Comment automatiser ses scans de vulnérabilités pour l'ISO 27001 ?
Contrôle A.8.8, fréquence des scans, preuves d'audit : le guide pratique pour mettre en place un scan de vulnérabilités automatisé conforme à l'ISO 27001:2022.

Introduction
Vous préparez une certification ISO 27001, ou vous devez maintenir la vôtre ? Tôt ou tard, votre auditeur posera la question qui fâche : « Montrez-moi comment vous gérez vos vulnérabilités techniques. »
Un scan de vulnérabilités automatisé est la réponse la plus efficace à cette exigence à condition de le mettre en place correctement. Dans ce guide, nous détaillons ce que la norme ISO 27001
exige réellement, comment automatiser vos scans, et quelles preuves d'audit produire pour passer la certification sans stress.Ce que l'ISO 27001 exige vraiment
Contrairement à une idée reçue, l'ISO 27001 n'impose pas un outil ou une fréquence précise. Elle impose un résultat : la maîtrise démontrable de vos vulnérabilités techniques. Plusieurs contrôles de l'Annexe A (version 2022) sont directement concernés :
| Contrôle | Intitulé | Ce que l'auditeur attend |
|---|---|---|
| A.8.8 | Gestion des vulnérabilités techniques | Identification, évaluation et traitement des vulnérabilités |
| A.5.7 | Renseignement sur les menaces | Veille sur les menaces et vulnérabilités émergentes |
| A.8.16 | Surveillance des activités | Détection des comportements et expositions anormales |
| A.8.9 | Gestion des configurations | Détection des configurations vulnérables ou non durcies |
| A.5.23 | Sécurité des services cloud | Couverture des actifs cloud dans la gestion des vulnérabilités |
S'y ajoute la clause 9.1 du corps de la norme : vous devez surveiller, mesurer, analyser et évaluer l'efficacité de votre SMSI. Des scans récurrents sont le moyen le plus simple de produire ces indicateurs.
Pourquoi automatiser plutôt que scanner ponctuellement ?
1. La norme exige un processus, pas une photo
L'ISO 27001 est construite autour de l'amélioration continue (cycle PDCA). Un scan manuel trimestriel dépend d'une personne, d'un agenda, d'un oubli possible. Un scan automatisé s'exécute sans intervention, produit des preuves datées, et alimente naturellement votre processus de traitement des risques.
2. Les vulnérabilités n'attendent pas votre prochain audit
Plus de 25 000 CVE sont publiées chaque année. Entre deux scans trimestriels, des dizaines de failles critiques peuvent apparaître sur vos services exposés. L'automatisation réduit votre fenêtre d'exposition de plusieurs mois à quelques jours.
3. Les preuves d'audit se génèrent toutes seules
Chaque exécution automatisée produit un rapport horodaté, comparable au précédent. Le jour de l'audit de certification, vous présentez un historique complet : détection, priorisation, remédiation, re-test. C'est exactement la traçabilité que demande l'auditeur.
Mettre en place son scan automatisé en 5 étapes
Étape 1 : définir le périmètre et le découvrir réellement
Votre SMSI a un périmètre déclaré ; votre surface d'attaque réelle est souvent plus large. Avant d'automatiser quoi que ce soit, réalisez une cartographie de votre exposition externe : sous-domaines, IP publiques, services oubliés, Shadow IT. Un actif non inventorié est un actif non scanné et un écart d'audit potentiel.
Notre guide dédié : comment cartographier le système d'information de son entreprise.
Étape 2 : choisir la bonne fréquence
Recommandations pragmatiques, alignées sur les pratiques d'audit :
- Périmètre exposé sur Internet : scan continu ou hebdomadaire.
- Réseau interne : scan mensuel.
- Après chaque changement majeur (mise en production, nouvelle infrastructure) : scan à la demande.
- Re-test systématique après chaque correction.
Étape 3 : prioriser avec une méthode défendable
Tous les résultats ne se valent pas. Documentez une règle de priorisation simple, par exemple basée sur le score CVSS combiné à l'exploitabilité réelle :
- Critique exploitable : correction sous 48-72h.
- Haute : correction sous 2 semaines.
- Moyenne : correction sous 1 à 3 mois.
- Basse : au fil de l'eau ou acceptation du risque documentée.
