Gestion unifiée des vulnérabilités (UVM)

La gestion traditionnelle des vulnérabilités se concentre principalement sur les vulnérabilités au sein des assets IT. À l'inverse, une approche unifiée apporte des données supplémentaires sur les vulnérabilités provenant d'autres domaines et outils de sécurité : cloud, conteneurs, applications web, technologies opérationnelles, etc. Cela crée une vue centralisée des données sur les vulnérabilités. 

Toutes les solutions de gestion unifiée (UVM) des vulnérabilités reposent sur trois fonctionnalités fondamentales :

• Intégration avec les outils d'évaluation des vulnérabilités existants
• Déduplication et normalisation des données sur les assets et les vulnérabilités
• Vue agrégée des vulnérabilités de votre surface d'attaque

Vos équipes de sécurité sont confrontées à une liste croissante de vulnérabilités, à des faux positifs, à des outils de cyber-sécurité fragmentés, à des surfaces d'attaque en expansion et à des données disparates. Il devient donc presque impossible de savoir quels sont vos assets, où ils se trouvent et s'ils sont associés à des vulnérabilités.

La gestion unifiée des vulnérabilités crée un inventaire fiable des assets et des vulnérabilités, quel que soit l'environnement, afin de favoriser une gestion plus efficace du risque cyber.

Plus votre surface d'attaque est grande, plus une gestion traditionnelle des vulnérabilités peut laisser des angles morts dans votre posture de sécurité. 

Par exemple, un attaquant ne recherche pas forcément une vulnérabilité ayant le score CVSS le plus élevé dans votre environnement IT. Et à raison, ce sont souvent celles que les équipes corrigent en premier. Il ira plutôt chercher une vulnérabilité au risque moins élevé dans un conteneur cloud ou un appareil OT pour obtenir un accès ou se déplacer latéralement. 

Les outils traditionnels de gestion des vulnérabilités manquent de visibilité sur les conteneurs cloud, les pipelines CI/CD et les assets OT. Et même lorsque votre entreprise dispose de ces solutions de sécurité spécialisées pour gérer les environnements cloud ou OT, les équipes de gestion des vulnérabilités n'ont pas toujours de visibilité sur les CVE détectées par ces outils. 

C'est justement parce que les outils hérités de gestion des vulnérabilités et les autres outils de domaine ne permettent pas de tout couvrir que la gestion unifiée des vulnérabilités a un rôle critique. Elle permet à vos équipes d'unifier des données cloisonnées, de gérer les CVE globalement et d'y remédier de manière cohérente, quel que soit l'outil qui a détecté la vulnérabilité ou l'endroit où celle-ci se trouve dans votre surface d'attaque.

La plupart des plateformes de gestion unifiée des vulnérabilités offrent les fonctionnalités suivantes :

1. Inventaire unifié des assets

Collecte des informations sur les assets à partir des outils d'évaluation existants pour les visualiser dans un inventaire unifié.

2. Visualisation unifiée des vulnérabilités

Collecte des données sur les vulnérabilités à partir des outils existants pour une vue unifiée des CVE.

3. Unification et rationalisation des données

Déduplique et normalise les données sur les assets et les risques provenant des différents outils et fournisseurs afin de les unifier dans un référentiel unique.

4. Intégration de workflow

Permet de générer un workflow cohérent, tel que l'ouverture de tickets et le suivi de la remédiation au sein des équipes.

5. Indicateurs et reporting

Fournit une approche cohérente pour les indicateurs et le reporting sur les progrès du programme de gestion des vulnérabilités pour l'ensemble des équipes.

Les fonctionnalités de gestion unifiée des vulnérabilités représentent un sous-ensemble de la gestion de l'exposition. Elles consistent à rassembler les données sur les vulnérabilités cloisonnées issues de divers outils et fournisseurs pour offrir à vos équipes une vue unifiée des assets et des vulnérabilités. 

L'objectif premier est d'unifier la visibilité. Cependant, si vous êtes chargé de réduire l'exposition de l'entreprise au risque, et pas seulement de rechercher et de corriger les vulnérabilités, la gestion de l'exposition vous offre un cadre complet pour vous concentrer d'abord sur vos cybermenaces et expositions les plus critiques. Cette approche repose sur une visibilité étendue grâce à une intégration plus large et à des fonctionnalités de découverte natives, ainsi que sur l'ajout du contexte relationnel enrichi nécessaire à l'action et à la priorisation avancées. 

