VMDR : Guide Complet pour les Entreprises Françaises

1. Qu'est-ce que le VMDR ?

Le VMDR (Vulnerability Management, Detection and Response) représente une évolution majeure par rapport à la gestion traditionnelle des vulnérabilités. Là où les approches classiques se limitaient à des scans périodiques et des rapports statiques, le VMDR introduit une vision continue, contextuelle et orientée action de la sécurité.

1.1 Les quatre ruptures du VMDR moderne

Le VMDR se distingue du vulnerability management traditionnel par quatre transformations fondamentales qui redéfinissent l'approche de la gestion des risques cyber.

1.2 Les composants clés d'une plateforme VMDR

Une solution VMDR complète s'articule autour de quatre piliers technologiques qui couvrent l'ensemble du cycle de vie des vulnérabilités.

La découverte constitue le socle : inventaire complet de tous les assets, incluant le shadow IT, les environnements cloud et les systèmes OT. Les solutions leaders supportent plus de 85 000 signatures CVE et détectent les assets en quelques minutes après leur connexion au réseau.

L'évaluation passe au mode continu avec des scans authenticated et agentless, une corrélation avec les bases de vulnérabilités (NVD, vendor advisories) et l'enrichissement par threat intelligence.

La priorisation risk-based intègre désormais l'EPSS (Exploit Prediction Scoring System), le catalogue CISA KEV des vulnérabilités activement exploitées, et le contexte métier de chaque asset pour déterminer l'ordre de traitement.

La remédiation automatisée permet le déploiement de patchs, la génération automatique de tickets et le suivi des SLA avec reporting exécutif quantifiant la réduction du risque.

2. L'explosion des vulnérabilités en chiffres

L'année 2024 marque un record historique dans la publication de vulnérabilités, créant une pression sans précédent sur les équipes de sécurité françaises. Comprendre ces chiffres est essentiel pour dimensionner correctement votre programme VMDR.

2.1 Un tsunami de CVE

Avec 40 009 CVE publiées en 2024, soit une augmentation de 38,83% par rapport à 2023, les organisations font face à une moyenne de 108 nouvelles vulnérabilités par jour. Le mois de mai 2024 a établi un pic avec 5 010 CVE, représentant 12,5% du total annuel.

Cette croissance s'explique par l'augmentation des CNAs (CVE Numbering Authorities) autorisés — 433 en 2024 — et par l'expansion continue de la surface d'attaque des organisations modernes.

2.2 Les vulnérabilités qui comptent vraiment

Le catalogue CISA KEV (Known Exploited Vulnerabilities) comptait 1 486 entrées en janvier 2026, avec 245 ajouts en 2025 — une hausse de 30% par rapport à la tendance précédente. Ces vulnérabilités méritent une attention prioritaire car elles sont activement exploitées par les attaquants.

Google GTIG a documenté 75 zero-days exploités en 2024, dont 44% ciblant des produits enterprise — particulièrement les VPN et firewalls (Ivanti, Palo Alto, Cisco). Ces chiffres confirment que les attaquants ciblent en priorité les équipements de sécurité périmétrique.

2.3 Le problème du MTTR en France

Le MTTR (Mean Time To Remediate) moyen oscille entre 60 et 150 jours selon les études, avec 65 jours pour les vulnérabilités critiques. Il faut 55 jours pour patcher seulement 50% des vulnérabilités critiques après disponibilité du correctif.

Plus alarmant encore : 45,4% des vulnérabilités restent non résolues après 12 mois dans les grandes entreprises. Et 26% des organisations demeurent vulnérables à WannaCry — une vulnérabilité datant de 2017. Ces chiffres démontrent l'urgence d'automatiser et d'accélérer les processus de remédiation.

3. Cadre réglementaire français : NIS2, DORA, ANSSI

Le paysage réglementaire français et européen impose désormais des obligations précises en matière de gestion des vulnérabilités. La non-conformité expose les organisations à des sanctions significatives.

3.1 La directive NIS2 : 15 000 entités concernées

La directive NIS2 impose aux entités essentielles et importantes un traitement formel des vulnérabilités (Article 21(2)(e)), incluant la divulgation coordonnée et le déploiement rapide des correctifs.

La France accuse un retard de transposition : le projet de loi a été voté au Sénat le 12 mars 2025, et la Commission européenne a envoyé un avis motivé le 7 mai 2025. L'application complète est attendue fin 2025, impactant 15 000 à 18 000 entités françaises.

3.2 DORA : le secteur financier sous haute surveillance

Le règlement DORA, applicable depuis le 17 janvier 2025, impose au secteur financier des exigences renforcées en matière de résilience numérique.

