L'écart entre l'état actuel de votre programme de gestion des vulnérabilités et ce qu'il devrait être est rarement une question de ressources. Votre entreprise doit pouvoir identifier les vulnérabilités, confirmer qu'elles sont réelles et les éliminer avant qu'un attaquant agisse. Le modèle de maturité vous indique où votre structure présente des failles et comment y remédier à partir de votre situation actuelle.
Sachez où vous en êtes
Les entreprises qui ont une vision claire de l'état de leur programme de gestion des vulnérabilités progressent plus rapidement, appliquent des mesures correctives plus efficaces et font de meilleurs investissements. Le modèle de maturité en matière d'exposition vous fournit le cadre, les outils de diagnostic et la feuille de route nécessaires pour savoir exactement où vous en êtes, ce qui vous freine et comment progresser.
Remédiation plus rapide, moins de bruit
Les entreprises qui passent du niveau 1 au niveau 2 voient leur temps de remédiation moyen passer de plus de 90 jours à environ 45 jours. Les taux de résultats positifs réels passent de moins de 10 % à 15-25 %. L'équipe de sécurité ne consacre plus la plupart de son temps à des questions qui se révèlent sans incidence.
Investir au bon endroit
Les entreprises qui passent du niveau 2 au niveau 3 voient leur taux de conformité au SLA passer de moins de 40 % à 60-80 % et leur MTTR se réduire à 15-45 jours. Connaître votre niveau de maturité permet de savoir où vos investissements auront un impact et où ils n'en auront pas.
Les jours deviennent des heures
Lorsqu'une nouvelle faille est révélée, les entreprises de niveau 3 mettent plusieurs jours à confirmer la vulnérabilité. Les entreprises de niveau 4 le savent en quelques heures. Le MTTR passe sous la barre des 7 jours, les vulnérabilités critiques étant corrigées dans les 24 heures.
Connaître son niveau de maturité
La plupart des programmes ont un aspect qui prime sur les autres. 7 questions concernant 5 domaines vous permettent de savoir exactement où en est votre programme et quel obstacle opérationnel spécifique le freine. Les résultats sont immédiats et personnalisés.
Quels sont les avantages de cette évolution ?
Niveau
1
Au niveau 1, votre équipe ne prend conscience des vulnérabilités qu'en cas d'incident. Les responsabilités ne sont pas claires, les résultats s'accumulent plus vite qu'il est possible de les valider, et le conseil d'administration reçoit des rapports de conformité au lieu de données de sécurité. En passant au niveau supérieur, vous obtenez pour la première fois une vue d'ensemble structurée.
Niveau
2
Au niveau 2, vous avez une structure, mais pas encore assez de confiance. La couverture s'améliore, mais l'exploitabilité reste supposée, elle n'est pas confirmée. Les tests trimestriels ne suivent pas le rythme des changements quotidiens de l'environnement. L'évolution comble l'écart entre ce qui peut être détecté et ce qui peut être vraiment fait.
Niveau
3
Au niveau 3, les résultats sont validés avant d'être transmis à votre équipe. Les derniers obstacles restent la rapidité et le volume : relier des vulnérabilités isolées pour former des scénarios d'attaque nécessite encore un travail manuel. Pour évoluer, votre programme doit permettre d'exploiter les vulnérabilités en quelques heures, et non en plusieurs jours.
Niveau
4
Au niveau 4, les obstacles structurels de tous les niveaux précédents sont levés. L'identification est continue, la validation est autonome et la direction dispose en temps réel des données sur la sécurité. La question n'est plus de savoir à quoi nous sommes exposés, mais à quelle vitesse nous pouvons y remédier.
Étude de cas
Damen Shipyards Group
Sécuriser sa surface d'attaque en expansion grâce à une validation continue
%201.png)
%201.png)