Examinons ces différences de plus près :

• À l'instar des solutions de gestion unifiée des vulnérabilités, les plateformes de gestion de l'exposition agrègent les données relatives aux assets et aux vulnérabilités. Elles s'intègrent cependant à un ensemble plus large d'outils pour recueillir d'autres types de détections du risque, notamment les mauvaises configurations ou les autorisations humaines et machines excessives. Outre l'intégration avec les outils existants, les plateformes de gestion de l'exposition disposent d'une découverte native pour fournir une vue holistique des assets sur votre surface d'attaque.
• Les plateformes de gestion de l'exposition utilisent ces données enrichies sur les assets et le risque pour cartographier les relations entre les assets, les identités et le risque sur la surface d'attaque. Votre entreprise peut visualiser les chemins que les attaquants sont susceptibles d'exploiter pour atteindre les assets, les données, les services et les processus critiques, et ainsi prioriser l'action en fonction de l'impact potentiel.
• Grâce à cette visibilité élargie de la surface d'attaque et au contexte technique et métier enrichi, la gestion de l'exposition favorise une priorisation avancée du risque, ce que la gestion unifiée des vulnérabilités n'est pas en mesure d'accomplir. Si votre entreprise souhaite aller au-delà de l'unification des données pour améliorer la priorisation et l'automatisation des workflows, envisagez l'adoption d'une plateforme de gestion de l'exposition lors de votre étude comparative de solutions.

Voici à quelle question répond chacune de ces solutions :

Gestion unifiée des vulnérabilités : « Quelles sont mes vulnérabilités et où se trouvent-elles ? »

Gestion de l'exposition : « Comment les attaquants peuvent-ils exploiter conjointement les vulnérabilités, les mauvaises configurations et les autorisations, et quels chemins d'attaque ainsi créés représentent la principale exposition pour mon entreprise ? »

Si vous exécutez des charges de travail (workloads) dans le cloud, les outils traditionnels de gestion des vulnérabilités ne vous donneront pas une vue d'ensemble.

Les environnements cloud évoluent rapidement et sont décentralisés. De nouveaux assets, comme les conteneurs, peuvent apparaître et disparaître en quelques minutes, et des vulnérabilités peuvent surgir entre deux scans programmés. 

Pour relever ce défi, de nombreuses entreprises s'appuient sur des solutions cloud spécialisées, telles que la gestion de la posture de sécurité du cloud et les plateformes de protection des applications cloud native qui s'intègrent directement aux fournisseurs cloud via des API. Ces solutions permettent de scanner plus d'environnements cloud en temps réel, et souvent d'avoir une visibilité sur les vulnérabilités, comme celles des conteneurs, avant que vos équipes ne les déploient à grande échelle dans les environnements de production.

La difficulté réside dans le fait que les outils distincts cloisonnent les données vitales sur les vulnérabilités IT, OT et cloud. Le suivi des indicateurs clés de performance (KPI), la gestion des accords de niveau de service (SLA), la conformité et la génération des rapports d'activité sont autant de tâches chronophages et complexes. 

C'est là que la gestion unifiée des vulnérabilités intervient pour vous aider à obtenir une vision plus globale du risque dans les environnements sur site (on-prem) et cloud. 

Au lieu de gérer les vulnérabilités à partir d'outils disparates et de workflows déconnectés, elle rassemble le tout et vous propose une vue complète de vos vulnérabilités.

Pour choisir la bonne solution de gestion unifiée des vulnérabilités, vous devez commencer par vous poser des questions élémentaires concernant vos besoins à plus long terme en matière de cyber-sécurité. 

Tout d'abord, quel est votre objectif principal ? Est-il d'unifier les données de plusieurs fournisseurs afin d'améliorer l'efficacité et l'efficience de votre programme de gestion des vulnérabilités ? Si c'est le cas, la gestion unifiée des vulnérabilités peut être la bonne solution. 

