pour traiter l’ensemble des vulnérabilités avec une urgence uniforme. La deuxième tient au contexte : une vulnérabilité critique sur le papier ne l’est pas nécessairement dans l’environnement réel de l’organisation. La troisième tient au chaînage : une vulnérabilité de sévérité moyenne accède au rang de priorité dès lors qu’elle se situe sur un actif exposé, se combine à une mauvaise configuration ou autorise l’accès à une identité privilégiée.

 

Le raisonnement par exposition devient ici déterminant.

 

Une CVE au score élevé, positionnée sur un serveur isolé, non exposé et dépourvu de donnée sensible, n’emporte pas la charge de risque d’une vulnérabilité moins spectaculaire située sur une application Internet, raccordée à un annuaire d’entreprise, sollicitée par des comptes à privilèges ou intégrée à une chaîne de traitement métier critique. La gouvernance de la cybersécurité moderne s’organise donc autour du risque réel davantage que d’une simple file d’attente de correctifs.

CVSS, EPSS, KEV : distinguer sévérité, exploitabilité et risque

Le CVSS conserve son utilité. Il fournit une mesure standardisée des caractéristiques techniques d’une vulnérabilité et produit un score de sévérité. FIRST rappelle que ce score vise à aider les organisations à évaluer et prioriser leurs processus de gestion des vulnérabilités.

 

Le CVSS atteint toutefois sa limite sur un point central : la probabilité qu’une vulnérabilité soit effectivement exploitée contre l’organisation.

 

Des approches complémentaires se sont imposées en réponse. L’EPSS, également porté par FIRST, estime la probabilité qu’une CVE soit exploitée dans les trente jours, à partir d’un modèle de machine learning et de signaux empiriques. Le catalogue KEV de la CISA apporte une indication d’une autre nature : certaines vulnérabilités ne relèvent pas de l’exploitabilité théorique, elles font déjà l’objet d’une exploitation avérée.

 

La tendance récente s’affirme nettement : les modèles de priorisation les plus rigoureux combinent plusieurs dimensions. Une revue systématique publiée en 2025 sur la priorisation des vulnérabilités distingue ainsi les métriques de sévérité, d’exploitabilité, de contexte, de prédiction et d’agrégation du risque. Une politique mature procède par combinaison de ces référentiels ; CVSS, EPSS, KEV et criticité métier ; plutôt que par sélection exclusive de l’un d’entre eux.

CTEM : une logique de scénarios

Le CTEM introduit un déplacement du regard : la vulnérabilité s’apprécie au sein d’un scénario d’exposition, et non de façon isolée.

 

Cette logique rejoint les travaux sur les attack graphs. Le NIST soulignait déjà l’insuffisance d’une évaluation du niveau de sécurité fondée sur le seul dénombrement des vulnérabilités, et la nécessité de comprendre comment plusieurs faiblesses se combinent pour constituer un chemin d’attaque vers un actif critique.

 

Dans une démarche CTEM, l’évaluation d’une vulnérabilité mobilise donc plusieurs critères : l’exposition de l’actif sur Internet, son rôle dans un processus métier critique, l’existence d’une exploitation active, la disponibilité d’un exploit public ou automatisable, la possibilité d’une élévation de privilèges, le rattachement à des identités sensibles, l’existence d’un chemin d’attaque vers le SI interne, la faisabilité d’une remédiation rapide et la disponibilité éventuelle d’une mesure compensatoire plus réaliste qu’un correctif immédiat. Cette approche épouse la réalité offensive. Un attaquant ne raisonne pas en liste de CVE ; il raisonne en opportunités, en enchaînements, en rebonds, en privilèges et en objectifs.

Les cinq briques opérationnelles d'un programme CTEM

Un programme CTEM mature se structure autour de cinq dimensions.

1. Cadrer le périmètre d'exposition

Le point de départ relève du périmètre métier davantage que de l’outil de scan.

