Nous avons comparé quatre outils de gestion des vulnérabilités leaders selon 11 dimensions. Les résultats révèlent un marché où « gestion des vulnérabilités » signifie quatre choses différentes pour quatre fournisseurs. Certains construisent des pipelines de détection basés sur les CVE ; d'autres suivent la disponibilité des correctifs comme proxy du risque ; un autre délègue explicitement l'analyse à des outils tiers.
Résultats du benchmark de gestion des vulnérabilités
ManageEngine VMP | NinjaOne | Automox | Action1 | |
|---|---|---|---|---|
Accès à l'essai | Accès direct, quelques minutes | Accès piloté par les ventes, heures–jours | Accès direct, 2FA + e-mail professionnel | Accès direct, quelques minutes |
Latence de détection | 5–6 min (manuel) ; 90 min auto ; ~25h pour le nouveau flux CVE | Inventaire : 35s ; corrélation CVE : ~24h | Pas de détection CVE | Windows ≤11 min ; Linux : pas de sortie CVE |
Précision de détection | Flux NVD, indépendant du catalogue de correctifs | Catalogue de correctifs uniquement ; flux CVE d'essai inactif | Catalogue de correctifs uniquement ; points aveugles confirmés pour LibreOffice + Firefox ESR | Windows : pipeline CVE complet ; Linux : delta de version uniquement |
Correctif et remédiation | 106 973 entrées dans le catalogue ; assistant avec retour arrière + SSP | Structure de politique présente ; déploiement non testé (nécessite Administrateur système) | Conscient du Patch Tuesday ; import CSV depuis Qualys/Tenable/Rapid7 | Déploiement en 1 min ; P2P LAN ; orchestration du redémarrage ; prise en charge Windows |
Alertes et notifications | Pas de canal sortant, SMTP absent à tous les niveaux | Pas de catégorie Vulnérabilité dans Activités ; la gestion des vulnérabilités ne génère aucune alerte | Canaux multiples annoncés ; non vérifié dans la console | E-mail ; destinataire unique uniquement ; suppression silencieuse |
Empreinte sur l'endpoint | 26 Mo au repos (lancement à la demande) | 116 Mo en pic | 8,8 Mo en pic : le plus léger du groupe | 51,7 Mo stable ; 0,013 % moyen de CPU |
Couverture des types d'appareils | Windows + Linux + macOS ; pas de mobile/virtuel | Win/Lin/Mac + iOS/Android + Hyper-V/VMware + surveillance cloud | Windows + Linux + macOS ; pas de mobile/virtuel | Windows + Linux + macOS ; pas de mobile/virtuel |
Principales conclusions
- Automox et NinjaOne signalent les vulnérabilités en fonction de la disponibilité du catalogue de correctifs, pas de la correspondance version CVE-NVD. S'il n'existe pas de mise à jour dans leur catalogue pour une version logicielle, l'outil indique « Pas de CVE connues », quelle que soit la quantité réelle de CVE. LibreOffice 7.1.8.1 (plus de 100 CVE documentées) et Firefox ESR 115.12.0 ont tous deux renvoyé « Pas de CVE connues » dans Automox pour cette raison. ManageEngine et Action1 utilisent des flux CVE indépendants et signalent les vulnérabilités qu'un correctif soit disponible ou non.
- Aucun outil ne détecte les logiciels installés en dehors du gestionnaire de paquets. Les binaires extraits vers
/opt/, compilés à partir des sources ou distribués par les fournisseurs en dehors de leurs dépôts officiels sont invisibles aux quatre outils. ManageEngine et NinjaOne associent les CVE aux paquets listés par dpkg. Action1 inventorie les paquets dpkg mais ne renvoie aucune donnée CVE pour eux sous Linux. Automox n'a aucune détection CVE indépendante. - Le module VM de NinjaOne ne génère pas d'alertes et n'a pas de modèle de rapport. Le cadre d'alertes liste 13 catégories, y compris la gestion des correctifs Windows, Bitdefender et CrowdStrike. Les vulnérabilités et les CVE n'en font pas partie. Le catalogue de rapports inclut un modèle de conformité aux correctifs en 10 sections mais aucun équivalent pour la gestion des vulnérabilités.
- Automox nécessite un scanner externe pour détecter les CVE. La page Remediations importe des exports CSV de Qualys, Tenable, Rapid7 ou CrowdStrike, puis associe ces CVE au catalogue de correctifs. Il n'effectue aucune détection indépendante.
- ManageEngine et Automox n'ont aucun canal d'alerte sortant. ManageEngine n'a aucune configuration SMTP à aucun niveau : paramètres globaux, préférences par utilisateur ou livraison par rapport. La documentation web d'Automox mentionne le support de Slack, Teams et des webhooks, mais cela n'a pas été vérifié dans la console lors des tests.
- NinjaOne a désinstallé Automox deux minutes après son installation sur la même machine virtuelle Windows. Le journal Activités a enregistré : « Logiciel désinstallé : 'Automox Agent', Utilisateur : Système. » La désinstallation était incomplète : l'enregistrement du service et les fichiers du programme étaient restés. Sous Linux, ManageEngine, Action1 et NinjaOne ont fonctionné côte à côte sans qu'aucun agent n'en supprime un autre.