Cependant, si vos besoins vont au-delà de l'unification des données sur les vulnérabilités, vous devriez plutôt vous intéresser aux solutions de gestion de l'exposition et vous poser d'autres questions :

• Avez-vous des angles morts à combler quant à la visibilité de votre surface d'attaque ?
• Cherchez-vous à consolider les outils et les fournisseurs pour réduire les coûts ?
• L'agrégation et la déduplication suffisent-elles à gérer vos volumes croissants de détections ?
• Vos équipes pourraient-elles bénéficier de davantage de contexte, comme la cartographie des chemins d'attaque, afin de comprendre le point de vue des attaquants et l'impact potentiel des expositions sur votre entreprise ?
• Avec quelle efficacité pouvez-vous aujourd'hui quantifier et communiquer la posture de risque et l'exposition aux responsables d'unités opérationnelles et à votre conseil d'administration afin de soutenir les décisions d'investissement ?

Des cabinets tels qu'IDC et Gartner ont réalisé des évaluations détaillées des fournisseurs dans le domaine de la gestion de l'exposition. Par exemple, IDC MarketScape : Worldwide Exposure Management 2025 Vendor Assessment (doc #US52994525, août 2025).

Le guide de l'acheteur de Tenable dédié aux plateformes de gestion de l'exposition propose une comparaison détaillée des fonctionnalités propres à la gestion des vulnérabilités, à la gestion des vulnérabilités basée sur le risque, à la gestion unifiée des vulnérabilités, à la gestion de l'exposition et à d'autres solutions clés.

La gestion unifiée des vulnérabilités (UVM) et la gestion de la surface d'attaque des cyber-assets (CAASM) s'intègrent toutes deux aux outils existants pour vous fournir une visibilité unifiée de vos assets. La gestion unifiée des vulnérabilités est centrée sur la gestion des vulnérabilités : détection, priorisation et aide à la remédiation des vulnérabilités logicielles. 

En revanche, la gestion de la surface d'attaque des cyber-assets se concentre sur la visibilité complète des assets dans tous les environnements (IT, cloud, OT, etc.) pour réduire les angles morts, améliorer la cyber-hygiène et prendre en charge plusieurs cas d'utilisation de sécurité. 

Ces deux segments de marché portent sur l'unification de données cloisonnées provenant d'outils de sécurité disparates. Les deux sont efficaces pour répondre aux cas d'utilisation prévus. 

Cependant, aucun ne permet d'obtenir la même visibilité sur les assets ou le risque que l'autre. Ils ne donnent pas non plus à vos équipes le contexte critique dont elles ont besoin pour dévoiler et éliminer l'exposition de votre entreprise. 

C'est pourquoi les plateformes modernes de gestion de l'exposition qui répondent à ces trois exigences ont tendance à remplacer la gestion unifiée des vulnérabilités et la CAASM.

Tenable est un leader dans le domaine de la gestion des vulnérabilités depuis plus de 20 ans. 

En 2017, Tenable a été le premier à définir une vision visant à aller au-delà de la simple notation et correction de chaque vulnérabilité, pour privilégier une stratégie axée sur une remédiation priorisée des expositions de l'entreprise. 

Tenable a compris très tôt que pour tenir sa promesse en termes de gestion de l'exposition, il était essentiel d'unifier les données sur les assets et les vulnérabilités provenant d'un large éventail d'outils de sécurité (gestion unifiée des vulnérabilités), mais aussi d'ajouter le contexte relationnel critique permettant de distinguer les détections négligeables des expositions ayant un impact majeur sur l'entreprise.

La plateforme de gestion de l'exposition Tenable One intègre des données provenant de diverses sources isolées pour offrir une vue complète et riche en contexte de votre surface d'attaque. Cette vue unifiée met en évidence les connexions techniques que les attaquants exploitent entre les assets, les identités et les risques, ainsi que les relations métier nécessaires au bon fonctionnement de votre entreprise. 

Il devient donc plus facile d'adopter le point de vue d'un attaquant et d'aligner votre personnel et vos investissements afin d'avoir le maximum d'impact sur la posture de risque et les résultats souhaités.

Tenable One vous permet de :

• Découvrir tous les assets et risques dans l'ensemble de vos environnements (IT, cloud, OT, liés aux identités et aux applications).
• Unifier toutes les détections au sein d'une vue complète afin d'éliminer les silos de données.
• Prioriser les corrections à apporter en fonction de l'exploitabilité, de l'impact business et d'autres indicateurs de risque clés.
• Rationaliser les workflows de remédiation en ouvrant des tickets et en assurant le suivi de l'exposition.
• Aligner et quantifier l'exposition de l'entreprise, suivre les indicateurs clés et les accords SLA, et rendre compte des objectifs de conformité.