Les entités financières doivent désormais réaliser des évaluations de vulnérabilités régulières, des tests d'intrusion basés sur les menaces (TLPT) tous les trois ans, et maintenir une surveillance continue des systèmes TIC. La notification des incidents suit un calendrier strict : alerte sous 24h, notification détaillée sous 72h, rapport final sous 1 mois.

3.3 Le Cyber Resilience Act : impact sur les éditeurs

Le Cyber Resilience Act européen, applicable progressivement de 2026 à 2027, obligera les fabricants de produits numériques à gérer les vulnérabilités pendant minimum 5 ans, avec notification à l'ENISA sous 24h pour les vulnérabilités activement exploitées.

Cette réglementation aura un impact direct sur les programmes VMDR des entreprises françaises, qui devront intégrer les notifications des éditeurs dans leurs processus de priorisation.

4. Les 5 défis majeurs des entreprises françaises

L'implémentation d'un programme VMDR efficace se heurte à des obstacles spécifiques au contexte français. Identifier ces défis est la première étape pour les surmonter.

4.1 Le shadow IT mine la visibilité

Selon les études, 97% des applications cloud ne sont pas validées par la DSI, et plus de 30% des assets sont inconnus des programmes de gestion des vulnérabilités. Le BYOD et le télétravail ont amplifié ce phénomène (+59% depuis 2020).

10% des cyberincidents sont directement causés par le shadow IT. L'émergence du "shadow AI" — adoption non contrôlée des plateformes d'IA générative — constitue un nouveau front que les RSSI doivent adresser.

4.2 La dette technique paralyse les remédiations

Les systèmes OT/industriels fonctionnent souvent sur des OS obsolètes (Windows XP encore présent), impossibles à patcher sans arrêt de production. Les protocoles non chiffrés (Modbus, DNP3) et les firmwares jamais mis à jour créent des vulnérabilités persistantes.

Plus d'un quart des cyberattaques mondiales en 2023 ont ciblé le secteur industriel, exploitant précisément cette dette technique accumulée.

4.3 Des budgets sous-dimensionnés

Si 48% des entreprises CESIN allouent plus de 5% du budget IT à la cybersécurité, 60% des entreprises françaises (essentiellement TPE/PME) dépensent moins de 1 000€/an. Ce sous-investissement chronique expose les organisations à des risques majeurs.

Le coût moyen d'une cyberattaque atteint 3,3M$ pour une fuite de données, et 60% des PME ferment dans les 18 mois suivant une attaque majeure. L'investissement en VMDR doit être vu comme une assurance, pas comme un coût.

4.4 Les silos organisationnels

72% des organisations ont des données IT et sécurité cloisonnées, créant des frictions sur les responsabilités de patching. L'IT priorise l'uptime, la sécurité minimise le risque — ce désalignement explique pourquoi 63% des organisations rapportent que les silos ralentissent leurs temps de réponse.

La création d'une gouvernance partagée entre IT et sécurité, avec des KPIs communs et des responsabilités clairement définies, est un prérequis au succès d'un programme VMDR.

5. Implémenter un programme VMDR en 5 phases

Un programme VMDR mature s'articule en cinq phases distinctes qui couvrent l'ensemble du cycle de vie des vulnérabilités, de la découverte à la vérification.

5.1 Phase 1 : Découverte des assets

La découverte mobilise les technologies EASM (External Attack Surface Management) et CAASM (Cyber Asset Attack Surface Management) pour cartographier l'ensemble des assets — y compris le shadow IT — avant les attaquants.

Cette phase doit couvrir l'IT traditionnel (serveurs, postes, réseau), le cloud (IaaS, PaaS, SaaS), l'OT/IoT, les identités et les assets externes exposés sur Internet. L'objectif est d'atteindre 100% de couverture des assets critiques.

5.2 Phase 2 : Évaluation continue

L'évaluation passe au mode continu avec des agents déployés sur chaque endpoint et des scans réseau réguliers. Les solutions leaders supportent plus de 85 000 signatures CVE et détectent les nouvelles vulnérabilités en quelques heures après publication.

L'enrichissement par threat intelligence permet de contextualiser chaque vulnérabilité : est-elle exploitée dans la nature ? Existe-t-il un exploit public ? Quel est le délai moyen d'exploitation ?

5.3 Phase 3 : Priorisation intelligente

La priorisation abandonne le CVSS seul au profit d'une approche multi-critères. Une stratégie basée sur l'EPSS ≥10% permet de couvrir 63,2% des vulnérabilités exploitées avec seulement 2,7% de l'effort d'une approche CVSS ≥7.