Étape 4 : organiser la traçabilité
Pour chaque vulnérabilité détectée, votre processus doit tracer : date de détection, criticité, actif concerné, décision (corriger / accepter / transférer), responsable, échéance, et preuve de re-test. C'est ce cycle complet que l'auditeur échantillonnera le jour J.
Étape 5 : intégrer les résultats au SMSI
Les sorties de scan doivent alimenter :
- Votre registre des risques (nouvelles vulnérabilités = nouveaux risques ou risques réévalués).
- Vos indicateurs clause 9.1 : nombre de vulnérabilités ouvertes par criticité, délai moyen de remédiation (MTTR), taux de couverture du périmètre.
- Votre revue de direction : tendance sur 12 mois.
Quel outil choisir ?
Le marché compte des dizaines de scanners Nessus, Qualys, OpenVAS, Nuclei… chacun avec ses forces et ses angles morts. Nous les avons comparés en détail dans notre article quel scan de vulnérabilités choisir.
Pour un usage ISO 27001, trois critères font la différence :
- L'exhaustivité du périmètre : l'outil découvre-t-il vos actifs, ou scanne-t-il seulement la liste que vous lui donnez ?
- La fiabilité des résultats : les faux positifs détruisent votre processus de traitement (et votre crédibilité en audit).
- La qualité des rapports : un rapport doit être lisible par l'auditeur, la direction et les équipes techniques.
Et avec Flawfence ?
Flawfence a été conçu précisément pour ce cas d'usage : transformer l'exigence de gestion des vulnérabilités en un processus automatique et démontrable.
- Découverte automatique du périmètre : sous-domaines, IP, vhosts et Shadow IT cartographiés en continu votre A.8.8 couvre 100 % de votre exposition réelle, pas seulement l'inventaire déclaré.
- Scans récurrents sans configuration : saisissez votre domaine, Flawfence orchestre le reste.
- Zéro faux positif : chaque vulnérabilité est validée par exploitation réelle contrôlée via notre agent IA. Votre registre ne contient que des risques avérés.
- Rapports prêts pour l'audit : scoring CVSS v4, priorisation, recommandations de remédiation claires, historique complet pour démontrer l'amélioration continue.
- Souveraineté : solution française, hébergée en France un argument apprécié dans le cadre du contrôle A.5.23 et des exigences RGPD.
FAQ : scans de vulnérabilités et ISO 27001
L'ISO 27001 impose-t-elle une fréquence de scan ?
Non, la norme n'impose aucune fréquence chiffrée. Elle exige que les vulnérabilités soient identifiées et traitées « en temps opportun ». Dans la pratique, les auditeurs s'attendent à un scan au moins mensuel sur le périmètre exposé, et idéalement continu.
Un scan automatisé remplace-t-il un pentest ?
Non, les deux sont complémentaires. Le scan automatisé assure la couverture continue ; le test d'intrusion apporte la profondeur d'analyse humaine sur les scénarios complexes. La combinaison des deux est l'état de l'art et les solutions de pentest automatisé par IA comme Flawfence rapprochent fortement ces deux mondes.
Que faire des vulnérabilités qu'on ne peut pas corriger ?
Documentez une acceptation de risque : justification, mesures compensatoires éventuelles, validation par le propriétaire du risque, date de réexamen. C'est un fonctionnement normal et accepté du SMSI.
Les actifs cloud sont-ils concernés ?
Oui. Le contrôle A.5.23 couvre explicitement les services cloud, et votre responsabilité s'étend à tout ce que vous y exposez (modèle de responsabilité partagée). Votre scan doit couvrir vos actifs SaaS, PaaS et IaaS exposés.
Conclusion
Automatiser ses scans de vulnérabilités n'est pas seulement le moyen le plus simple de satisfaire le contrôle A.8.8 de l'ISO 27001 : c'est aussi celui qui réduit réellement votre exposition entre deux audits. Cartographie exhaustive, scans récurrents, priorisation CVSS, traçabilité complète et votre certification devient une formalité.
Testez Flawfence dès maintenant : saisissez l'URL de votre entreprise et obtenez votre premier rapport en 5 minutes.
Discutons de votre exposition externe
Demandez une démo personnalisée de Flawfence et découvrez votre niveau d’exposition réel.
