La gestion des vulnérabilités combine scans automatisés réguliers, analyse des résultats et orchestration des patchs. Le scoring CVSS aide à prioriser, mais le contexte métier est essentiel : une vulnérabilité critique sur un système isolé peut être moins urgente qu'une moyenne sur un serveur exposé. Les SLA de patching doivent être définis.