Gestion des vulnérabilités : méthodes, outils et intégration dans la stratégie SSI
Formation créée le 23/05/2025.
Version du programme : 1
Version du programme : 1
Type de formation
Formation présentielleDurée de formation
21 heures (3 jours)Accessibilité
OuiGestion des vulnérabilités : méthodes, outils et intégration dans la stratégie SSI
Objectif de la formation : Maîtriser l’ensemble du cycle de gestion des vulnérabilités : détection, analyse, priorisation, traitement et suivi, dans une approche alignée avec les enjeux métiers, la gouvernance SSI, et les bonnes pratiques techniques.
Objectifs de la formation
- Comprendre les concepts clés de la gestion des vulnérabilités dans un système d’information
- Identifier et analyser les vulnérabilités avec des outils professionnels
- Prioriser les actions de traitement selon les risques et les contextes
- Intégrer la gestion des vulnérabilités dans une démarche de gouvernance SSI
Profil des bénéficiaires
Pour qui
- Analystes sécurité, administrateurs réseaux / systèmes
- Responsables SSI ou infrastructure
- Auditeurs techniques, consultants cybersécurité
- Chefs de projet IT sécurité
Prérequis
- Connaissances de base en systèmes d’information et réseaux
- Sensibilisation aux concepts de la cybersécurité (ISO 27001 ou EBIOS souhaité)
Contenu de la formation
Introduction et enjeux (1h30)
- Définitions : vulnérabilité, menace, risque
- Exemples concrets d’incidents dus à des vulnérabilités non corrigées
- Typologie : logicielle, matérielle, humaine, organisationnelle
Processus global de gestion des vulnérabilités (2h30)
- Modèle ISO 27002 et intégration au SMSI
- Cycle : détection, analyse, priorité, remédiation, validation, reporting
- Rôles et responsabilités (DSI, RSSI, IT, métiers)
- Activité : cartographie d’un processus complet à partir d’un cas réel
Sources d’information et veille (3h)
- CVE, CVSS, EPSS, NVD, exploit-db, bulletins CERT
- Outils de veille : Nist NVD, Vulners, Threat Intel feeds
- Activité : analyse d’un bulletin de vulnérabilité (CVSS vector, gravite EPSS, mapping MITRE)
Outils de scan de vulnérabilités (2h30)
- Nessus, OpenVAS, Qualys, Nexpose : principe, mise en œuvre, limites
- Analyse des résultats : faux positifs / négatifs, criticité, écarts
- Activité : scan d’une cible en environnement test avec interprétation
Analyse de vulnérabilités applicatives et infrastructure (2h)
- Vulnérabilités OWASP (XSS, SQLi, CSRF...) et système (SMBv1, RDP...)
- Liens avec le pentest et les audits de conformité
- Activité : analyse de vulnérabilités d’une application web démo
Automatisation et intégration continue (2h30)
- CI/CD : scan dans GitLab, Jenkins, SonarQube, Trivy
- Reporting vers ITSM, SIEM, tableaux de bord
- Atelier : déploiement d’un pipeline de détection automatique
Priorisation et traitement (2h)
- Notions de criticité, impact, exploitabilité, contexte
- Plans de traitement : correctif, mitigation, acceptation du risque
- Activité : triage de vulnérabilités selon score et contexte organisationnel
Suivi, pilotage et indicateurs (2h30)
- KPI, KRI, SLA de correction, backlog, debt technique
- Gouvernance de la remédiation : comités, arbitrage, réévaluation
- Activité : construction d’un tableau de bord de pilotage pour RSSI
Conformité et communication (2h30)
- Conformité aux référentiels : ISO 27001, NIS2, PCI-DSS
- Rapports aux directions, audits internes, métiers
- Activité : simulation d’une restitution SSI vers un comité de direction
Équipe pédagogique
Professionnel expert technique et pédagogique.
Accessibilité
26 au 28 novembre 2025