Métriques mesurées
Latence de détection : Un binaire connu vulnérable a été installé sur un endpoint propre, l'horodatage de fin d'installation étant enregistré à la seconde près. Le chronomètre s'est arrêté lorsque la CVE est apparue dans le panneau de vulnérabilités du produit.
Précision de détection : Des logiciels avec des historiques CVE bien documentés ont été installés sur Windows et Linux via trois chemins : MSI/EXE (suivi par le registre), dpkg (gestionnaire de paquets) et archive tar du fournisseur extraite vers /opt/ (en dehors du gestionnaire de paquets).
Empreinte sur l'endpoint : Toutes les mesures ont utilisé pidstat au niveau du processus pour capturer le RSS (taille de l'ensemble résident) par processus, en excluant le cache de page au niveau cgroup. Les mesures Windows ont utilisé Get-Counter (\Process(*)\Working Set - Private) échantillonnées toutes les 5 secondes sur une fenêtre de 10 minutes. Le moteur d'analyse à la demande de ManageEngine a été mesuré séparément au repos et pendant une analyse active. Les quatre agents Linux ont fonctionné simultanément sur le même hôte Ubuntu 24.04 ; les mesures Windows ont été prises sur une machine virtuelle Windows Server 2022 distincte.
Déploiement des correctifs : Le temps de déploiement a été mesuré depuis la confirmation dans l'interface utilisateur jusqu'au rapport de complétion du produit. L'état après déploiement a été vérifié directement sur l'endpoint via l'historique des mises à jour Windows pour distinguer « binaire écrit sur le disque » de « correctif validé et actif » — une distinction importante lorsque le redémarrage est nécessaire pour terminer l'installation.
Accès à l'essai : Chaque essai a d'abord été tenté avec une adresse Gmail, puis avec une adresse institutionnelle lorsque Gmail a été rejetée. Les étapes depuis la page d'accueil jusqu'à un tableau de bord utilisable avec les installateurs d'agents visibles ont été comptées. Le temps entre la soumission du formulaire et le premier agent connecté a été enregistré.
Livraison des alertes : Une règle d'alerte personnalisée a été créée dans chaque produit et déclenchée par un événement d'installation logicielle. Le temps de livraison et la structure du contenu de l'e-mail ont été enregistrés. Lorsque les alertes cessaient de se déclencher, les journaux côté agent ont été inspectés pour identifier la cause.
Meilleurs outils de gestion des vulnérabilités
1. NinjaOne Gestion des vulnérabilités
NinjaOne est une plateforme UEM/RMM qui a ajouté un module VM en mars 2026. Sa gestion des correctifs est mature ; la couche de détection des vulnérabilités ne l'est pas.
Accès à l'essai : NinjaOne est piloté par les ventes. Après avoir soumis le formulaire d'essai, la réponse était « Nous vous contacterons sous peu ». L'accès a été fourni sous la forme d'un Technicien ajouté à un locataire existant partagé (« Hiwell Test Org ») plutôt qu'un environnement isolé neuf.
L'écran d'intégration a immédiatement affiché : « Vous n'avez pas les autorisations pour gérer les appareils. Veuillez contacter votre administrateur système pour obtenir de l'aide. » Le déploiement d'appareils était indisponible sous le rôle Technicien.
Couverture des appareils : Le menu Ajouter un appareil couvre plus que tout autre outil testé : ordinateurs (Windows, Linux, Mac), appareils mobiles (Apple, Android), infrastructure virtuelle (Hyper-V, VMware), moniteurs cloud (ping, scan de port, DNS, HTTP/HTTPS) et découverte réseau. Aucun autre outil dans cette comparaison n'est proche.
Détail de l'appareil : Chaque appareil dispose de graphiques horaires en direct pour CPU, mémoire, disque et réseau, ainsi que d'un inventaire matériel complet.
La section Détails énumère les ports ouverts en ligne : RDP sur 3389, SMB sur 445, et 10 autres étaient visibles sans exécuter un scan séparé.
Le menu Outils fournit le Registre distant, le Gestionnaire des tâches, le Navigateur de fichiers et le Gestionnaire de services accessibles depuis le navigateur, tous en direct. Le bureau à distance complet nécessite un téléchargement séparé d'un client natif.
Détection CVE : L'inventaire logiciel a détecté Firefox en 35 secondes. L'onglet Vulnérabilités affichait 0 résultat à 5 minutes, 30 minutes et 3 heures, sur les appareils Windows et Linux, tous filtres désactivés. Le fichier côté agent listant les CVE est resté à 44 octets depuis l'installation jusqu'à plus de 5 heures, inchangé.
La corrélation côté serveur CVE n'a jamais été déclenchée pendant l'essai. Il n'a pas été possible de déterminer si cela reflète une restriction du niveau d'essai ou une exigence de configuration non satisfaite. L'onglet Vulnérabilités s'est rempli avec 85 CVE environ 24 heures après l'installation de l'agent, avec la colonne Sources indiquant « NinjaOne Patching » — le propre catalogue de correctifs de l'outil, pas le NVD.
Intégration des alertes : La section Activités de la politique liste 13 catégories d'alertes : Bitdefender, CrowdStrike, SentinelOne, Webroot, ImageManager, Sauvegarde, ShadowProtect, Logiciel, Système, Utilisateur, Windows, Gestion des correctifs Windows et Raid. Il n'y a pas de catégorie Vulnérabilité ou CVE. Le module VM ne produit aucune alerte.
