← Études de cas / Vulnerability Operations Center · étude 01
Étude 01 · Vulnerability Operations Center
Un moteur de scoring de risque qui vit avec le SI
Une plateforme de gestion des vulnérabilités où le score de risque n’est plus une note de CVE figée. Il croise la criticité réelle des actifs, leur exposition et la menace effective (EPSS, CISA KEV), puis se recalcule dès que le SI bouge. Concevoir la priorisation, puis la tenir à jour toute seule.
01Le problème
Le problème est connu : les scanners notent hors contexte. Un CVSS 9 sur un actif marginal sort avant un 7 au cœur du SI, et tout le monde court après la mauvaise alerte. La priorisation se grippe, et l’infra sans agent reste un angle mort que personne ne regarde.
↳Couvrir tout le SI, y compris l’infrastructure sans agent.
↳Garder le référentiel de criticité indépendant des couches de scoring.
↳Pondérer par la menace réelle · exploitabilité (EPSS) et exploitation active connue (CISA KEV) · pas seulement le CVSS.
↳Contextualiser chaque vulnérabilité dans le SI : un même CVE ne pèse pas pareil selon l’actif et son exposition.
↳Évaluer la criticité d’un actif avec des modèles qui collent au contexte de l’entreprise, à ses priorités et à la conception de l’architecture SI. Une formule unique ne tient jamais sur deux SI différents.
02Le modèle
Agrégation de signaux · architecture événementielle
Ingestion · scans & inventaireevents
│
Moteur de scoring · Pythoncompute
Signaux agrégés : criticité actif · exposition · EPSS · CISA KEV · contexte SI
→ score de risque contextualisé
742
/900
│
Référentiel de criticité · découplé
Modèles enfichables, adaptés au contexte de l’entreprise.
│
Priorisation & remédiationconsole de risque
03L'exécution
Architecture
Monorepo hexagonal, architecture événementielle. Le calcul réagit aux changements d’actifs et de vulnérabilités au lieu de tourner en batch aveugle qui découvre tout avec un jour de retard.
Référentiel de criticité
Plusieurs modèles d’évaluation enfichables : la criticité d’un actif dépend du contexte de l’entreprise, de ses priorités métier et de la conception de son architecture SI. Le référentiel reste la source de vérité, indépendante des scores.
Moteur
Cœur de scoring en Python qui agrège plusieurs signaux, isolé derrière des ports applicatifs. Je peux faire évoluer le modèle sans rien casser autour.
Sources de menace
Intégration des flux EPSS et CISA KEV pour passer d’une note statique de CVE à une probabilité d’exploitation réelle, recroisée avec la criticité de l’actif touché.
Données
Schéma structuré séparant le référentiel de criticité des résultats de scan et des signaux de menace, pour ajouter une couche de score sans réécrire la criticité.