Politique de gestion des vulnérabilités

La Politique de gestion des vulnérabilités (P19) définit l’approche structurée requise pour identifier, classer, corriger et surveiller les vulnérabilités techniques et les défauts logiciels au sein de tous les actifs régis par le Système de management de la sécurité de l'information (SMSI) de l’organisation. Son objectif principal est de réduire l’exposition au risque liée aux faiblesses non traitées, en garantissant un processus coordonné d’appréciation des vulnérabilités, de priorisation, de remédiation et de suivi de la conformité, adapté aux priorités opérationnelles et au paysage réglementaire applicable à l’organisation. La politique s’applique à l’échelle de l’entreprise à tous les systèmes d'information, applications, infrastructures informatiques, micrologiciels, ressources d’informatique en nuage, interfaces de programmation (API), terminaux, serveurs, infrastructures virtuelles et plateformes tierces, quel que soit l’environnement d’hébergement. Contraignante pour les équipes internes comme pour les prestataires externes, elle impose une approche complète du cycle de vie, depuis les scans de vulnérabilités réguliers et la découverte, jusqu’à la notation des risques et l’acquisition des correctifs, puis le déploiement dans les délais, la gestion des exceptions, la surveillance et l’établissement de rapports. Un accent particulier est mis sur des scans authentifiés, ajustés au risque, à des intervalles définis, notamment pour les actifs exposés à Internet ou à forte valeur, avec des procédures associées pour l’enrôlement de nouveaux systèmes et le maintien de la conformité tout au long de leur cycle de vie. Les rôles et responsabilités sont précisément définis afin de renforcer l’autorité et la responsabilité. Le Responsable de la sécurité des systèmes d’information (RSSI) est propriétaire de l’intégration de la politique et de l’alignement des risques ; les responsables de la gestion des vulnérabilités supervisent l’exécution opérationnelle ; les propriétaires du système et propriétaires d’applications sont chargés d’appliquer les remédiations et de valider la stabilité des systèmes ; les équipes d’exploitation informatique exécutent les changements dans les fenêtres établies ; et les analystes sécurité maintiennent la vigilance via la surveillance continue de la conformité et des appréciations des risques mises à jour. Des exigences formelles s’appliquent aux fournisseurs tiers afin de garantir que les systèmes externes respectent les mêmes accords de niveau de service, avec des audits périodiques et des contrôles sur leurs processus d’application de correctifs. Un cadre de gouvernance, incluant un registre de gestion des vulnérabilités maintenu de manière centralisée et des accords de niveau de service fondés sur les risques, sous-tend la politique. Le système impose l’urgence d’application de correctifs selon la gravité (déterminée par la notation CVSS), la criticité des actifs et l’exposition, tout en s’intégrant à la gestion des changements pour la traçabilité et la stabilité. Des protocoles détaillés de dérogations précisent les exigences d’approbation formelle, de mesures compensatoires, de fréquence de revue, de limites de temps pour les risques critiques et de suivi obligatoire dans les registres du SMSI désignés. La mise en application de la politique repose sur une surveillance continue de la conformité, l’établissement de rapports de statut et une escalade structurée. La politique impose également des audits, des enquêtes rétrospectives après incidents et un protocole robuste de revue/mise à jour afin de maintenir l’alignement avec l’évolution des obligations réglementaires, des changements technologiques et des renseignements sur les menaces à forte visibilité. Elle est directement liée à des politiques fondamentales, telles que la politique de sécurité de l’information, la gestion des changements, la gestion des risques, la gestion des actifs, la Politique de journalisation et de surveillance et la Réponse aux incidents, afin d’assurer une couverture de bout en bout.