Rapports : Le catalogue de modèles de rapports inclut un modèle Conformité aux correctifs avec 10 sections couvrant les correctifs échoués, les correctifs en attente, les pourcentages de correctifs installés et l'activation des correctifs OS. Il n'y a pas de modèle de gestion des vulnérabilités.
Comportement de l'agent envers d'autres outils : NinjaOne s'est enregistré sur la machine virtuelle Windows de test. À 11h31, le journal Activités a enregistré : « Logiciel désinstallé : 'Automox Agent', Version : '2.5.70', Utilisateur : '<Système>' » deux minutes après l'enregistrement, via une action système automatisée. La suppression était incomplète ; voir Principales conclusions pour les détails.
Empreinte sur l'endpoint : Mémoire maximale de l'agent Linux : 116 Mo. Windows : quatre processus totalisant environ 127 Mo de jeu de travail, 92 secondes de CPU sur trois heures.
NinjaOne est une plateforme UEM/RMM qui a ajouté un module VM. La couche d'inventaire logiciel de l'agent fonctionne bien ; la couche de corrélation CVE dépend d'un traitement côté serveur qui était inactif pendant la période d'essai.
Différences principales :
- L'inventaire logiciel est précis et rapide : Firefox 115.12.0 est apparu dans le tableau de bord en 35 secondes après l'installation
- La corrélation CVE était inactive pendant tous les tests. Le fichier
NinjaWPM-cve-patch-list.jsonest resté à 44 octets pendant plus de 5 heures ; l'onglet Vulnérabilités s'est rempli avec 85 CVE environ 24 heures après l'installation de l'agent — incohérent avec le positionnement « en temps réel alimenté par l'IA » - Support le plus large des types d'appareils : Windows, Linux, macOS, iOS, Android, Hyper-V, VMware, surveillance cloud par ping et découverte réseau
- Le module VM ne génère aucune alerte (aucune catégorie « Vulnérabilité » dans le cadre d'alertes Activités) et n'a pas de modèle de rapport dédié
- Sous Windows, l'agent a supprimé Automox 2 minutes après l'installation via une règle de stratégie Windows Server, laissant des fichiers orphelins ; aucun comportement équivalent sous Linux
2. ManageEngine Vulnerability Manager Plus
ManageEngine VMP est le seul scanner de vulnérabilités conçu spécifiquement dans cette comparaison. La détection fonctionne indépendamment de la disponibilité des correctifs ; les vulnérabilités sont signalées même lorsqu'aucun correctif n'existe.
Accès à l'essai. Accès direct, aucun contact commercial requis. Le formulaire d'inscription accepte Gmail. Après soumission, le tableau de bord se charge immédiatement avec un compteur de 30 jours. Un modal de demande de démonstration apparaît mais possède un bouton Ignorer visible — ce n'est pas un mur. L'interface se charge en turc selon l'adresse IP, le seul outil dans cette comparaison avec une localisation non anglaise. Une instance de région UE est attribuée automatiquement.
Intégration : L'écran Démarrage rapide montre quatre étapes de flux de travail : Prérequis, Paramètres des correctifs, Déploiement et Flux de travail de gestion des correctifs. Trois des quatre sont axées sur les correctifs. Le cadre est détecter-puis-corriger, pas détection en temps réel.
Tableau de bord : S'ouvre sur un onglet Vulnérabilités avec une matrice d'âge des vulnérabilités (seuils gravité × âge) montrant depuis combien de temps les découvertes sont ouvertes. Un flux Actualités de sécurité récent intègre des avis de sécurité fournisseurs en direct dans le panneau droit.
La vue Systèmes (panneau gauche) segmente les appareils par état opérationnel : Très vulnérables, Vulnérables, Sains, Redémarrage en attente, Échec du déploiement des correctifs, Systèmes sans contact agent, Systèmes EOL et Zéro-day trouvé. L'appareil est apparu dans la liste en quelques secondes après l'installation de l'agent.
L'analyse initiale s'exécute en deux passes. Une bannière confirme que des résultats limités sont d'abord affichés ; l'analyse complète se termine en quelques minutes. Les correctifs manquants sont passés de 0 à 8 entre les deux passes.
Détail de l'appareil : La vue détaillée de l'appareil couvre plus de terrain que tout autre outil testé.
L'onglet Résumé affiche quatre diagrammes circulaires de gravité des menaces côte à côte : Correctifs, Vulnérabilités logicielles, Mauvaises configurations système et Mauvaises configurations du serveur web. Le point de terminaison de test Windows Server 2022 par défaut a montré 7 correctifs manquants, 28 vulnérabilités logicielles et 54 mauvaises configurations.
L'onglet Logiciels et composants liste chaque composant installé avec les nombres de Correctifs manquants, Correctifs installés et Vulnérabilités par ligne. Windows Server 2022 lui-même comportait 16 vulnérabilités ; Curl pour Windows, livré avec l'image OS, non installé par l'utilisateur, comportait 10.
L'onglet Vulnérabilités est une liste au niveau CVE avec Statut d'exploitation, Disponibilité du correctif, Score CVSS 3.0, Version détectée, Date de publication et Date de support par ligne. Les scores CVSS allaient de 4,3 à 9,9 sur le point de terminaison par défaut.
