Si vous travaillez avec des scanners de vulnérabilités depuis un certain temps, vous connaissez le schéma : lancer un scan, obtenir une liste énorme, trier par niveau de gravité et commencer à courir après les alertes rouges.
Cela fonctionne jusqu’au moment où cela ne fonctionne plus.
Car la réalité en 2026 est la suivante : les données de vulnérabilités explosent, le comportement des attaquants évolue très rapidement et la ressource la plus rare dans la plupart des équipes IT n’est pas l’outillage, mais le temps.
C’est pourquoi Guardian360 apporte deux changements majeurs à Lighthouse :
- Nous remplaçons notre arsenal de scanners, notre moteur de scan.
- Nous introduisons une approche basée sur le risque qui relie les constats techniques au risque métier, alignée sur ISO 27001, NIS2 et d’autres cadres.
Et oui, pour de nombreux partenaires et clients, cela soulèvera une question légitime :
« Allons nous voir moins de vulnérabilités et est ce réellement sûr ? »
Décomposons le pourquoi de ces décisions et expliquons pourquoi moins de constats, mais plus pertinents, mènent généralement à de meilleurs résultats, de meilleurs insights et à une utilisation bien plus efficace d’heures coûteuses.
1. Pourquoi nous remplaçons notre arsenal de scanners
Nous reconstruisons les fondations afin de rendre le scanning :
- Plus fiable avec des résultats cohérents et moins de surprises dans les cas limites
- Plus rapide avec moins d’attente et une visibilité plus continue
- Plus léger avec une empreinte réduite et moins de surcharge opérationnelle
Il existe également une raison stratégique :
Aller au delà des machines virtuelles vers un agent
Aujourd’hui, de nombreuses solutions de scan reposent encore fortement sur des machines virtuelles et des déploiements lourds. Notre direction est claire : permettre des capacités basées sur des agents afin que les partenaires et les clients puissent obtenir une couverture sans devoir maintenir par défaut des appliances virtuelles.
Ce changement n’est pas un changement pour le changement. Il s’agit de construire une plateforme de scan prête pour la prochaine phase de Lighthouse : des insights continus, moins de friction opérationnelle et des résultats plus exploitables.
2. Pourquoi nous introduisons une approche basée sur le risque et pourquoi elle correspond mieux à ISO 27001 et NIS2
La plupart des scanners sont conçus pour répondre à une question technique :
« Quel est le niveau de gravité de cette vulnérabilité ? »
Mais ISO 27001, NIS2 et la gouvernance de la sécurité moderne exigent de répondre à une autre question :
« Qu’est ce que cela signifie pour notre organisation et que devons nous faire en priorité ? »
Ce changement est essentiel, car la gravité technique seule ne décrit pas le risque métier. Le risque métier dépend du contexte : où se trouve la vulnérabilité, ce qu’elle impacte et ce qui se passe si elle est exploitée.
CIA : l’ingrédient manquant dans la gestion des vulnérabilités basée uniquement sur la gravité
Un moyen pratique de rendre ce contexte explicite est la triade classique CIA :
- Confidentialité : l’exploitation exposerait elle des informations sensibles comme des données clients, de la propriété intellectuelle, des identifiants ou des dossiers médicaux ?
- Intégrité : l’exploitation permettrait elle des manipulations comme la modification de données, de transactions, de configurations ou de journaux ?
- Disponibilité : l’exploitation pourrait elle provoquer des interruptions ou des perturbations comme un impact ransomware, une indisponibilité de service ou un arrêt de production ?
En d’autres termes, la même CVE peut avoir des significations très différentes selon le profil CIA de l’actif.
Exemple : même vulnérabilité, risque métier différent
Une vulnérabilité de gravité élevée sur un serveur de test à faible valeur peut être gênante, mais pas menaçante pour l’activité.
Cette même vulnérabilité sur :
- un système traitant la paie, intégrité
- un portail client avec des données personnelles, confidentialité
- ou une application critique pour un hôpital, disponibilité
devient soudainement un risque métier majeur.
Ainsi, plutôt que de traiter chaque constat de manière identique et de trier uniquement par CVSS, une approche basée sur le risque pose les questions suivantes :
- Quel actif est concerné ?
- Quel est le niveau de criticité de cet actif pour la confidentialité, l’intégrité et la disponibilité ?
- Est il accessible ou exploitable dans cet environnement ?
- Quel est l’impact réel dans le monde réel s’il est exploité ?
- Quelle est l’action suivante la plus efficace ?
Pourquoi cela correspond mieux à ISO 27001 et NIS2
ISO 27001 n’est pas une norme qui consiste à collecter toutes les vulnérabilités. Il s’agit de faire fonctionner un SMSI qui identifie, évalue et traite les risques de manière contrôlée et reproductible. Une approche basée sur le risque y contribue directement : vous pouvez démontrer pourquoi vous avez priorisé un élément, ce que vous avez fait et comment cela a réduit le risque.
