Selon le baromètre de la cybersécurité des entreprises publié par le CESIN en Janvier 2025, 55 % des RSSI et DSI ont déjà mis en place un Vulnerability Operations Center (VOC) ou envisagent de le faire à court terme.
Une tendance en hausse de 9 points depuis l’année précédente et qui s’explique par la difficulté pour les équipes en charge de la cybersécurité à identifier, classer et corriger les vulnérabilités.
Il est ainsi fréquent d’observer de nombreuses failles aux risques mal évalués qui fragilisent la sécurité informatique des entreprises.
Pour répondre à ces enjeux, le VOC d’Evicys apporte des fonctionnalités de centralisation et d’automatisation qui simplifient la gestion de vulnérabilités.
Qu’est-ce qu’un Vulnerability Operations Center ? Quels sont ses avantages et ses limites ?
Explications dans cet article.
Qu’est-ce qu’un vulnerability operation center ?
Le vulnerabitliy operations center ou centre de gestion des vulnérabilités est une solution de prévention et de recherche active des cybermenaces pilotée par des experts en Cybersécurité, comme Evicys. Le rôle d’un VOC est d’identifier et de corriger les vulnérabilités présentes sur vos infrastructures, vos serveurs, vos postes de travail, avant qu’elles ne soient exploitées par un individu malveillant.
À l’image d’un audit de cybersécurité, le VOC vise à réduire le risque de cybermalveillance en agissant de manière proactive, bien en amont d’une attaque. Mais, contrairement aux tests d’intrusion ponctuels, le VOC propose une analyse en continu et est pleinement intégré à votre stratégie de cybersécurité.
En un coup d’œil, le VOC vous offre une vision claire des menaces informatiques qui pèsent sur votre entreprise et vous permet d’anticiper sereinement les actions de remédiation.
Pourquoi l’utilisation d’un VOC est aujourd’hui nécessaire ?
Au quotidien, les équipes informatiques n’ont pas le temps de trier les alertes de sécurité, d’éliminer le bruit, les faux positifs et d’appliquer les correctifs requis pour contrer les vraies menaces.
Des scores standardisés, tels que le CVSS ou l’EPSS, sont utilisés pour estimer la gravité d’une vulnérabilité et sa probabilité d’exploitation. Ils restent toutefois des indicateurs génériques.
Or, le risque en matière de cybersécurité ne se mesure pas uniquement à partir d’un score. Il dépend du contexte de votre entreprise comme de son exposition publique sur internet.
Une vulnérabilité peut être critique pour une entreprise et marginale pour une autre, cela dépend de la criticité de l’actif et de son intégration dans le système d’information.
Sans contextualisation, vos équipes informatiques se retrouvent face à des listes de failles difficiles à exploiter. Le VOC répond à cette problématique en apportant une lecture opérationnelle du risque.
Il permet ainsi de :
- disposer d’une vision globale et centralisée des vulnérabilités,
- faciliter la prise de décision pour les dirigeants et les DSI,
- prioriser les actions en fonction des enjeux métiers,
- coordonner efficacement les corrections,
- rester à jour face à l’évolution des menaces.
En structurant la gestion des vulnérabilités dans la durée, le VOC contribue à renforcer votre posture de cybersécurité tout en préservant la continuité de vos opérations.
Ne pas confondre VOC et SOC.
Les notions de VOC (Vulnerability Operations Center) et de SOC (Security Operations Center) sont parfois confondues, et pour cause : leurs objectifs sont complémentaires (détection et remédiation), leurs structures similaires (des outils managés par une équipe d’experts), mais les techniques utilisées sont pourtant très différentes.
Le VOC est le pendant offensif du SOC (Security Operations Center). Il agit bien en amont des attaques et reprend certaines méthodes utilisées par les Red Teams (les équipes chargées des tests d’intrusion et auditeurs de cybersécurité), afin de réduire durablement votre surface d’attaque.
Le SOC quant à lui a pour mission de détecter tout événement sur le système d’information qui pourrait paraître anormal. Le SOC identifie, analyse, bloque et remédie à l’événement de cybersécurité.
Si le coût d’un SOC est significatif (plusieurs dizaines à centaines de milliers d’euros à l’année), celui d’un VOC reste abordable pour tous types d’entreprises.
Comment intégrer le VOC à votre stratégie de cybersécurité ?
Comme le rappelle l’adage “ce qui se conçoit bien s’énonce clairement”. Que ce soit pour une PME ou un grand groupe, la stratégie de cybersécurité doit reposer sur un cadre de gouvernance clair.
Pour déployer un VOC, nous recommandons de définir clairement les responsabilités et les circuits de décision entre les équipes techniques, métiers et la direction. Le modèle d’organisation RACI (Responsable, Approbateur, Consulté, Informé) permet de gagner en efficacité en cas de crise ou d’incident, d’éviter les erreurs dans le traitement des vulnérabilités et d’éviter les impacts négatifs d’une intervention mal préparée sur les opérations de l’entreprise.
Il est ensuite nécessaire de formaliser le workflow, ou cycle de traitement des vulnérabilités. Il précise comment les vulnérabilités sont identifiées, évaluées et traitées, ainsi que les conditions dans lesquelles une correction est appliquée, reportée ou acceptée.
Le workflow permet à la fois d’assurer une continuité dans le traitement et de conserver une trace des arbitrages réalisés.
Pour piloter, nous recommandons la mise en place d’indicateurs, tableaux de bord et outils de reporting. Des indicateurs lisibles et directement exploitables pour orienter les décisions. Les tableaux de bord sont déclinés selon les usages tels que le suivi opérationnel pour les équipes techniques, le pilotage pour les responsables sécurité, et la synthèse pour le management.
C’est sur la base de ces indicateurs que nous effectuons un pilotage opérationnel et régulier de votre VOC. Le fonctionnement du VOC repose sur un pilotage opérationnel régulier, structuré autour d’un suivi mensuel. Des comités de sécurité mais aussi des participations et comptes rendus aux COMEX doivent permettre de suivre l’avancement des projets et d’identifier les risques importants pour la sécurité informatique de l’entreprise.
Le service VOC proposé par Evicys inclut ce pilotage. Nos consultants ajustent leurs pratiques et recommandations aux retours du terrain et aux contraintes opérationnelles, stratégiques et techniques de nos clients.
Le pilotage et l’accompagnement d’un expert en gouvernance de la cybersécurité est essentiel, pour que le VOC ne soit pas un gadget mais qu’il s’intègre durablement à votre posture de cybersécurité.
Evicys accompagne les PME dans le déploiement de leur VOC
Le VOC n’est plus réservé aux grandes entreprises.
Evicys accompagne les PME dans la mise en œuvre d’une solution adaptée à leurs leurs contraintes et leurs ressources.
L’accompagnement de nos RSSI comprend le déploiement des solutions, le pilotage des actions de remédiation et le suivi des projets de cybersécurité dans la durée.
Prenez contact pour échanger sur vos besoins.