L'onglet Correctifs catégorise les correctifs manquants en Mises à jour de sécurité, Facultatives, Tierces, Pilotes, Service Pack et BIOS, avec les actions Installer/Publier les correctifs et Refuser le correctif en ligne.
L'onglet Configuration de sécurité est une checklist de renforcement au style CIS/STIG. Chaque ligne corrigeable a un lien « Déployer une configuration sécurisée » — les découvertes sont directement liées à une remédiation en un clic. Le point de terminaison de test avait 30 éléments, dont TLSv1.1 activé, BitLocker désactivé, Pare-feu Windows non détecté, seuils de verrouillage de compte non configurés et niveau d'authentification LAN Manager mal configuré.
L'onglet Audit de port associe chaque port ouvert au binaire responsable avec le chemin d'exécution complet. Le port 3389 est associé à svchost.exe, le port 445 à ntoskrnl.exeChrome et Edge sont listés séparément sur 5353.
Vue des menaces au niveau du parc : Les menaces dans la navigation couvrent huit sous-sections sur l'ensemble du parc.
Les vues Vulnérabilités et CVE détectées montrent les scores CVSS 3.0 et CVSS 2.0 en colonnes parallèles. Le produit préserve le CVSS 2.0 hérité pour les organisations qui s'y basent encore.
Les Mauvaises configurations système agrègent les écarts de renforcement au niveau du parc avec une action « Déployer une configuration sécurisée » par ligne.
Les Logiciels à haut risque suivent les dates de fin de vie. Windows Server 2022 est apparu avec sa date EOL du 13 octobre 2031 et un compteur restant de 1 990 jours.
Gérer les exceptions permet d'accepter des menaces spécifiques par groupe d'appareils. Aucune exception n'a été définie lors des tests ; l'infrastructure est présente.
Section Correctifs : La barre latérale gauche affiche des comptages en direct : Manquants 9, Installés 3, Applicables 12, Supportés 106 973, Derniers 2 195. Chaque page de correctif a des liens rapides intégrés avec des tutoriels, Base de connaissances et FAQ intégrés dans le flux de travail plutôt qu'accédés séparément.
Le catalogue de correctifs supportés couvre 106 973 entrées d'Adobe, Microsoft, Mozilla, Splunk, Oracle et autres. La vue Derniers correctifs affiche 2 195 entrées récemment ajoutées triées par date de publication. Refuser le correctif bloque des correctifs spécifiques par groupe d'appareils. Télécharger en attente accepte des correctifs personnalisés pour des logiciels en dehors du catalogue.
Déploiement des correctifs : L'assistant de déploiement couvre : opération Installer vs Désinstaller (retour arrière intégré), Déployer directement vs Publier sur le portail libre-service, sélecteur de politique de déploiement, date « Forcer le déploiement après » pour le respect du SLA, et ciblage ciblé par Bureau distant et ordinateur individuel.
Une mise à jour de définition Defender a été déployée lors du test, terminée avec Statut : Réussi et Remarques : « Cette version existe déjà. » Le produit a détecté que le correctif avait déjà été appliqué et ne l'a pas réinstallé. La nouvelle tentative automatique en cas d'échec est définie par défaut sur 2 tentatives.
Gestion du parc d'agents. La section Agent affiche l'état de santé du parc d'agents, y compris la mise à jour des versions, le dernier contact, l'état de synchronisation AD, la gestion des bureaux distants et la politique des ordinateurs inactifs.
Empreinte sur l'endpoint : Cinq processus au repos, RAM combinée au repos d'environ 83 Mo. Le moteur d'analyse dcpatchscan se lance uniquement pendant les analyses — non visible au repos. Pendant une analyse, il a consommé environ 160 Mo de RAM et 100 % d'un cœur CPU sous Windows, contre environ 144 Mo et 16 % d'un cœur sous Linux. La conception à la demande signifie que l'empreinte au repos reste bien en dessous des niveaux continus de NinjaOne (116–127 Mo) et Action1 (51 Mo).
Latence de détection : Analyse manuelle maintenant : 5 à 6 minutes. Cycle automatique : fixé à 90 minutes, non configurable par l'utilisateur. Les nouvelles entrées du flux CVE se propagent en jusqu'à 25 heures (synchronisation quotidienne de la base de données plus un cycle de rafraîchissement de 90 minutes). La page Admin > Paramètres de l'agent n'a pas de champ d'intervalle de rafraîchissement ; les demandes d'ajout sont ouvertes sur le forum officiel sans résolution.
Alertes et notifications : Aucun canal d'alerte sortant n'existe à aucun niveau : pas de SMTP dans Paramètres globaux, pas de préférence de notification par utilisateur, pas de planification de rapport ou de livraison par e-mail. La page Audit > Alertes enregistre les événements internes (perte de contact agent, correctifs échoués, nouveaux endpoints) mais ne peut pas les acheminer vers l'extérieur.
Rapports : Plus de 16 rapports prédéfinis répartis en six catégories (Correctifs, Système, APD, Configuration, SSP, Menace). Pas de générateur de rapports personnalisé. Sélecteur de colonnes et filtres disponibles dans les rapports prédéfinis. Pas de préréglages de plage de dates. Exportation : PDF, CSV, XLSX. Un modal d'avertissement RGPD nécessite une confirmation avant chaque exportation. Pas de livraison planifiée ou par e-mail.