 

L’exercice consiste à identifier les actifs vitaux, les applications qui supportent le chiffre d’affaires, la continuité d’activité, la conformité réglementaire ou la confiance client, ainsi que les données prioritaires à protéger et les environnements cloud, SaaS, API ou fournisseurs qui élargissent la surface d’attaque.

 

Cette étape conditionne l’ensemble : une priorisation détachée de toute compréhension métier produit une sécurité bruyante et peu efficace. Les organisations peuvent s’appuyer ici sur une démarche de gestion des risques structurée, notamment avec EBIOS Risk Manager ou ISO/IEC 27005:2022 Risk Manager. Ces cadres relient les événements redoutés, les scénarios d’attaque et les décisions de traitement.

2. Découvrir les actifs et les expositions réelles

La découverte dépasse le périmètre des serveurs connus de la DSI. Elle intègre l’exposition externe, les sous-domaines, les services oubliés, les interfaces d’administration, les dépôts publics, les applications SaaS, les certificats, les API, les dépendances open source et les environnements cloud.

 

Tel est le rôle des approches EASM ; External Attack Surface Management ; qui visent à objectiver ce que l’organisation expose réellement à un attaquant externe. La cartographie acquiert alors un caractère dynamique. Elle décrit l’exposition observable, donc attaquable, au-delà de l’existant administratif du SI.

3. Prioriser selon le risque réel

La priorisation CTEM croise plusieurs signaux : criticité métier, exposition Internet, exploitabilité, présence dans le catalogue KEV, probabilité EPSS, disponibilité d’un exploit, niveau de privilège atteignable, facilité d’automatisation, dépendances techniques et contraintes de remédiation.

 

Cette logique s’accorde avec les travaux récents sur les indicateurs composites de risque, qui cherchent à rapprocher les métriques de sécurité des véritables indicateurs de risque pour l’organisation. Un tableau de priorisation pertinent dépasse l’affichage « Critical / High / Medium ». Il oriente la décision en désignant les traitements à engager prioritairement pour réduire le risque d’incident majeur.

4. Valider par l'offensif contrôlé

Le CTEM intègre une étape de validation au-delà de l’analyse.

 

Cette validation emprunte plusieurs formes : pentest récurrent, Red Team, Purple Team, Breach and Attack Simulation, exercices d’exploitation contrôlée, validation de chemins d’attaque, tests de mesures compensatoires.

 

Sa finalité réside dans la vérification des hypothèses de risque : confirmer l’exploitabilité réelle d’une vulnérabilité jugée critique, l’accessibilité effective d’un actif sensible au terme d’un chemin d’attaque théorique, le bon fonctionnement d’une règle de détection ou l’efficacité d’une segmentation réseau face au rebond.

 

Les compétences offensives deviennent à ce niveau un instrument de gouvernance défensive. Pour professionnaliser cette capacité, DEVFORMA propose notamment le Bootcamp Red Team Ethical Hacking, conçu pour articuler théorie et pratique offensive contrôlée.

5. Mobiliser les équipes et suivre la dette de remédiation

La dernière brique constitue fréquemment la plus exigeante : la mobilisation.

 

Un programme CTEM produit sa valeur lorsque ses résultats se traduisent en décisions, tickets, arbitrages, délais, exceptions documentées, mesures compensatoires et suivi de la dette. Confinés à un outil de sécurité, ces résultats demeurent inopérants.

 

La remédiation engage bien au-delà du RSSI : les équipes infrastructure, cloud, développement, IAM, les métiers, les achats, le juridique et la direction générale. En l’absence de gouvernance claire, le CTEM se réduit à un tableau de bord supplémentaire ; adossé à une gouvernance claire, il devient un mécanisme de réduction continue du risque.

CTEM, NIS2, ISO 27001 et ISO 27005 : un alignement naturel

Le CTEM relève d’une approche opérationnelle, et non d’une norme. Il s’intègre néanmoins avec cohérence aux référentiels de gouvernance cyber.

