Technique Mars 2025

Scanner de vulnérabilités vs EDR : au-delà de l'outil, un programme

Approche stratégique pour détecter les chemins de compromission et gérer les vulnérabilités efficacement

Le faux débat : scanner ou EDR ?

Faut-il utiliser un scanner de vulnérabilités traditionnel ou s'appuyer sur les capacités de gestion des vulnérabilités intégrées dans un EDR ? Cette question, posée de manière binaire, est en réalité un piège.

La vraie question n'est pas "quel outil ?" mais "quel programme mettre en œuvre ?"

Les scanners et les EDR ont des forces complémentaires. L'enjeu est de construire une stratégie cohérente qui exploite chacun au mieux de ses capacités, dans le cadre d'un programme global de gestion des vulnérabilités orienté vers un objectif précis : identifier et bloquer les chemins de compromission.

Scanner de vulnérabilités : une approche zone par zone

Pourquoi scanner zone par zone ?

La méthode que je préconise consiste à déployer des scanners de vulnérabilités zone réseau par zone réseau, avec un objectif clair : cartographier les chemins de compromission possibles.

Les avantages de l'approche zone par zone

  • Visibilité réseau complète : scan actif de tous les assets, y compris ceux sans agent
  • Analyse des flux : compréhension des communications inter-zones
  • Détection des chemins de compromission : identification des pivots et rebonds possibles
  • Priorisation contextuelle : vulnérabilités évaluées selon leur position dans le réseau
  • Couverture legacy : systèmes industriels, IoT, équipements qui ne supportent pas d'agent

Méthodologie de déploiement

Le déploiement zone par zone n'est pas qu'une question de technique, c'est une démarche structurée :

  1. Segmentation logique : Identifier les zones réseau (DMZ, production, bureautique, industriel, cloud...)
  2. Priorisation : Commencer par les zones exposées (Internet-facing, DMZ) et critiques (production, données sensibles)
  3. Scan progressif : Déployer zone après zone pour éviter l'effet "big bang" et affiner la méthode
  4. Analyse des pivots : Pour chaque zone, identifier les assets qui permettent de rebondir vers d'autres zones
  5. Cartographie des chemins : Reconstituer les chemins d'attaque possibles depuis l'extérieur vers les assets critiques

Cette approche permet de répondre à une question stratégique : "Par où un attaquant pourrait-il passer pour atteindre mes assets critiques ?"

EDR : la vision endpoint enrichie

Forces de l'EDR en gestion des vulnérabilités

Les EDR modernes intègrent de plus en plus de capacités de gestion des vulnérabilités. Leurs atouts :

  • Visibilité en temps réel : inventaire permanent des endpoints et de leurs logiciels
  • Pas d'impact réseau : pas de scan actif, donc pas de perturbation
  • Corrélation comportementale : croisement des vulnérabilités avec les comportements suspects
  • Déploiement rapide : agent déjà présent, pas de nouvelle infrastructure
  • Priorisation dynamique : focus sur les vulnérabilités exploitées in the wild

Limites de l'EDR seul

Mais l'EDR a aussi des angles morts :

  • Couverture limitée : uniquement les assets avec agent (pas de serveurs legacy, IoT, équipements réseau)
  • Pas de vision réseau : ne voit pas les flux, les pivots possibles, la segmentation
  • Dépendance éditeur : qualité variable de la détection des vulnérabilités selon les vendors
  • Pas de scan actif : ne détecte que ce qui est installé, pas les services exposés

ASM/EASM : la couche manquante

Attack Surface Management (ASM) et External ASM (EASM)

L'ASM et l'EASM sont des briques essentielles pour compléter l'EDR et les scanners internes. Leur rôle : découvrir ce que vous ne savez pas que vous avez.

Ce que l'ASM/EASM apporte

  • Découverte externe : assets exposés sur Internet que vous avez oubliés (shadow IT, acquisitions, filiales)
  • Vision attaquant : ce qu'un attaquant voit depuis l'extérieur
  • Chemins de compromission externes : services vulnérables exposés, certificats expirés, fuites de credentials
  • Suivi de la dérive : détection de nouveaux assets exposés (développeurs qui ouvrent un port, nouveau cloud...)
  • Corrélation interne/externe : lien entre vulnérabilités externes et chemins d'attaque internes

Intégration avec l'EDR

Certains EDR intègrent désormais des modules ASM/EASM. C'est une excellente chose, car cela permet de :

  • Centraliser la vue des vulnérabilités (externes et internes)
  • Corréler un asset externe vulnérable avec les endpoints internes connectés
  • Prioriser en fonction du chemin de compromission complet (externe → interne)
  • Détecter les shadow IT et les relier aux endpoints connus

Mais attention : l'ASM/EASM n'est efficace que si vous savez quoi en faire. Découvrir 1000 assets externes sans plan de remédiation, c'est juste ajouter de l'anxiété.

Au-delà des outils : construire un programme

Pas une solution, un programme global

Voici la vérité que les éditeurs n'aiment pas : aucun outil ne résout le problème de la gestion des vulnérabilités à lui seul.