Différences principales :
- 11 modules dans un seul produit : Évaluation des vulnérabilités, Conformité, Gestion des correctifs, Analyse des périphériques réseau, Gestion de la configuration de sécurité, Atténuation des zéro-day, Renforcement du serveur web, Audit des logiciels à haut risque, Audit antivirus, Audit de port et Rapports
- Catalogue de 106 973 correctifs ; options de déploiement cloud et sur site ; instance SaaS de région UE
- Le cycle d'analyse automatique est fixé à 90 minutes et n'est pas configurable par l'utilisateur (demandes de fonctionnalité sur le forum non résolues) ; le nouveau flux CVE met jusqu'à 25 heures à se propager (synchronisation de la base de données + un cycle de rafraîchissement)
- Aucun canal d'alerte sortant : SMTP est absent à tous les niveaux de configuration
3. Automox
Automox est une plateforme d'automatisation des correctifs, pas un scanner de vulnérabilités. Sa capacité de gestion des vulnérabilités est basée sur l'importation de résultats de scanner de Qualys, Tenable, Rapid7 ou CrowdStrike plutôt que sur une détection CVE indépendante.
Accès à l'essai : Essai de 15 jours, aucune carte de crédit requise. Gmail est rejeté — un e-mail professionnel est obligatoire. Après soumission, le flux ajoute deux étapes supplémentaires avant le tableau de bord : un écran de connexion séparé et une 2FA obligatoire par e-mail. Le mot de passe minimum est de 12 caractères, le plus strict des quatre outils. Instance globale unique à console.automox.com, pas d'options régionales.
Installation de l'agent : Le modal Ajouter des appareils affiche l'UUID de clé d'accès, un menu déroulant OS, un bouton Télécharger l'installateur et la ligne de commande équivalente d'installation silencieuse : Automox_Installer-2.5.70.msi ACCESSKEY=<uuid>. Un seul binaire, une seule clé, le flux d'installation le plus simple des quatre outils testés.
L'installateur exécute une vérification de santé post-installation en ligne avant de se fermer : démarrage du service, test du démon, rapport IRS (Installation Result Service). Il ne se ferme pas avant de confirmer « Configuration réussie ! » éliminant l'ambiguïté quant à savoir si l'agent s'est réellement connecté.
L'appareil est apparu dans la liste Appareils en 1 à 2 minutes avec un tag « Récemment ajouté ».
Détail de l'appareil : Le détail de l'appareil a quatre onglets : Résumé, Santé, Réseau et Système. Aucune politique n'a été attribuée à l'installation ; l'agent a été enregistré dans le groupe par défaut sans calendrier de correctifs attaché. ManageEngine applique automatiquement une portée d'analyse par défaut ; Automox nécessite une attribution de politique explicite avant que quoi que ce soit ne s'exécute.
Inventaire logiciel et langage de gravité : La liste logiciels au niveau de l'appareil utilise des valeurs de gravité empruntées au catalogue Microsoft Update : Critique, Inconnu ou « Pas de CVE connues ». Il n'y a pas de score CVSS NVD. La colonne Dernière version est vide pour toutes les lignes ; Automox suit l'existence d'une mise à jour, pas la version en amont. Jours exposés mesure depuis combien de temps un correctif est en attente, pas depuis combien de temps une CVE a été publiée.
Tableau de bord : Le KPI principal est la matrice Compte de correctifs en attente : lignes de gravité (Critique / Élevé / Moyen / Faible / Inconnu) × colonnes d'âge (90+ jours, 61-89, 31-60, 16-30, ≤15 jours). Le dépannage des appareils signale : Nécessite un redémarrage, Tentatives de mise à jour échouées, Déconnecté depuis 30+ jours, Non compatible. Aucun compte CVE, aucun score de gravité de vulnérabilité nulle part sur le tableau de bord.
Architecture des politiques : Trois types de politiques : Politique de correctifs (avec sous-types Avancé, Corriger tout, Corriger tout sauf, Corriger uniquement, Approbations manuelles, Gravité), Politique de logiciel requis et Worklet. Il n'y a pas de type de politique Analyse de vulnérabilités ou basée sur CVE. La section Calendrier propose un bouton radio Patch Tuesday qui s'aligne auto-matiquement sur le cycle de publication du deuxième mardi de Microsoft.
Catalogue Worklet : Les Worklets sont des modèles de scripts shell pour des tâches de configuration. Les catégories sont Préférences système, Sécurité et Cycle de vie logiciel. Il n'existe pas de catégorie Vulnérabilité.
Page Remediations : le signal architectural principal. La page Remediations sous Automate a une seule action : Importer. Le filtre Fournisseur CSV liste Rapport générique, CrowdStrike, Qualys, Rapid7 et Tenable Vulnerability Management. Les colonnes du tableau sont Vulnérabilités corrigées, Vulnérabilités non appariées et Appareils inconnus. Automox associe la sortie d'un scanner tiers à son propre catalogue de correctifs et montre quelles CVE il peut remédier. Il n'effectue pas sa propre détection CVE.