Les questions les plus fréquentes concernant la gestion unifiée des vulnérabilités portent sur les similitudes et les différences entre celle-ci et la gestion traditionnelle des vulnérabilités. Mais d'autres questions importantes peuvent être évoquées. Peut-être vous les posez-vous aussi :

Quelle est la différence entre gestion des vulnérabilités (VM) et gestion unifiée des vulnérabilités (UVM) ?

Les outils traditionnels de gestion des vulnérabilités découvrent et scannent activement votre environnement pour détecter les vulnérabilités. Ils utilisent une priorisation conforme aux normes de l'industrie, comme le score CVSS, pour classer les vulnérabilités par sévérité en vue de la remédiation. 

Contrairement aux outils de gestion des vulnérabilités, les outils de gestion unifiée des vulnérabilités ne découvrent pas directement les assets ni n'évaluent les environnements à la recherche de vulnérabilités. Leur rôle est de collecter des données sur les assets et les vulnérabilités à partir de tous les outils de gestion des vulnérabilités et autres outils d'évaluation que votre entreprise a déjà déployés dans ses environnements. Ils fournissent ensuite une approche cohérente pour la visualisation de l'inventaire et des CVE, le workflow, les indicateurs et le reporting.

La gestion unifiée des vulnérabilités est-elle identique à la gestion de l'exposition ?

Non La gestion unifiée des vulnérabilités n'est pas identique à la gestion de l'exposition. Les outils de gestion unifiée des vulnérabilités agrègent les données sur les vulnérabilités provenant des outils existants de gestion des vulnérabilités et d'autres outils d'évaluation. Les outils de gestion de l'exposition permettent une découverte directe de la surface d'attaque et une intégration aux outils existants pour obtenir une vue holistique de votre surface d'attaque. Ils détectent et agrègent également d'autres types de données sur le risque en plus des CVE, notamment les mauvaises configurations et les autorisations excessives. 

Les solutions de gestion unifiée des vulnérabilités n'établissent pas de correspondance entre les relations techniques et les relations métier. La gestion de l'exposition fournit ce contexte enrichi pour déterminer les chemins d'attaque menant aux assets les plus précieux, les points d'engorgement et les étapes de remédiation. Par essence, la gestion unifiée des vulnérabilités porte sur la gestion de chaque vulnérabilité existante. La gestion de l'exposition met l'accent non plus sur les détections individuelles, mais sur la compréhension des combinaisons de risques toxiques conduisant à des rôles, des données et des assets critiques pour l'entreprise, qui constituent sa véritable exposition.

Dois-je remplacer mes outils actuels de gestion des vulnérabilités par une solution de gestion de l'exposition ou de gestion unifiée des vulnérabilités ?

Que vous adoptiez une solution de gestion unifiée des vulnérabilités ou une plateforme de gestion de l'exposition, toutes deux s'intègrent à vos outils existants, en complément des outils de gestion des vulnérabilités. Cependant, une solution de gestion unifiée des vulnérabilités ne peut pas remplacer les outils de gestion des vulnérabilités, car elle ne dispose pas de fonctionnalités de découverte et d'évaluation directes. Elle agrège des données provenant d'outils déjà existants. Les plateformes de gestion de l'exposition disposent quant à elles de fonctionnalités de découverte et de surveillance directes, qui soutiennent les initiatives de consolidation visant à remplacer les outils redondants par des fonctions de découverte et de surveillance natives. Elles représentent donc des économies substantielles.

La gestion unifiée des vulnérabilités peut-elle répondre aux exigences de conformité ?

Oui. Les solutions de gestion unifiée des vulnérabilités permettent de regrouper les informations relatives à la gestion des assets et des vulnérabilités de différents outils et de simplifier considérablement la création de rapports d'analyses comparatives et sur les cadres de conformité courants. 

Découvrez comment Tenable One unifie la gestion des vulnérabilités et d'autres silos de sécurité, et facilite la mise en place d'une stratégie holistique de gestion de l'exposition.