ISO 27001Scan de vulnérabilitéConformité

Comment automatiser ses scans de vulnérabilités pour l'ISO 27001 ?

Contrôle A.8.8, fréquence des scans, preuves d'audit : le guide pratique pour mettre en place un scan de vulnérabilités automatisé conforme à l'ISO 27001:2022.

par Thibaud Robin7 min de lecture
Comment automatiser ses scans de vulnérabilités pour l'ISO 27001 ?

Introduction

Vous préparez une certification ISO 27001, ou vous devez maintenir la vôtre ? Tôt ou tard, votre auditeur posera la question qui fâche : « Montrez-moi comment vous gérez vos vulnérabilités techniques. »

Un scan de vulnérabilités automatisé est la réponse la plus efficace à cette exigence à condition de le mettre en place correctement. Dans ce guide, nous détaillons ce que la norme ISO 27001

exige réellement, comment automatiser vos scans, et quelles preuves d'audit produire pour passer la certification sans stress.

Ce que l'ISO 27001 exige vraiment

Contrairement à une idée reçue, l'ISO 27001 n'impose pas un outil ou une fréquence précise. Elle impose un résultat : la maîtrise démontrable de vos vulnérabilités techniques. Plusieurs contrôles de l'Annexe A (version 2022) sont directement concernés :

ContrôleIntituléCe que l'auditeur attend
A.8.8Gestion des vulnérabilités techniquesIdentification, évaluation et traitement des vulnérabilités
A.5.7Renseignement sur les menacesVeille sur les menaces et vulnérabilités émergentes
A.8.16Surveillance des activitésDétection des comportements et expositions anormales
A.8.9Gestion des configurationsDétection des configurations vulnérables ou non durcies
A.5.23Sécurité des services cloudCouverture des actifs cloud dans la gestion des vulnérabilités

S'y ajoute la clause 9.1 du corps de la norme : vous devez surveiller, mesurer, analyser et évaluer l'efficacité de votre SMSI. Des scans récurrents sont le moyen le plus simple de produire ces indicateurs.

Pourquoi automatiser plutôt que scanner ponctuellement ?

1. La norme exige un processus, pas une photo

L'ISO 27001 est construite autour de l'amélioration continue (cycle PDCA). Un scan manuel trimestriel dépend d'une personne, d'un agenda, d'un oubli possible. Un scan automatisé s'exécute sans intervention, produit des preuves datées, et alimente naturellement votre processus de traitement des risques.

2. Les vulnérabilités n'attendent pas votre prochain audit

Plus de 25 000 CVE sont publiées chaque année. Entre deux scans trimestriels, des dizaines de failles critiques peuvent apparaître sur vos services exposés. L'automatisation réduit votre fenêtre d'exposition de plusieurs mois à quelques jours.

3. Les preuves d'audit se génèrent toutes seules

Chaque exécution automatisée produit un rapport horodaté, comparable au précédent. Le jour de l'audit de certification, vous présentez un historique complet : détection, priorisation, remédiation, re-test. C'est exactement la traçabilité que demande l'auditeur.

Mettre en place son scan automatisé en 5 étapes

Étape 1 : définir le périmètre et le découvrir réellement

Votre SMSI a un périmètre déclaré ; votre surface d'attaque réelle est souvent plus large. Avant d'automatiser quoi que ce soit, réalisez une cartographie de votre exposition externe : sous-domaines, IP publiques, services oubliés, Shadow IT. Un actif non inventorié est un actif non scanné et un écart d'audit potentiel.

Notre guide dédié : comment cartographier le système d'information de son entreprise.

Étape 2 : choisir la bonne fréquence

Recommandations pragmatiques, alignées sur les pratiques d'audit :

  • Périmètre exposé sur Internet : scan continu ou hebdomadaire.
  • Réseau interne : scan mensuel.
  • Après chaque changement majeur (mise en production, nouvelle infrastructure) : scan à la demande.
  • Re-test systématique après chaque correction.

Étape 3 : prioriser avec une méthode défendable

Tous les résultats ne se valent pas. Documentez une règle de priorisation simple, par exemple basée sur le score CVSS combiné à l'exploitabilité réelle :

  1. Critique exploitable : correction sous 48-72h.
  2. Haute : correction sous 2 semaines.
  3. Moyenne : correction sous 1 à 3 mois.
  4. Basse : au fil de l'eau ou acceptation du risque documentée.

