Les équipes de sécurité échouent rarement par manque de données. Le plus souvent, elles échouent parce qu'elles corrigent d'abord les mauvais problèmes. C'est précisément pourquoi le renseignement sur les exploits connus, la gestion des vulnérabilités basée sur les risques, la loi sur la cyber-résilience et… CISUn catalogue des vulnérabilités exploitées connues converge désormais dans les flux de travail modernes de sécurité des applications.
Chaque semaine, les scanners signalent des centaines de vulnérabilités. Pourtant, les attaquants n'en exploitent qu'une infime partie. Par conséquent, les équipes qui priorisent sans tenir compte du contexte d'exploitation perdent un temps précieux, tandis que de véritables menaces passent entre les mailles du filet. Le renseignement sur les exploits connus comble cette lacune en révélant les vulnérabilités réellement exploitées par les attaquants, et non seulement celles qui paraissent graves sur le papier.
Exploiter les renseignements connus
Les renseignements sur les exploits connus identifient les vulnérabilités que les attaquants exploitent activement dans des environnements réels. Autrement dit, ils permettent de distinguer le risque théorique du comportement d'attaque avéré.
Au lieu de se demander s'il existe une vulnérabilité pourriez Les équipes peuvent enfin se demander si l'exploitation de ces failles est possible :
Cette faille est-elle déjà exploitée, et cela affecte-t-il mon produit ?
Cette distinction est importante sur le plan opérationnel et, de plus en plus, sur le plan juridique.
Pourquoi la priorisation traditionnelle échoue
La plupart des équipes s'appuient encore sur des signaux statiques pour hiérarchiser les risques.
En général, ils classent les vulnérabilités selon :
- Gravité CVSS
- confiance du scanner
- Popularité des colis
Bien que ces signaux contribuent à réduire le bruit, ils passent à côté d'un facteur crucial : le comportement des attaquants. De ce fait, les équipes s'empressent souvent de corriger des failles critiques qui ne sont jamais exploitées, négligeant ainsi des vulnérabilités moins graves que les attaquants ciblent activement.
Cet écart explique pourquoi la priorisation statique n'est plus adaptable à grande échelle.
Pourquoi la loi sur la cyber-résilience change les règles
En vertu des Normes sur l’information et les communications, les organismes doivent rendre leurs sites et applications Web accessibles. Ils y parviennent en conformant leurs sites Web au niveau AA des Web Content Accessibility Guidelines (WCAG). Loi sur la cyber-résilience, la distribution de logiciels présentant des vulnérabilités exploitables connues devient un problème de conformité, et non plus seulement un problème de sécurité.
Le règlement exige que :
- Les produits comportant des éléments numériques ne doivent pas entrer sur le marché de l'UE s'ils présentent des vulnérabilités exploitables connues.
- Les fabricants mettent en œuvre des mécanismes de gestion des vulnérabilités et des points de contrôle.
- L'exploitation dans des environnements réels a plus de poids que la gravité théorique
De ce fait, la priorité passe des meilleures pratiques aux obligations légales.
C’est précisément là que le renseignement sur les exploits devient essentiel.
Loi sur la cyber-résilience
Le Loi sur la cyber-résilience Il s'agit d'un règlement de l'Union européenne qui fixe des exigences obligatoires en matière de cybersécurité pour les produits comportant des éléments numériques vendus dans l'UE.
En clair, cela exige des fabricants qu'ils conçoivent, développent et maintiennent des logiciels exempts de vulnérabilités exploitables connues au moment de leur mise en production. De plus, cela les oblige à surveiller les vulnérabilités après la mise en production et à signaler les failles exploitées dans des délais stricts.
Le règlement est entré en vigueur en décembre 2024. Cependant, son application intégrale débutera en décembre 2027. Dès 2026, les entreprises devront signaler aux autorités de l'UE les vulnérabilités activement exploitées dans les 24 heures suivant leur découverte.
Autrement dit, la loi sur la cyber-résilience transforme la gestion des vulnérabilités d'une bonne pratique en une condition d'accès au marché.
Pourquoi les KEV sont au cœur de la conformité aux CRA
Le CISCatalogue des vulnérabilités exploitées connues Ce catalogue répertorie les vulnérabilités CVE déjà exploitées par des attaquants. Il lève toute ambiguïté.
