Vulnerability Operations Center : l'arme stratégique pour maîtriser NIS 2 et le Cyber Resilience Act

Magazine
Marque
MISC
Numéro
143
Mois de parution
janvier 2026
Auteurs
Par
Celhabe Eva
Lagier Aymeric
Spécialité(s)
Sécurité organisationnelle
Tag(s)
règlementation
Processus
vulnérabilités


Résumé

Chaque semaine, des milliers de nouvelles vulnérabilités sont découvertes, analysées et publiées. Fin octobre 2025, le National Vulnerability Database (également connu sous le nom de [NVD]) a recensé 40 525 vulnérabilités pour l’année en cours, impliquant une légère augmentation par rapport à 2024. Parmi elles, de nombreuses sont jugées hautement critiques entraînant une course sans fin pour les équipes qui doivent trier, prioriser et corriger tout en assurant le fonctionnement des systèmes. En complément, les équipes font face à de nouvelles exigences imposées par les réglementations impliquant des traitements adaptés. Comment cette explosion du nombre de vulnérabilités peut-elle être gérée tout en respectant les exigences amenées par les nouvelles réglementations européennes ?


Derrière cette frénésie se cache une réalité plus nuancée. En effet, selon le [VERIZON] Data Breach Investigations report de 2024, seulement 0,1% des vulnérabilités connues sont réellement exploitées. Autrement dit, la majorité des failles ne présentent jamais de risque concret. Dans la pratique, beaucoup d’équipes et d’organisations continuent cependant à appliquer des correctifs à la chaîne, souvent dans l’urgence, sans prendre le temps de réaliser les analyses d’impacts pour ces changements. Les conséquences de cette course aux patchs peuvent être lourdes. Par exemple, dans une usine, un patch mal évalué peut conduire à l’interruption totale d’une ligne de production ou endommager des équipements. Dans la finance, un patch non analysé peut perturber des flux de données critiques et fausser des transactions en temps réel. Autrement dit, en voulant réduire le risque cyber, on crée un risque opérationnel encore plus grand.

C’est précisément ce…

La suite est réservée aux abonnés. Il vous reste 95% à découvrir.
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Envie de lire la suite ? Rejoignez Connect
Je m'abonne maintenant


Article rédigé par

Celhabe Eva

Celhabe Eva
4 articles

Lagier Aymeric

aymeric_lagier
Architecte sécurité - Thales
11 articles

Par le(s) même(s) auteur(s)

Plus d'article de cet auteur

En quoi l’identification des risques façonne-t-elle le DevSecOps ?

Magazine
Marque
MISC
Numéro
139
Mois de parution
mai 2025
Auteurs
Par
Celhabe Eva
Lagier Aymeric
Spécialité(s)
Sécurité organisationnelle
Sécurité système
Résumé

Selon le dernier rapport de l’ENISA [ENISA_2024], une adoption généralisée du DevSecOps contribue à limiter l’impact économique des violations de données grâce à l’intégration de mesures de réduction des risques dès la conception. Pour être efficace, cette approche doit s’adapter au contexte métier et aux menaces spécifiques identifiées. Ainsi, comment l’analyse de risques et le DevSecOps s’articulent-ils pour sécuriser les produits ?

Lire l'article

Cyber Resilience Act / DevSecOps : mise en perspective et intégration dans le run

Magazine
Marque
MISC
Numéro
137
Mois de parution
janvier 2025
Auteurs
Par
Celhabe Eva
Lagier Aymeric
Spécialité(s)
Droit
Sécurité organisationnelle
Résumé

La prise en compte de la sécurité au plus tôt lors de la construction d’un produit est essentielle, mais pas suffisante pour répondre aux exigences du CRA. Comment intégrer la sécurité dans l’usine logicielle puis en phase de run lorsque le produit est en production et/ou déployé chez les clients ?

Lire l'article

Cyber Resilience Act et DevSecOps : le nouveau mariage parfait ?

Magazine
Marque
MISC
Numéro
136
Mois de parution
novembre 2024
Auteurs
Par
Celhabe Eva
Lagier Aymeric
Spécialité(s)
Sécurité organisationnelle
Droit
Résumé

Selon le dernier rapport de Cybersecurity Ventures [CYBERV_RAP], les coûts mondiaux liés à la cybercriminalité devraient atteindre les 10,5 trillions de dollars (9,6 trillions d’euros) par an d’ici 2025. Ces montants augmentent chaque année en raison de l'immaturité de nos systèmes, de l'industrialisation et de la sophistication croissante des attaques. Comment l’Union Européenne (via l’ENISA) peut-elle assurer la sécurité de ses entreprises et citoyens ? Le DevSecOps peut-il concrètement aider à cette sécurisation ?

Lire l'article

Mettre en place un programme de Security Champions

Magazine
Marque
GNU/Linux Magazine
Numéro
269
Mois de parution
mai 2024
Auteurs
Par
Lagier Aymeric
Spécialité(s)
Code
Sécurité organisationnelle
Résumé

Selon Sonatype, depuis décembre 2021, 29 % des téléchargements de Log4J le sont sur des versions vulnérables à Log4Shell. Cette statistique démontre l’importance pour les entreprises de renforcer la prise en compte de la sécurité dans les équipes de développement. Comment la mise en place d’un programme de security champions peut-elle améliorer l’intégration de la sécurité au plus tôt dans les projets ?

Lire l'article

Les listes de lecture

Sécurité Windows : Active Directory

11 article(s) - ajoutée le 01/07/2020
Sécurité réseau
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.

Sécurité des mobiles

8 article(s) - ajoutée le 13/10/2020
Mobilité Sécurité système
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.

Cryptographie appliquée

10 article(s) - ajoutée le 13/10/2020
Crypto
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Plus de listes de lecture