NIS2 pousse les organisations vers une résilience mesurable et une gestion des risques responsable, pas seulement vers une production technique. Une approche basée sur le risque aide les partenaires et les clients à communiquer en termes métier, car les conseils d’administration et les auditeurs ne veulent pas entendre « nous avions 8000 constats », mais « nous avons réduit le risque pour les services critiques ».
Le résultat : de meilleures décisions, de meilleures preuves et moins d’efforts gaspillés
En reliant les constats au CIA et au contexte métier, Lighthouse peut passer de :
- « Voici une liste inquiétante »
à :
- « Voici les problèmes qui menacent réellement ce qui compte pour vous et voici l’ordre le plus intelligent pour les corriger. »
C’est le cœur de l’approche basée sur le risque : non pas moins de contrôles, mais une meilleure priorisation et une gouvernance renforcée.
3. La vérité inconfortable : toutes les CVE ne comptent pas dans votre environnement
Voici ce qui est souvent oublié dans la gestion des vulnérabilités : l’univers des CVE est immense et la majorité ne sera jamais pertinente pour l’environnement spécifique de votre client.
- La National Vulnerability Database répertorie des centaines de milliers de CVE, plus de 326 000 au moment de la rédaction ( https://nvd.nist.gov/general/nvd-dashboard ).
- Parallèlement, le catalogue CISA Known Exploited Vulnerabilities, une référence pratique indiquant ce qui est exploité activement, contient environ 1484 entrées fin 2025 ( https://www.securityweek.com/cisa-kev-catalog-expanded-20-in-2025-topping-1480-entries ).
Ce contraste ne signifie pas qu’il faille tout ignorer. Cela signifie :
La gravité n’est pas le risque
Un score CVSS indique à quel point quelque chose pourrait être grave sous certaines hypothèses. Il ne dit pas à quel point il est probable que cela soit exploité dans les jours ou les semaines à venir.
C’est pourquoi des modèles comme EPSS existent, afin d’estimer la probabilité d’exploitation sur la base de signaux et de schémas observés. La documentation EPSS de FIRST montre que l’activité d’exploitation se concentre sur une petite partie des CVE publiées, avec dans leur exemple environ 2,7 pour cent sur une fenêtre de 30 jours ( https://www.first.org/epss/model ).
Les rapports sur les menaces continuent également de montrer que l’exploitation constitue un vecteur majeur d’accès initial, mais là encore concentré là où les attaquants obtiennent le meilleur retour sur investissement. Le DBIR 2025 de Verizon met en avant l’exploitation des vulnérabilités comme l’un des principaux vecteurs de compromission, à hauteur de 20 pour cent, avec une augmentation significative d’une année sur l’autre ( https://www.verizon.com/about/news/2025-data-breach-investigations-report ).
Donc oui, les vulnérabilités comptent. Mais pas toutes de la même manière et pas toutes en même temps.
4. Pourquoi moins de vulnérabilités peuvent conduire à de meilleurs résultats en matière de sécurité
Une liste massive de constats crée trois problèmes prévisibles :
1) Le bruit masque le signal
Quand tout semble urgent, rien ne l’est vraiment. Les équipes gaspillent du temps à trier des éléments techniquement valides mais pratiquement non pertinents.
2) Le temps est consacré à ce qui est facile, pas à ce qui est risqué
Sans contexte métier, la remédiation devient une course aux correctifs, CVSS le plus élevé en premier, même si le système concerné n’est pas critique ou pas accessible.
3) Le reporting devient performatif
Vous prouvez que vous avez beaucoup travaillé, au lieu de prouver que vous avez réduit le risque.
Une approche basée sur le risque inverse cette logique :
- Se concentrer sur ce qui est exploitable, accessible et matériel
- Relier les constats à l’impact métier
- Rendre la remédiation mesurable, explicable et auditable
C’est ainsi que la gestion des vulnérabilités devient durable, et non héroïque.
5. Ce que les partenaires peuvent attendre de Lighthouse
Avec la nouvelle base de scan et l’approche basée sur le risque, les partenaires bénéficieront de :
- Meilleure visibilité sur le risque métier, en plus des niveaux de gravité technique
- Résultats de scan plus pertinents, réduisant les efforts inutiles
- Remédiation plus efficace, car les actions sont priorisées selon le risque réel et le contexte métier
- Preuves de conformité renforcées, car les décisions et actions sont explicables et rattachées aux exigences de gouvernance
C’est ainsi que nous donnons un sens concret à notre mission :
« Gouvernance numérique et résilience à portée de main. »
Et notre vision :
« Donner aux décideurs les insights nécessaires pour sécuriser, se conformer et optimiser leur organisation. »
6. L’essentiel
Nous ne cherchons pas à afficher plus de constats.
Nous voulons afficher les bons constats, au bon moment, dans le bon contexte, afin que les partenaires et les clients consacrent leur temps limité là où la réduction du risque est maximale.
Si vous êtes habitué à des scanners qui affichent fièrement « 10 000 problèmes détectés », ce changement peut sembler contre intuitif au premier abord.
Mais en pratique, moins de bruit et plus de pertinence donnent de meilleurs insights et une réduction du risque plus rapide.
Et c’est exactement la direction que prend Lighthouse.
