Pour le technicien qui intervient.
Un attaquant qui a franchi le perimetre se deplace lateralement. Les vulnerabilites internes (Active Directory, partages, postes utilisateurs) sont autant exploitees. Le scan interne en mode authentifie (avec credentials) detecte beaucoup plus de vulnerabilites que le scan non authentifie. Distinguer les deux dans le rapport.
Le guide d'hygiene informatique de l'ANSSI mesure 37, PCI-DSS exigence 11.3 et ISO 27001 A.12.6.1 imposent un scan de vulnerabilites au minimum trimestriel. Pour les environnements exposés sur internet, un scan mensuel est plus adapte. Documenter la fréquence dans la politique de sécurité et tenir l'historique des scans.
Sans objectif chiffre, les vulnerabilites s'accumulent. Definir dans la politique : critique sous 15 jours, haute sous 30 jours, moyenne sous 90 jours, basse au prochain cycle. Suivre le délai moyen de remediation comme indicateur clé. L'ANSSI considéré ces délais comme une bonne pratique.
Toutes les CVE critiques ne sont pas equivalentes. Une CVE de severite 10 sur un serveur interne isolé pose moins de risque qu'une CVE de severite 7 sur le serveur web public. Croiser les scans avec la cartographie d'exposition (CISA KEV, EPSS) pour prioriser efficacement. Documenter les décisions de prioritisation.
Les scanners produisent des faux positifs. Avant d'investir l'effort de remediation, confirmer manuellement les findings critiques par un test cible (curl, nmap, outil dedie). Cela evite les actions correctives inutiles et renforce la credibilite du rapport aupres des equipes métier.
Pour le responsable / gestionnaire.
Le guide d'hygiene informatique de l'ANSSI mesure 37, PCI-DSS exigence 11.3 et ISO 27001 A.12.6.1 imposent un scan de vulnerabilites au minimum trimestriel. Pour les environnements exposés sur internet, un scan mensuel est plus adapte. Documenter la fréquence dans la politique de sécurité et tenir l'historique des scans.
Sans objectif chiffre, les vulnerabilites s'accumulent. Definir dans la politique : critique sous 15 jours, haute sous 30 jours, moyenne sous 90 jours, basse au prochain cycle. Suivre le délai moyen de remediation comme indicateur clé. L'ANSSI considéré ces délais comme une bonne pratique.
L'historique des scans est l'une des principales preuves d'un programme de gestion des vulnerabilites mature. Conserver chaque rapport trimestriel dans un emplacement immutable pour 3 ans minimum, accessible aux auditeurs. Inclure le delta entre scans pour montrer la progression.
Pour l'auditeur et le contrôle de conformité.
L'historique des scans est l'une des principales preuves d'un programme de gestion des vulnerabilites mature. Conserver chaque rapport trimestriel dans un emplacement immutable pour 3 ans minimum, accessible aux auditeurs. Inclure le delta entre scans pour montrer la progression.