Les termes qu'on croise sans toujours les distinguer. Des définitions courtes, directes, pour comprendre le risque et la conformité sans jargon.
Le VOC est le centre de pilotage de la gestion des vulnérabilités d'un système d'information. À l'image d'un SOC pour les incidents ou d'un NOC pour les réseaux, il centralise les signaux, priorise par le risque et pilote la remédiation dans la durée.
En savoir plus ›L'EASM est la découverte et la surveillance continues des actifs d'une organisation exposés sur internet. L'objectif est de connaître et de maîtriser sa surface d'attaque externe, y compris ce qui a été ouvert par erreur.
En savoir plus ›Une CVE est un identifiant unique attribué à une vulnérabilité de sécurité publiquement connue, afin que tous les acteurs parlent de la même faille avec la même référence.
Le CVSS est un score de 0 à 10 qui évalue la gravité technique d'une vulnérabilité. Il ne dit ni si elle est exploitée, ni si elle vous expose réellement, d'où l'intérêt de le croiser avec d'autres signaux.
L'EPSS estime la probabilité qu'une vulnérabilité soit exploitée dans les 30 jours. Il complète le CVSS pour prioriser en fonction du risque réel plutot que de la seule gravité théorique.
Le catalogue KEV recense les vulnérabilités activement exploitées dans la nature. Une CVE présente dans le KEV doit être traitée en priorité absolue.
Le CTEM est une approche continue de gestion de l'exposition aux menaces, promue par Gartner. Le VOC en est la brique opérationnelle : détecter, prioriser, corriger, en boucle.
La gestion des vulnérabilités par le risque réel, qui priorise selon l'exposition, le contexte métier et l'exploitabilité, plutot que selon le seul score CVSS.
Un pentest simule une attaque réaliste sur une application ou une infrastructure pour identifier les vulnérabilités exploitables avant un vrai attaquant. Il se termine par un plan d'actions priorisé, pas une simple liste.
En savoir plus ›Règlement européen imposant aux produits comportant des éléments numériques des exigences de sécurité, dont le signalement des vulnérabilités activement exploitées à partir du 11 septembre 2026.
En savoir plus ›NIS2 étend les obligations de gestion du risque cyber à un large périmètre d'entités essentielles et importantes, dont le traitement des vulnérabilités et la notification des incidents.
En savoir plus ›Article du RGPD imposant des mesures techniques et organisationnelles appropriées, dont une procédure de test régulier de leur efficacité. Le pentest et le VOC en apportent la preuve.
En savoir plus ›Un SOC détecte et traite les incidents de sécurité en temps réel. Il se concentre sur les événements et les attaques en cours, là où le VOC pilote les vulnérabilités en amont.
La correction effective d'une vulnérabilité, ou la réduction de son risque par une mesure de contournement, jusqu'à sa clôture vérifiée. C'est la seule étape qui réduit vraiment le risque.
L'ensemble des points par lesquels un attaquant peut tenter d'entrer : services exposés sur internet, applications, comptes, mais aussi actifs internes et environnements hybrides.
Le développement assisté par intelligence artificielle, rapide et itératif. Il accélère la livraison mais élargit la surface et le risque si le code produit n'est pas audité.
En savoir plus ›