Gérer > Logiciels : inventaire du parc global. La vue logiciels au niveau du parc ajoute un filtre « Vulnérabilité ou ID CVE », confirmant que les données CVE existent dans le système à un certain niveau. Cependant, la colonne Gravité affiche toujours des catégories KB-méta, pas des scores CVSS. Les colonnes Jours exposés, Ignorés et Affectés sont disponibles pour le triage au niveau du parc.
Agent Linux : L'agent Linux a inventorié 746 paquets. La liste logiciels affiche Version installée, Version disponible, Jours exposés, Gravité, Liste KEV et colonnes EPSS. Les colonnes KEV et EPSS sont vides pour toutes les entrées ; les colonnes existent dans le schéma mais ne sont pas remplies. La gravité reflète le signal du catalogue de correctifs, pas le NVD.
Points aveugles du catalogue de correctifs : Firefox ESR 115.12.0 sous Windows affichait Installé 115.12.0, Disponible 140.10.2, Jours exposés 9, Gravité « Pas de CVE connues » — environ 25 versions de mise à jour et des milliers de CVE séparent ces deux, mais le catalogue ne porte aucun signal CVE pour cet écart de version. LibreOffice 7.1.8.1 sous Linux (14 paquets installés, plus de 100 CVE NVD documentées) affichait tous les paquets comme « Installés » avec Version disponible vide et Gravité vide. Le fournisseur est passé de la branche 7.1 à la série 24.x, donc aucune entrée de mise à jour n'existe dans le catalogue, et l'outil ne renvoie aucun signal de vulnérabilité.
Empreinte sur l'endpoint : Mémoire maximale de l'agent Linux : 8,8 Mo, le plus léger des quatre outils testés, malgré aucune revendication marketing sur l'empreinte. L'empreinte Windows n'a pas été mesurée : la politique de NinjaOne a supprimé l'agent Automox 2 minutes après que NinjaOne se soit enregistré sur la même machine virtuelle, donc aucune référence Windows n'a été capturée.
Différences principales :
- Automate → Remediations : accepte les exports CSV de Qualys, Tenable, Rapid7, CrowdStrike ou un format générique ; associe les CVE aux éléments corrigés et affiche les comptes Corrigés vs Non appariés
- Les libellés de gravité sont empruntés aux classifications du catalogue Microsoft Update (Critique / Inconnu / Pas de CVE connues), pas aux scores CVSS NVD
- La détection par catalogue de correctifs produit des points aveugles systématiques : LibreOffice 7.1.8.1 et Firefox ESR 115.12.0 ont tous deux renvoyé « Pas de CVE connues » malgré des centaines de CVE documentées, car aucune mise à jour du catalogue n'existe pour ces branches de version
- Agent le plus léger du groupe à 8,8 Mo en pic sous Linux — malgré ne faisant aucune revendication marketing sur l'empreinte
- Trois types de politiques : Politique de correctifs (avec planification consciente du Patch Tuesday), Politique de logiciel requis et Worklet (modèles de scripts shell/PowerShell)
- L'essai nécessite une adresse e-mail professionnelle ; Gmail rejeté
4. Action1
Action1 est un RMM cloud-native avec un pipeline de vulnérabilités Windows capable. Sous Linux, il inventorie les paquets et suit les deltas de version mais ne produit aucune sortie CVE. Les comportements sur les deux OS sont architecturalement différents et doivent être évalués séparément.
Accès à l'essai : Accès direct, Gmail accepté, aucun contact commercial. Après soumission du formulaire, un code de confirmation arrive par e-mail ; son saisie conduit directement au tableau de bord avec les installateurs d'agents prêts. Pas d'assistant d'intégration, pas de formulaire de demande d'essai, pas de période d'attente.
Installation de l'agent Windows : L'installateur fait 6,9 Mo et se termine en 67 secondes. Un e-mail de confirmation arrive immédiatement après, et le panneau affiche : « L'agent a été installé avec succès. Votre endpoint est maintenant connecté au cloud Action1. »
Installation de l'agent Linux : L'agent Linux fait 2,3 Mo (.deb) et s'installe en 5 à 6 secondes via une seule commande curl + apt. L'ID de l'organisation est intégré dans le paquet ; aucune configuration post-installation n'est nécessaire. Trois chemins de déploiement sont proposés : Interactif (pour les nouveaux utilisateurs), Sans assistance et Direct. RPM est également disponible pour les systèmes de la famille Red Hat. Après installation, l'agent a détecté une mise à jour du noyau en attente et a correctement signalé l'endpoint Linux comme « Redémarrage requis », lisant l'état OS spécifique à la distribution plutôt qu'appliquant une logique Windows à Linux.
Tableau de bord : Sans déclencher manuellement une analyse, 114 vulnérabilités et 3 mises à jour manquantes sont apparues en quelques minutes après la mise en ligne de l'agent Windows. Le tableau de bord se concentre sur deux widgets de triage : un indicateur de conformité à la remédiation des vulnérabilités avec bandes SLA (Critique : 1-7 jours, Élevé : 8-30 jours, Moyen : 31-90 jours, Faible : 90+ jours) et une matrice Répartition des délais de remédiation des vulnérabilités montrant gravité × statut en retard SLA. La même disposition est répétée pour les mises à jour. Une bannière marketing de niveau gratuit et des boutons de partage social apparaissent également sur le tableau de bord.
