Skip to content

Comment distinguez-vous une vulnérabilité d'une menace et d'un risque ?

Réponse courte

Une vulnérabilité est une faiblesse (logiciel non corrigé). Une menace est un acteur ou un événement qui pourrait l'exploiter (un groupe de rançongiciel). Le risque est la combinaison de la probabilité qu'une menace exploite une vulnérabilité et de l'impact si elle le fait. Risque = menace x vulnérabilité x impact, et c'est ce que l'on priorise réellement.

Ces trois mots sont employés indifféremment dans la conversation courante, mais en sécurité ils sont distincts — et cette distinction est tout le fondement de la manière dont les équipes priorisent leur travail.

Les définitions

  • Vulnérabilité — une faiblesse ou un défaut qui pourrait être exploité. Un serveur non corrigé, une politique de mot de passe faible, un bucket S3 mal configuré, un bug d'injection SQL.
  • Menace — quelque chose ou quelqu'un qui pourrait exploiter une vulnérabilité pour causer un dommage. Un groupe de rançongiciel, un initié malveillant, une catastrophe naturelle ou un scanner automatisé.
  • Risque — l'intersection : la probabilité qu'une menace exploite avec succès une vulnérabilité, combinée à l'impact si elle le fait. Le risque est ce que l'on mesure et gère.

Un raccourci courant est Risque = Menace × Vulnérabilité × Impact. Pas de menace, ou pas de vulnérabilité, ou pas d'impact signifie peu ou pas de risque.

Pourquoi la distinction importe

On peut rarement tout corriger, on priorise donc par le risque, et non par le simple nombre de vulnérabilités. Une vulnérabilité critique sur un serveur exposé à internet hébergeant des données clients est un risque élevé. La même vulnérabilité sur une machine de laboratoire isolée sans données sensibles est un faible risque — même si la vulnérabilité est identique.

Cela clarifie aussi vos options. Vous pouvez réduire le risque en supprimant la vulnérabilité (correctif), en réduisant l'accès de la menace (segmentation réseau, règles de pare-feu) ou en réduisant l'impact (sauvegardes, chiffrement). Vous n'avez pas toujours à corriger le défaut directement.

Pourquoi c'est important

Les recruteurs posent cette question pour voir si vous pensez comme un gestionnaire de risque plutôt qu'un cocheur de cases. Un candidat qui explique qu'une CVE à l'air effrayant peut rester un faible risque selon le contexte — et qui connaît les leviers pour réduire le risque — démontre le jugement dont dépendent les équipes de sécurité.

Questions de suivi probables

  • Comment réduiriez-vous le risque sans supprimer la vulnérabilité ?
  • Donnez un exemple où une vulnérabilité grave reste un faible risque.
  • Quel est le rôle de « l'impact » dans la priorisation de la remédiation ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.