Il faut construire un programme de gestion des vulnérabilités qui intègre :

Les 6 piliers du programme de gestion des vulnérabilités

1. Découverte multi-sources

  • Scanner zone par zone pour la cartographie réseau
  • EDR pour la visibilité endpoint en temps réel
  • ASM/EASM pour la surface d'attaque externe
  • Inventaire CMDB pour la vérité terrain métier

2. Analyse des chemins de compromission

  • Cartographie des zones réseau et des flux autorisés
  • Identification des assets pivots (ceux qui permettent de rebondir)
  • Reconstitution des chemins d'attaque depuis l'externe vers les assets critiques
  • Priorisation des vulnérabilités selon leur position dans ces chemins

3. Priorisation intelligente

  • Pas de priorisation uniquement par CVSS (trop simpliste)
  • Prise en compte du contexte : exposition, exploitabilité, criticité de l'asset
  • Exploitation de l'IA pour corréler threat intelligence, exploits in the wild, et inventaire
  • Focus sur les vulnérabilités qui ouvrent un chemin de compromission

4. Remédiation ou workaround

  • Patch management structuré (test, déploiement, validation)
  • Workarounds quand le patch n'est pas possible (segmentation, WAF, désactivation de service)
  • Suivi des remédiations avec métriques (SLA, taux de couverture, délai moyen)
  • Escalade quand les délais ne sont pas tenus

5. Organisation et processus

  • Équipe dédiée à la gestion des vulnérabilités (ne pas laisser ça "à tout le monde")
  • Workflows clairs : détection → analyse → priorisation → remédiation → validation
  • Intégration avec le change management pour les patchs critiques
  • Communication régulière avec le COMEX sur l'exposition aux risques

6. Amélioration continue

  • Métriques de performance (temps de détection, temps de remédiation, couverture)
  • Revue régulière des chemins de compromission (ils évoluent avec le SI)
  • Retour d'expérience post-incident (quelles vulnérabilités ont été exploitées ?)
  • Veille sur les nouvelles techniques d'attaque et adaptation du programme

Approche pratique : par où commencer ?

Phase 1 : Poser les fondations (mois 1-3)

  1. Inventaire de l'existant : Quels outils avez-vous déjà ? EDR ? Scanner ? ASM ?
  2. Cartographie réseau : Identifier les zones, les flux, les assets critiques
  3. Définir les priorités : Quelles zones scanner en premier ? Quels assets protéger absolument ?
  4. Structurer l'équipe : Qui fait quoi ? Qui priorise ? Qui remède ?

Phase 2 : Déploiement progressif (mois 4-9)

  1. Déployer l'EDR : Si pas déjà fait, c'est la priorité absolue (détection + vulnérabilités)
  2. Scanner la première zone : Commencer par la DMZ ou la zone la plus exposée
  3. Activer l'ASM/EASM : Découvrir la surface d'attaque externe
  4. Corréler les sources : Croiser EDR, scanner, ASM pour avoir une vue unifiée
  5. Prioriser les quick wins : Vulnérabilités critiques facilement corrigeables

Phase 3 : Analyse des chemins (mois 10-12)

  1. Cartographier les chemins de compromission : De l'externe vers les assets critiques
  2. Identifier les pivots : Assets qui permettent de rebondir entre zones
  3. Prioriser selon les chemins : Vulnérabilité sur un pivot = priorité haute
  4. Mettre en place des workarounds : Segmentation, micro-segmentation, WAF...

Phase 4 : Industrialisation (année 2)

  1. Scanner toutes les zones : Couverture complète du SI
  2. Automatiser la priorisation : Utiliser l'IA pour corréler et prioriser à grande échelle
  3. Intégrer au SOC : Maintenant que vous avez la visibilité, le SOC peut contextualiser ses alertes
  4. Mesurer et optimiser : Métriques, dashboards COMEX, amélioration continue

L'IA : accélérateur de priorisation

Comment l'IA aide concrètement

Avec des milliers de vulnérabilités détectées, la priorisation manuelle est impossible. L'IA permet de :

  • Corréler massivement : Croiser inventaire, threat intelligence, exploits connus, position réseau
  • Prédire l'exploitabilité : Pas seulement le CVSS, mais la probabilité réelle d'exploitation
  • Identifier les chemins critiques : Vulnérabilités qui, combinées, ouvrent un chemin de compromission
  • Suggérer des workarounds : Quand le patch n'est pas possible, l'IA peut suggérer des compensations
  • Automatiser les tickets : Génération automatique des demandes de remédiation avec contexte

Attention aux pièges de l'IA

  • L'IA ne remplace pas la connaissance métier (elle ne sait pas qu'un serveur est critique)
  • Elle ne résout pas le problème organisationnel (qui remède ? avec quel SLA ?)
  • Elle peut créer une dépendance à un éditeur spécifique
  • Elle nécessite des données de qualité (garbage in, garbage out)

L'IA est un multiplicateur d'efficacité, pas une solution miracle. Elle amplifie un bon programme, mais ne sauve pas un mauvais.

Conclusion : l'approche programme avant tout

Scanner de vulnérabilités ou EDR ? La réponse est : les deux, orchestrés dans un programme cohérent.

La recette du succès

  • Scanner zone par zone pour cartographier les chemins de compromission
  • EDR sur tous les endpoints pour la visibilité en temps réel
  • ASM/EASM pour la surface d'attaque externe
  • IA pour prioriser à grande échelle
  • Organisation structurée pour remédier efficacement
  • Métriques et amélioration continue pour mesurer les progrès

Ce n'est pas un projet de 3 mois. C'est un programme permanent, car votre SI évolue, les attaquants évoluent, les vulnérabilités apparaissent chaque jour.

Mais c'est le seul moyen de passer d'une gestion réactive et anxiogène des vulnérabilités à une gestion proactive et maîtrisée des risques.

L'outil n'est qu'un moyen. Le programme est la fin.

Clément GUIRIEC

Clément GUIRIEC

Associé chez Intrinsec, spécialiste SecOps. Fondateur du SOC, de la CTI et du CERT d'Intrinsec.

LinkedIn → X →
← Retour au blog