Liste des vulnérabilités et priorisation CVE : La page Vulnérabilités affiche ID CVE, Score CVSS, indicateur CISA KEV, Date de publication, Statut de remédiation, Logiciel vulnérable (avec chemin complet de version) et nombre d'endpoints affectés. CISA KEV est une colonne de premier plan qui met en évidence les CVE activement exploitées dans la nature, un signal de triage plus fort que le CVSS seul. EPSS est absent.
Panneau de détail CVE : Chaque CVE ouvre un panneau latéral avec trois onglets : Endpoints (machines affectées avec un bouton Démarrer la remédiation), Logiciel vulnérable (logiciel affecté par plateforme) et Détails. L'onglet Détails inclut le score de base CVSS, le score d'impact, le score d'exploitabilité, la ventilation du sous-vecteur CVSS sous forme lisible, un indicateur d'association au ransomware, des liens multi-sources (NVD, NVD++ via VulnCheck, avis du fournisseur) et un délai de remédiation auto-calculé basé sur la gravité. Les CVE critiques ont un SLA de 7 jours ; Moyen-Élevé ont 30 jours, calculé rétroactivement à partir de la date de publication de la CVE.
Latence de détection : Firefox ESR 115.0esr a été installé avec un indicateur silencieux, et l'horodatage de fin d'installation a été enregistré à la seconde. L'agent a envoyé l'inventaire logiciel vers le cloud à T+4 minutes 33 secondes ; le cloud a confirmé 1 seconde plus tard ; la liste des vulnérabilités a été remplie avec les CVE Firefox en moins de 11 minutes après l'installation. L'agent utilise un intervalle d'interrogation de 5 minutes. L'étiquette marketing « en temps réel » est inexacte ; « quasi en temps réel / interrogation toutes les 5 minutes » est la description correcte. Aucun déclencheur d'analyse manuelle n'est requis, ce qui le distingue des outils à analyse planifiée.
Détection CVE Linux (absente) : Un paquet Firefox ESR 102.15.1 délibérément vulnérable (EOL depuis septembre 2023, plus de 50 CVE non corrigées) a été installé via dpkg. L'agent a détecté l'installation en 66 secondes et envoyé la bonne version au cloud. La charge utile cloud a montré : "CVE": "", "Security Severity": "Unspecified". La page Vulnérabilités a affiché « Aucun logiciel vulnérable. » La même version Firefox sous Windows a produit plus de 11 CVE avec des scores CVSS de 9,8 à 10. L'agent Linux Action1 est un traqueur de delta de version : il enregistre la version installée, la dernière version et la disponibilité de la mise à jour, mais n'effectue aucune recherche dans la base de données CVE pour les paquets Linux.
Déploiement des correctifs : Deux flux parallèles existent. Le flux piloté par vulnérabilité va : Détail CVE > Démarrer la remédiation > assistant en 3 étapes. Trois stratégies sont disponibles : Déployer les mises à jour, Désinstaller le logiciel et Documenter les contrôles compensatoires. Le troisième est notable ; il permet de documenter l'acceptation du risque pour un logiciel qui ne peut pas être corrigé. Le flux piloté par mise à jour via Approbation des mises à jour ajoute le partage de fichiers P2P basé sur LAN pour les succursales, l'orchestration du redémarrage (redémarrage automatique avec popup configurable visible par l'utilisateur et délai) et l'option de désactiver entièrement les mises à jour natives Windows afin que seuls les correctifs approuvés par Action1 soient déployés. Ces fonctionnalités n'existent que dans le flux piloté par mise à jour ; l'assistant piloté par vulnérabilité ne les propose pas.
Temps de déploiement du correctif pour KB5082142 : 1 minute de Exécuter maintenant à statut Réussi. Cependant, « Réussi » dans le moteur d'automatisation signifie que le binaire a été écrit sur le disque, pas que le correctif est actif. Sans redémarrage, la page Vulnérabilités continuait d'afficher la CVE corrigée comme En retard car le système d'exploitation n'avait pas encore validé le changement. Le moteur d'automatisation a étiqueté l'opération comme réussie ; le scanner de vulnérabilités continuait d'afficher la CVE comme En retard — le comportement correct, puisque le correctif nécessite un redémarrage pour prendre effet. Après redémarrage, la CVE a été retirée de la liste.
Alertes et notifications : Les alertes sont basées sur les rapports : un utilisateur s'abonne aux changements (Créé / Supprimé / Modifié) dans les données d'un rapport nommé. Les e-mails d'alerte arrivent rapidement et incluent des champs structurés : Fournisseur, Version, Type d'installation et Installé pour. Le champ destinataire accepte une seule adresse e-mail uniquement ; il n'y a pas de canal Slack, Teams ou webhook. Un mécanisme de suppression silencieuse existe : après le Nième déclenchement de la même règle dans une fenêtre de temps, la règle cesse de se déclencher sans indication dans l'interface. L'état de suppression est visible uniquement dans le journal local de l'agent. Les utilisateurs attendant des alertes après avoir franchi le seuil de suppression n'ont aucun moyen de découvrir la cause depuis l'interface.