Étape 4 : organiser la traçabilité

Pour chaque vulnérabilité détectée, votre processus doit tracer : date de détection, criticité, actif concerné, décision (corriger / accepter / transférer), responsable, échéance, et preuve de re-test. C'est ce cycle complet que l'auditeur échantillonnera le jour J.

Étape 5 : intégrer les résultats au SMSI

Les sorties de scan doivent alimenter :

  • Votre registre des risques (nouvelles vulnérabilités = nouveaux risques ou risques réévalués).
  • Vos indicateurs clause 9.1 : nombre de vulnérabilités ouvertes par criticité, délai moyen de remédiation (MTTR), taux de couverture du périmètre.
  • Votre revue de direction : tendance sur 12 mois.

Quel outil choisir ?

Le marché compte des dizaines de scanners Nessus, Qualys, OpenVAS, Nuclei… chacun avec ses forces et ses angles morts. Nous les avons comparés en détail dans notre article quel scan de vulnérabilités choisir.

Pour un usage ISO 27001, trois critères font la différence :

  • L'exhaustivité du périmètre : l'outil découvre-t-il vos actifs, ou scanne-t-il seulement la liste que vous lui donnez ?
  • La fiabilité des résultats : les faux positifs détruisent votre processus de traitement (et votre crédibilité en audit).
  • La qualité des rapports : un rapport doit être lisible par l'auditeur, la direction et les équipes techniques.

Et avec Flawfence ?

Flawfence a été conçu précisément pour ce cas d'usage : transformer l'exigence de gestion des vulnérabilités en un processus automatique et démontrable.

  • Découverte automatique du périmètre : sous-domaines, IP, vhosts et Shadow IT cartographiés en continu votre A.8.8 couvre 100 % de votre exposition réelle, pas seulement l'inventaire déclaré.
  • Scans récurrents sans configuration : saisissez votre domaine, Flawfence orchestre le reste.
  • Zéro faux positif : chaque vulnérabilité est validée par exploitation réelle contrôlée via notre agent IA. Votre registre ne contient que des risques avérés.
  • Rapports prêts pour l'audit : scoring CVSS v4, priorisation, recommandations de remédiation claires, historique complet pour démontrer l'amélioration continue.
  • Souveraineté : solution française, hébergée en France un argument apprécié dans le cadre du contrôle A.5.23 et des exigences RGPD.

FAQ : scans de vulnérabilités et ISO 27001

L'ISO 27001 impose-t-elle une fréquence de scan ?

Non, la norme n'impose aucune fréquence chiffrée. Elle exige que les vulnérabilités soient identifiées et traitées « en temps opportun ». Dans la pratique, les auditeurs s'attendent à un scan au moins mensuel sur le périmètre exposé, et idéalement continu.

Un scan automatisé remplace-t-il un pentest ?

Non, les deux sont complémentaires. Le scan automatisé assure la couverture continue ; le test d'intrusion apporte la profondeur d'analyse humaine sur les scénarios complexes. La combinaison des deux est l'état de l'art et les solutions de pentest automatisé par IA comme Flawfence rapprochent fortement ces deux mondes.

Que faire des vulnérabilités qu'on ne peut pas corriger ?

Documentez une acceptation de risque : justification, mesures compensatoires éventuelles, validation par le propriétaire du risque, date de réexamen. C'est un fonctionnement normal et accepté du SMSI.

Les actifs cloud sont-ils concernés ?

Oui. Le contrôle A.5.23 couvre explicitement les services cloud, et votre responsabilité s'étend à tout ce que vous y exposez (modèle de responsabilité partagée). Votre scan doit couvrir vos actifs SaaS, PaaS et IaaS exposés.

Conclusion

Automatiser ses scans de vulnérabilités n'est pas seulement le moyen le plus simple de satisfaire le contrôle A.8.8 de l'ISO 27001 : c'est aussi celui qui réduit réellement votre exposition entre deux audits. Cartographie exhaustive, scans récurrents, priorisation CVSS, traçabilité complète et votre certification devient une formalité.

Testez Flawfence dès maintenant : saisissez l'URL de votre entreprise et obtenez votre premier rapport en 5 minutes.

Discutons de votre exposition externe

Demandez une démo personnalisée de Flawfence et découvrez votre niveau d’exposition réel.