Pourquoi cette politique prouve que votre sécurité est vivante
Trouver des vulnérabilités est facile ; les corriger dans les délais est ce que vérifient les auditeurs. Une politique de gestion des vulnérabilités définit comment vous découvrez les failles, décidez quoi corriger en priorité, et remédiez dans des délais fixés — transformant un rapport de scan en discipline opérationnelle.
Quoi inclure
- Périmètre — systèmes, applications, postes et cloud concernés.
- Découverte — fréquence des scans, scans authentifiés, et prise en compte des avis fournisseurs et des CVE.
- Priorisation — notation de gravité (ex. CVSS) combinée à l'exposition et à la criticité de l'actif.
- Délais de remédiation (SLA) — échéances de correction par gravité (ex. critique en jours, élevée en semaines), le cœur de la politique.
- Gestion des correctifs — test, planification et correctifs d'urgence.
- Exceptions — failles avec risque accepté, limitées dans le temps et approuvées.
- Reporting — indicateurs et tendances pour la direction.
Erreurs fréquentes
- Scanner sans délais de remédiation, si bien que les failles s'accumulent.
- Une échéance générique unique pour toutes les gravités.
- Aucun processus d'exception, donc les retards sont ignorés au lieu d'être assumés.
Alignement référentiels
Correspond à l'Annexe A 8.8 d'ISO 27001:2022 (gestion des vulnérabilités techniques), aux critères SOC 2, et aux fonctions Détecter/Protéger du NIST CSF.
Générez-la en quelques minutes
Voir un exemple de politique de gestion des vulnérabilités ou générez la vôtre gratuitement.