Empreinte sur l'endpoint : Mesurée sur 10 minutes pendant un cycle d'installation, d'analyse et d'évaluation d'alerte de Firefox : CPU moyen 0,013 %, CPU maximal 1,56 % au moment du cycle d'interrogation, RAM stable à 51,7 Mo avec une bande de 0,14 Mo sur toute la fenêtre, IO disque presque nulle sauf pour de brèves écritures de cache d'analyse. L'affirmation « impact zéro sur l'endpoint » est soutenue par la mesure. Aucun test de charge synthétique lourd n'a été effectué.
Rapports : Le générateur de rapports propose deux types (Résumé avec regroupement, Simple pour tableaux plats), un sélecteur de colonnes, une étape de filtre, une livraison planifiée, S'abonner, export CSV et export PDF. Cinq catégories de rapports intégrées incluent la Gestion des vulnérabilités avec cinq sous-rapports : Sélectionner vulnérabilités, Toutes les vulnérabilités critiques, Contrôles compensatoires documentés, Vulnérabilités exploitées connues et Résumé des vulnérabilités. Tous sont des vues de l'état actuel. Il n'y a pas de rapport intégré « CVE corrigées au fil du temps » ou « Historique des correctifs par CVE ». Une CVE corrigée est retirée de la liste ; elle ne passe pas à un état résolu. Reconstituer quelle CVE a été fermée à quelle date nécessite de croiser manuellement l'Histoire de l'automatisation, qui elle-même a un problème de pollution historique à cause des entrées multiples Exécuter maintenant.
Différences principales :
- Détection Windows en ≤11 minutes après l'installation de l'agent (interrogation toutes les 5 minutes) ; envoi installation-vers-cloud mesuré à 4 minutes 33 secondes
- Panneau de détail CVE : CVSS + indicateur CISA KEV + association au ransomware + SLA basé sur la gravité (Critique 7 jours, Moyen/Élevé 30 jours, auto-calculé à partir de la date de publication) + liens multi-sources (NVD, NVD++, avis du fournisseur)
- Agent Linux : 2,3 Mo .deb, s'installe en 5–6 secondes, auto-activé systemd ; RPM également disponible. Inventorie les paquets dpkg en ~66 secondes mais ne produit aucune sortie CVE — la charge utile de l'agent renvoie
"CVE": "", "Security Severity": "Unspecified". Installer Firefox 102 EOL sous Linux a laissé la liste Vulnérabilités vide. - Empreinte de l'agent vérifiée par pidstat : 51,7 Mo stable, CPU moyen 0,013 %, pic 1,56 % pendant l'analyse
- Notifications d'alerte limitées à une seule adresse e-mail ; pas de Slack, Teams ou webhook ; les règles d'alerte cessent silencieusement de se déclencher après N déclenchements sans indication dans l'interface
- Rapports : Générateur personnalisé + 5 sous-catégories de rapports VM (Sélectionner / Critiques / Compensatoires / KEV / Résumé) + Planifier + S'abonner ; pas de rapport intégré « CVE corrigées au fil du temps »
Méthodologie
Endpoints : Windows Server 2022 Standard 21H2 (Build 20348.3207) et Ubuntu 24.04.4 LTS (noyau 6.8.0-111). Les quatre agents ont fonctionné simultanément sur l'hôte Linux. Sous Windows, NinjaOne et Automox ont été installés séquentiellement sur la même machine virtuelle.
Logiciels vulnérables : Firefox ESR 115.12.0, 7-Zip 19.00, Edge 148 (Windows) ; Node.js 18.19.1, vsftpd 3.0.5, Apache 2.4.58, LibreOffice 7.1.8.1, /opt/firefox-115.0esr/ archive tar du fournisseur (Linux).
Mesure : pidstat (RSS et CPU au niveau du processus), Get-Counter (compteurs de performance Windows), pywinrm et paramiko (exécution de commandes à distance). Les métriques au niveau cgroup sont exclues pour éviter l'inflation par cache de page.
Portée : macOS exclu. Les tests ont suivi la séquence : intégration essai → installation agent → tableau de bord initial → détail appareil → politique/analyse → inventaire vulnérabilités → flux correctif → configuration alerte → performance endpoint → rapports.
FAQ
Les outils de gestion des vulnérabilités détectent les vulnérabilités logicielles et système sur les endpoints gérés, les priorisent par gravité et relient les découvertes aux flux de correctifs. L'objectif est de réduire la fenêtre entre la publication d'une CVE et la correction de la version affectée.
En pratique, ces outils diffèrent fortement dans leur méthode de détection des vulnérabilités. Certains interrogent directement le NVD ; d'autres infèrent le risque à partir de la disponibilité du catalogue de correctifs. Cette différence architecturale détermine ce qu'ils peuvent et ne peuvent pas trouver.
Citer cette recherche
Choisissez le format qui correspond à votre lieu de publication. Coller la version avec lien dans votre CMS préserve le lien retour.
@misc{dogan2026,
author = {Dogan, Sedat and Sezer, Sena},
title = {{Meilleurs outils de gestion des vulnérabilités}},
year = {2026},
month = jun,
howpublished = {\url{https://aimultiple.com/vulnerability-management-tools}},
note = {AIMultiple. Consulté le 2 Juin 2026}
}








































Soyez le premier à commenter
Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires. Les commentaires sont laissés dans leur langue d'origine.