 

La directive NIS2 impose aux entités concernées des mesures techniques, opérationnelles et organisationnelles de gestion des risques. Son article 21 mentionne notamment la gestion des vulnérabilités, l’évaluation de l’efficacité des mesures de cybersécurité, l’hygiène cyber, la sécurité des accès et la gestion des actifs.

 

ISO/IEC 27005 couvre, pour sa part, le cycle complet de gestion du risque : appréciation, traitement, communication, surveillance et revue. L’ISO précise que la norme contribue à prioriser les investissements de sécurité selon le risque réel.

 

Dans cette perspective, le CTEM constitue un mécanisme concret d’alimentation du SMSI : il fournit des données sur l’exposition, les chemins d’attaque, les vulnérabilités critiques, les arbitrages de traitement et les indicateurs de réduction du risque. Il prolonge également une démarche NIS2 Directive Lead Implementer en traduisant les obligations de gouvernance cyber en actions techniques mesurables.

Tableaux de bord : du technique au stratégique

Le CTEM produit des indicateurs lisibles à plusieurs niveaux de responsabilité.

 

Les équipes techniques disposent d’indicateurs d’action : vulnérabilités exploitables sur actifs exposés, actifs critiques présentant une exposition Internet, chemins d’attaque actifs vers actifs sensibles, taux de correction par criticité réelle, vulnérabilités KEV présentes dans l’environnement, dette de remédiation par domaine technique, exceptions ouvertes et mesures compensatoires associées.

 

Le RSSI dispose d’indicateurs de pilotage : exposition critique résiduelle, temps moyen de correction des vulnérabilités réellement exploitables, taux de réduction des chemins d’attaque, couverture de la cartographie, exposition par entité métier, niveau de conformité aux politiques internes, capacité de validation par pentest, BAS ou Red Team.

 

La direction dispose d’indicateurs de risque : exposition des actifs essentiels, dette cyber critique, trajectoire de réduction du risque, risques acceptés, risques transférés, risques appelant un arbitrage budgétaire, impact potentiel sur la continuité, la conformité et la confiance client.

 

Un tableau de bord CTEM se conçoit comme un instrument de décision plutôt que comme une vitrine technique.

Le CTEM, réponse à la fatigue des vulnérabilités

De nombreuses organisations subissent aujourd’hui une « vulnerability fatigue » : trop d’alertes, trop de rapports, trop de tickets, trop de priorités contradictoires. Le CTEM y oppose une réponse pragmatique : la réduction du bruit. L’objectif consiste à distinguer la gravité théorique du danger réel dans le contexte propre à l’organisation, sans pour autant ignorer les vulnérabilités. Une politique cyber pertinente engage en priorité la correction de ce qui peut provoquer un incident majeur, puis documente les arbitrages restants.

Conclusion : la maturité cyber se mesure à la capacité de prioriser

Le CTEM marque une évolution profonde de la cybersécurité opérationnelle.

L’enjeu dépasse la simple connaissance des vulnérabilités : il porte sur la compréhension de l’exposition, des actifs critiques, des chemins d’attaque et de la capacité réelle de remédiation.

 

Le Vulnerability Management classique conserve sa nécessité. Le CTEM en prolonge la logique et en élève la portée : du scan vers l’exposition continue, du CVSS vers le risque, du patch vers la décision, de la défense statique vers la validation offensive contrôlée.

 

Pour structurer cette démarche, DEVFORMA ; organisme de formation certifié Qualiopi et cabinet de conseil en GRC et cybersécurité ; accompagne les organisations sur la gestion des risques cyber, la conformité NIS2, les méthodes EBIOS RM et ISO/IEC 27005, ainsi que la montée en compétence offensive à travers ses parcours Red Team.

 

Structurer une démarche de gestion de l’exposition cyber, prioriser les vulnérabilités critiques et relier les actions techniques à une véritable gouvernance du risque : DEVFORMA construit avec vous une approche CTEM adaptée à vos enjeux métier, réglementaires et opérationnels.

Nos autres articles