Au lieu de débattre des risques, les équipes peuvent s'appuyer sur des données d'exploitation vérifiées. Par conséquent, les vulnérabilités clés deviennent le principal facteur déclenchant les SLA de remédiation et le blocage des mises en production.
Cette approche s'inscrit naturellement dans le cadre de gestion des vulnérabilités basée sur les risques, car cela concentre les efforts là où les dégâts sont réels.
Les systèmes CVSS, EPSS et KEV ont des objectifs différents.
Une priorisation efficace nécessite de comprendre en quoi les signaux diffèrent.
- CVSS montre un impact potentiel
- EPSS estime la probabilité d'exploitation
- Le CISUn catalogue des vulnérabilités connues et exploitées confirme une exploitation active.
Pris individuellement, chaque signal est trompeur. Combinés, ils apportent du contexte. Cette combinaison constitue le fondement de la gestion moderne des vulnérabilités basée sur les risques.
Comment fonctionne en pratique le renseignement basé sur les exploits connus
Un modèle de priorisation pratique suit une séquence claire :
- Détecter les vulnérabilités dans le code et ses dépendances
- Comparez les résultats avec les CISCatalogue des vulnérabilités exploitées connues
- Évaluer la probabilité d'exploitation à l'aide de l'EPSS
- Vérifiez l'accessibilité dans l'application ou pipeline
- Appliquer les règles de remédiation en fonction de l'exposition et du rôle du produit
Par conséquent, les équipes cessent de considérer les listes de vulnérabilités comme des tâches en attente et commencent à les traiter comme des tâches à accomplir.cisdes ions.
Comment nous avons développé le renseignement sur les failles connues chez Xygeni
Nous avons développé cette fonctionnalité après avoir constaté à plusieurs reprises que des équipes corrigeaient des problèmes de score CVSS élevé alors que des vulnérabilités connues et exploitées atteignaient la production. Cette expérience a influencé la conception de notre système.
Avec v5.36, Xygeni intègre directement les informations vérifiées sur les exploits dans son moteur de priorisation.
Que se passe-t-il sous le capot ?
- Xygeni ingère en continu des catalogues d'exploits fiables tels que KEV et d'autres sources d'exploits publiques.
- Chaque vulnérabilité reçoit des métadonnées de présence d'exploit
- L'entonnoir de priorisation combine :
- État connu de l'exploit
- probabilité EPSS
- Contexte d'accessibilité
- Exposition du code et des dépendances
La plateforme calcule un score de risque composite en situation réelle
Au lieu de remplacer les signaux existants, ce modèle les affine.
Détection → Correspondance avec l'exploit → Accessibilité → Correction
Ce flux anime chaque décision:
Les développeurs voient directement le contexte de l'exploit dans pull requests. PipelineLa fusion des blocs S n'intervient que lorsque le code accessible contient des vulnérabilités connues et exploitées. La correction automatisée propose immédiatement des mises à niveau sécurisées.
Pas de réunions. Pas de conjectures. Pas de solutions de fortune.
Pourquoi cela est important au-delà de la conformité
Bien que la loi sur la cyber-résilience ait déclenché ce changement, ses avantages vont bien au-delà.
Équipes qui privilégient l'utilisation du renseignement sur les exploits :
- Réduire la fatigue des alertes
- Réduire le temps de réparation
- Évitez les cycles de réparation d'urgence
- Déployez des logiciels plus sûrs en toute confiance
La conformité devient un effet secondaire d'une bonne gestion de la sécurité.
En conclusion : L’ARC rend obligatoire la gestion fondée sur les risques
La loi sur la cyber-résilience officialise ce que les équipes expérimentées ont déjà appris : toutes les vulnérabilités n’ont pas la même importance.
Le CISUn catalogue des vulnérabilités exploitées connues révèle les techniques utilisées actuellement par les attaquants. Le contexte et la portée indiquent si une vulnérabilité vous concerne. Ensemble, ils définissent les vulnérabilités modernes. gestion des vulnérabilités basée sur les risques.
Xygeni applique ce modèle en continu, automatiquement et là où les développeurs travaillent déjà.
À propos de l’auteur
Écrit par Fatima SaidResponsable marketing de contenu spécialisée en sécurité des applications chez Xygeni Security, elle crée du contenu axé sur les développeurs et basé sur la recherche en matière de sécurité des applications. ASPMet DevSecOps, traduisant les défis de sécurité du monde réel en conseils clairs et exploitables.