5.4 Phase 4 : Remédiation automatisée

La remédiation intègre l'auto-assignment des tickets (96% de précision) et le patching automatisé pour les systèmes non critiques. L'intégration avec les outils ITSM (ServiceNow, Jira) permet un suivi complet du cycle de remédiation.

Les SLA recommandés : 24-48h pour les vulnérabilités critiques, 7-14 jours pour les hautes, 30 jours pour les moyennes. Ces objectifs doivent être mesurés et reportés régulièrement.

5.5 Phase 5 : Vérification et reporting

La vérification confirme l'efficacité des correctifs déployés et génère le reporting exécutif démontrant la réduction du risque. Les métriques essentielles incluent le MTTR par criticité, le taux de couverture des assets, la conformité SLA et le score de risque global.

Les tableaux de bord doivent permettre aux RSSI de quantifier la réduction du risque en termes financiers, facilitant les discussions budgétaires avec la direction.

6. Solutions du marché et enjeu de souveraineté

Le marché VMDR est dominé par des acteurs américains, posant la question de la souveraineté pour les organisations françaises soumises à des contraintes réglementaires.

6.1 Les leaders du marché mondial

Tenable est positionné leader du Gartner Magic Quadrant Exposure Assessment Platforms 2025, avec 44 000 clients mondiaux et le meilleur score "Ability to Execute". La plateforme Tenable One unifie VMDR, EASM, identités et cloud security.

Qualys VMDR 2.0 se distingue par TruRisk (quantification du risque), un patching 60% plus rapide, et une intégration ServiceNow native gratuite pour les clients. La couverture de 85 000+ CVE et l'architecture cloud-native en font un choix solide pour les grandes organisations.

CrowdStrike Falcon Exposure Management offre une priorisation ExPRT.AI et l'unification avec l'EDR sur un agent unique — un avantage majeur pour les organisations déjà clientes CrowdStrike.

Rapid7 InsightVM propose un excellent rapport qualité-prix avec Attack Path Analysis et une interface particulièrement intuitive. L'étude Forrester documente un ROI de 342% sur 3 ans.

6.2 L'enjeu de la souveraineté française

Il n'existe pas de solution VMDR complète souveraine française équivalente aux leaders américains. L'écosystème français propose cependant des briques complémentaires de qualité.

La recommandation pour une approche souveraine : combiner une solution VMDR internationale avec des briques françaises pour la détection et la conformité. L'initiative Cyber Panorama (CESIN + Hexatrust) cartographie plus de 300 solutions françaises.

7. Tendances 2026 : IA, cloud et convergence EASM

Le VMDR évolue rapidement sous l'effet de trois forces majeures : l'adoption massive du cloud, la conteneurisation des applications et l'intelligence artificielle.

7.1 Convergence VMDR + CSPM pour le cloud

La convergence VMDR + CSPM (Cloud Security Posture Management) devient le standard pour les environnements multi-cloud. 99% des brèches cloud étant dues à des misconfigurations, l'intégration du CSPM est indispensable.

Wiz, Prisma Cloud et les solutions natives AWS/Azure/GCP offrent du scanning agentless avec priorisation contextuelle. Les organisations doivent unifier leur vue des vulnérabilités on-premise et cloud.

7.2 Sécurité des containers et Kubernetes

La sécurité des containers impose un scanning du cycle complet : Build → Registry → Deploy → Runtime. 37% des organisations ont subi des pertes dues à des incidents Kubernetes.

Aqua Security, Sysdig et Prisma Cloud dominent ce segment, tandis que Trivy (open-source) gagne en popularité pour le scanning CI/CD. L'intégration avec les pipelines DevOps est désormais un critère de choix majeur.

7.3 Convergence VMDR + EASM

La convergence VMDR + EASM adresse les 30% d'assets externes inconnus des programmes traditionnels. L'exploitation de vulnérabilités externes représente désormais 20% des vecteurs d'accès initial (+5%).

Les organisations utilisant l'ASM ont réduit leurs coûts de brèche de $160 547 en moyenne (IBM 2025). XM Cyber connecte EASM à l'attack path analysis pour visualiser les chemins d'attaque complets de l'externe vers les assets critiques.

7.4 L'IA transforme la priorisation

L'EPSS v4 (mars 2025) prédit la probabilité d'exploitation à 30 jours avec une efficience de 65% vs 4% pour CVSS seul. Cette amélioration spectaculaire permet de concentrer les efforts sur les vulnérabilités réellement dangereuses.

Les copilotes IA compriment le temps analyste pour le triage et génèrent des recommandations contextualisées. Les entreprises utilisant Security AI économisent $2,22M par brèche évitée — un argument financier imparable.