Veille zero-day et CVE critique : comment prioriser sans se noyer

Une CVE à 9.8 n’a pas le même niveau d’urgence si le produit n’est pas utilisé, s’il n’est pas exposé à Internet ou s’il est déjà compensé par une mesure de sécurité. À l’inverse, une vulnérabilité moins spectaculaire peut être critique si elle touche un service public essentiel.

La bonne question est : cette faille est-elle exploitable dans notre contexte, sur un actif important, avec une preuve d’exploitation disponible ? C’est ce croisement qui transforme une veille en décision.

Le catalogue KEV signale des vulnérabilités exploitées activement. EPSS aide à estimer la probabilité d’exploitation. Ces signaux doivent être enrichis par l’inventaire interne : produit concerné, version, exposition, criticité métier.

Une règle simple fonctionne bien : KEV + exposition Internet = traitement prioritaire. EPSS élevé + actif critique = revue rapide. CVSS élevé sans exposition = planification contrôlée.

Un SLA irréaliste sera ignoré. Mieux vaut fixer trois niveaux : urgence 24-48h pour exploitation active, haute priorité 7 jours pour vulnérabilités exposées, cycle normal pour le reste.

Documentez les exceptions : impossibilité de patcher, dépendance fournisseur, fenêtre de maintenance. Une mesure compensatoire doit être visible : règle WAF, désactivation fonctionnelle, restriction IP ou supervision renforcée.

Les équipes perdent du temps lorsque les alertes arrivent par dix canaux non corrélés. Centralisez les flux CERT, éditeurs, médias spécialisés et bases CVE dans une file unique avec score, statut et propriétaire.

InfoTech Claw suit cette logique : collecter largement, dédupliquer, qualifier, puis produire une synthèse exploitable au lieu d’ajouter du bruit à la journée des équipes IT.