Cywise   CYWISE
retour au blog

La gouvernance des vulnérabilités : quand la cybersécurité devient une affaire de direction Posté dans la catégorie Général le par Engineering.

En 2026, les équipes de cybersécurité ne peuvent plus compter sur le NIST pour leur fournir des données enrichies fiables. La réduction des effectifs et du financement du National Vulnerability Database (NVD) a créé un vide critique : les CVEs sont plus nombreuses que jamais, mais leur analyse et leur priorisation sont en déclin. Face à cette crise de confiance, la gestion des vulnérabilités ne peut plus être une tâche technique déléguée aux ingénieurs. Elle est devenue une question de gouvernance stratégique, au cœur de la résilience de l’entreprise.

Le déclin du NVD : un signal d’alerte pour les dirigeants

Le NIST ne traite plus que les CVEs à fort impact potentiel. Les entreprises doivent désormais faire face à un paysage fragmenté : les CNAs (CVE Numbering Authorities) fournissent des données minimales, les éditeurs de logiciels retardent la mise à jour des CVEs, et les informations d’exploitabilité manquent cruellement. Comme le souligne Jessica Sica, CISO de Weave : « Les réductions d’effectifs et la prolifération des vulnérabilités ont rendu cela inévitable. » Cette perte de visibilité exige une réorientation radicale : passer d’une logique de réactivité (« patcher ce qui est documenté ») à une logique de prévention proactive.

La gouvernance comme levier de résilience

La cybersécurité n’est plus une question de pare-feu ou de SIEM. Comme le rappelle Thomas Hutin, elle est avant tout une affaire de gouvernance. Les comités exécutifs doivent intégrer les vulnérabilités dans leurs arbitrages budgétaires, leurs politiques RH et leurs contrats d’achat. Adam Shostack propose une voie claire : « Je ne vois pas comment un système peut rester à jour s’il nécessite une analyse humaine dans son processus décisionnel. » Cela signifie automatiser les mises à jour, réduire la surface d’exposition et adopter des principes de « zero trust » au niveau infrastructure. Les entreprises qui traitent la cybersécurité comme un coût, et non comme un atout stratégique, sont les plus vulnérables.

L’OSINT : l’arme secrète des attaquants… et des défenseurs

Les attaquants ne cherchent pas d’abord des failles techniques. Ils étudient les traces publiques : sites web, réseaux sociaux, archives, documents déversés. Comme le montre l’article de Marc Béhar, une simple photo de bureau ou un nom de domaine abandonné peut révéler des portes d’entrée. La gouvernance des vulnérabilités doit donc inclure une surveillance active de l’empreinte numérique de l’entreprise : un travail de veille qui dépasse la seule IT pour impliquer la communication, les RH et la direction juridique.

Conclusion

La gestion des vulnérabilités n’est plus une question de technologie, mais de culture organisationnelle. Face à l’effondrement des sources centralisées, les entreprises doivent adopter une approche holistique : gouvernance au sommet, automatisation des réponses, veille proactive sur l’OSINT. La cybersécurité n’est pas un département. C’est une capacité fondamentale, à construire depuis le conseil d’administration.