Ne plus seulement voir les CVE — les corriger automatiquement

Le problème : détecter les vulnérabilités ne représente que la moitié du travail

Les scanners de vulnérabilités classiques sont efficaces pour trouver les problèmes. Au bout du compte, on obtient une liste : « 14 CVE ouvertes sur ce serveur ». Ce qui suit relève du travail manuel — quelqu'un doit vérifier, prioriser, trouver une fenêtre de maintenance, appliquer la mise à jour et documenter qu'elle a bien eu lieu. Dans les équipes sans personnel d'exploitation dédié 24/7, cette étape reste souvent en suspens. La faille est identifiée, mais elle demeure ouverte.

Plus une entreprise exploite de serveurs, plus ce cycle de correctifs manuel devient intenable. Le tableau de bord clignote en rouge, mais la véritable réduction du risque n'intervient que lorsqu'un humain agit. C'est précisément cet écart entre la détection et la correction que Server Monitor résout différemment.

La boucle fermée : détecter → alerter → corriger → documenter

Server Monitor automatise non seulement la détection, mais aussi la correction. L'agent Go relève les mises à jour ouvertes, le durcissement SSH, l'état du pare-feu et la version du noyau, puis en déduit un score de sécurité. Les vulnérabilités détectées peuvent ensuite être corrigées directement depuis la plateforme — de manière contrôlée et traçable.

D'abord un dry-run, puis la vraie mise à jour

La remédiation s'appuie sur une chaîne de commandes délibérément restreinte. Un dry-run montre d'abord en toute transparence ce qui serait corrigé, sans rien modifier. Ce n'est qu'après validation que l'agent déclenche le véritable `security_update` ; un redémarrage n'a lieu que s'il est autorisé et qu'il s'inscrit dans une fenêtre de maintenance valide. Pour cela, l'agent détecte de lui-même si un redémarrage est nécessaire.

Un point essentiel pour la sécurité : l'agent exécute exclusivement une liste blanche de commandes prédéfinie (`dry_run`, `security_update`, `reboot`). Les données utilisateur ne sont jamais interpolées dans les commandes système. L'exécution de code à distance est ainsi exclue par conception — l'automatisation n'élargit pas la surface d'attaque.

Six sources de vulnérabilités — dont le BSI allemand

La qualité de la remédiation dépend entièrement de la qualité de la détection. Server Monitor confronte les paquets trouvés à six sources :

• OSV — Open Source Vulnerabilities, la base de données transversale dédiée aux vulnérabilités open source.
• NVD — la National Vulnerability Database, référence internationale.
• Debian et Ubuntu — les trackers de sécurité spécifiques à ces distributions, pour une correspondance de paquets précise.
• CISA-KEV — le catalogue des vulnérabilités connues et activement exploitées.
• BSI — le flux de l'Office fédéral allemand de la sécurité des technologies de l'information.

La comparaison de versions tenant compte de dpkg est optimisée pour Debian et Ubuntu. Cet alignement multi-sources améliore la qualité des résultats et réduit sensiblement les faux positifs par rapport aux outils qui ne consultent qu'une seule base de données.

Chaque étape consignée de façon infalsifiable

Chaque changement de statut d'une vulnérabilité est enregistré dans une piste d'audit en mode ajout seul — les entrées ne peuvent être ni écrasées ni supprimées. « Vous avez 14 CVE » ne devient pas seulement « 14 CVE ont été corrigées », mais une preuve solide et vérifiable : quand telle faille a été détectée, quand elle a été corrigée, à quelle étape. C'est exactement ce dont vous avez besoin pour vos audits de sécurité et de conformité.

Les interruptions planifiées peuvent être modélisées via des fenêtres de maintenance, de sorte que ni les alertes ni les redémarrages ne se traduisent par des faux positifs ou des relances involontaires. L'automatisation de Server Monitor reste ainsi prévisible, même lorsqu'elle applique des correctifs de façon autonome durant la nuit.