OpenVOC

OpenVOC

Plateforme de gestion des vulnérabilités — Manuel utilisateur

OpenVOC est une plateforme open-source conçue pour aider les organisations à suivre, qualifier et communiquer autour des vulnérabilités logicielles publiques — de l'ingestion automatisée jusqu'au suivi de la remédiation par groupe.

PHP 8.1+ MVC MariaDB CycloneDX SBOM Open Source

Qu'est-ce qu'OpenVOC ?

OpenVOC est une plateforme de gestion des vulnérabilités qui agrège les avis de sécurité publics provenant de sources telles que CERT-FR, CISA KEV et EUVD (ENISA), les qualifie en enregistrements structurés appelés Publifailles, et les distribue aux équipes concernées par email avec des boutons de statut de remédiation en un clic.

À la différence des outils commerciaux lourds, OpenVOC est volontairement léger : il se concentre sur la communication et le suivi plutôt que sur le scan actif. Les groupes s'abonnent à des produits, reçoivent des alertes ciblées, et remontent leur état de remédiation — sans aucun agent.

Ingestion automatisée

Des connecteurs récupèrent automatiquement les avis de sécurité depuis les sources officielles et les poussent dans la file de revue.

Notifications ciblées

Chaque groupe ne reçoit que les alertes concernant les produits auxquels il est abonné, réduisant le bruit informationnel.

Suivi de remédiation

Les groupes mettent à jour leur statut de correction via des boutons en un clic dans l'email. La progression est agrégée sur le tableau de bord.

Architecture modulaire

Des connecteurs pluggables alimentent les Publifailles (CERT-FR, CISA…) et les Sysfailles (CMDB, scanners). Nouvelles sources intégrées sans modifier le cœur de la plateforme.

RBAC hiérarchique

Les groupes peuvent avoir des sous-groupes. Un groupe a la visibilité sur ses propres données et celles de tous ses sous-groupes, permettant une délégation fine des accès.

Processus paramétrable

Les étapes de traitement (libéllés, couleurs, progression %) sont entièrement configurables par les administrateurs — adaptez le processus à votre organisation.

Concepts clés

Publifaille

Un bulletin de vulnérabilité structuré dérivé d'un avis public. Contient titre, sévérité, identifiants CVE/CWE, produit affecté, description et guides de remédiation. Cycle de vie : en attente de revue → validé → envoyé → ignoré.

Groupe

Une équipe ou unité organisationnelle qui suit un ou plusieurs produits. Les groupes reçoivent des notifications par email lorsqu'une publifaille concerne leurs produits abonnés, et remontent leur état de remédiation par publifaille.

Produit

Un composant logiciel ou application (ex. Apache HTTP Server) appartenant à un éditeur. Les groupes s'abonnent aux produits pour recevoir les alertes pertinentes. Les produits portent des métadonnées CycloneDX SBOM (PURL, licence, type de composant).

Actif

Un équipement physique ou virtuel (serveur, poste de travail, conteneur…) appartenant à un groupe. Les actifs sont liés aux produits installés et supportent l'import/export CycloneDX SBOM.

État de groupe

Statut de remédiation qu'un groupe attribue à une publifaille (ex. Sans information, En cours, Corrigé). Configurable par les administrateurs avec un pourcentage de progression (0–100 %) utilisé dans les tableaux de bord.

Connecteur

Une source de données automatisée qui récupère et analyse les avis de sécurité publics (CERT-FR Alertes, CERT-FR Avis, CISA KEV, EUVD ENISA). S'exécute selon un planning cron et pousse les entrées dans la file de revue.

Sysfaille

Une vulnérabilité au niveau système détectée via un connecteur CMDB externe (ex. un CVE issu d'un scan Nessus). Liée directement aux actifs plutôt qu'aux produits.

SBOM

Inventaire logiciel (Software Bill of Materials) au format CycloneDX 1.6. OpenVOC peut exporter la liste des composants d'un actif en JSON SBOM et importer des fichiers SBOM pour enrichir les données actif/produit.

Publifaille / Publiflaw

Une Publifaille est un bulletin de vulnérabilité structuré, dérivé d’un avis public (CERT-FR, CISA KEV, EUVD ENISA…). Elle est liée à un produit logiciel et déclenche des notifications ciblées vers les groupes abonnés à ce produit. Son cycle de vie — en attente de revue, validée, envoyée — est géré par les analystes. Les états de remédiation que les groupes lui associent (ex. en cours, corrigé) sont entièrement paramétrables.

Sysfaille / Sysflaw

Une Sysfaille est une vulnérabilité détectée directement sur un actif (serveur, poste de travail, conteneur…), typiquement remontée par un connecteur CMDB ou un scanner (ex. Nessus). Elle est liée à la machine concernée plutôt qu’à un produit logiciel, et représente la dimension technique de la remédiation — complémentaire à la dimension organisationnelle de la Publifaille.

Processus de gestion des publifailles

Chaque vulnérabilité gérée dans OpenVOC suit un cycle de vie structuré en trois phases : Alerte, Identification et Remédiation. Le schéma ci-dessous montre comment une publifaille évolue de sa création jusqu'à la résolution complète pour chaque membre concerné.

Phase 1

Alerte

  • Un analyste crée ou valide une publifaille depuis la file de revue.
  • L'analyste clique sur Envoyer et sélectionne les groupes destinataires.
  • OpenVOC envoie un email à tous les membres dont le groupe est abonné au produit affecté.
Phase 2

Identification

  • Chaque membre vérifie si son infrastructure contient le produit affecté.
  • Si non concerné : mettre à jour le statut à Non affecté — aucune action supplémentaire.
  • Si concerné : ajouter chaque actif exécutant le produit dans OpenVOC, puis créer une sysfaille pour chaque système vulnérable.
Phase 3

Remédiation

  • Les membres appliquent les correctifs ou mitigations sur chaque actif vulnérable.
  • Chaque sysfaille liée à la publifaille doit être marquée remédiée.
  • Une fois toutes les sysfailles résolues, le statut de remédiation du groupe peut être passé à Corrigé.

Arbre de décision — identification

Lorsqu'un membre reçoit une notification de publifaille, il doit suivre ce cheminement :

Notification de publifaille reçue

Votre groupe utilise-t-il le produit affecté ?

NON — non concerné
  1. 1 Confirmer qu'aucun actif n'exécute le produit ou la version affectée.
  2. 2 Mettre à jour le statut de la publifaille à Non affecté ou l'état équivalent configuré.
  3. 3 Aucune sysfaille à créer. La publifaille est clôturée pour votre groupe.
OUI — concerné
  1. 1 Identifier chaque actif de votre infrastructure exécutant le produit affecté.
  2. 2 Ajouter chaque actif dans OpenVOC (s'il n'est pas déjà présent) sous votre groupe.
  3. 3 Créer une sysfaille pour chaque actif vulnérable, en la liant à la publifaille.
  4. 4 Appliquer les correctifs ou mitigations et marquer chaque sysfaille comme remédiée au fur et à mesure.
  5. 5 Une fois toutes les sysfailles résolues, passer le statut du groupe à Corrigé.

Publifaille complète pour votre groupe — toutes les sysfailles associées sont remédiées et le statut du groupe est passé à un état terminal (ex. Corrigé ou Non affecté).

Sysfaille vs statut Publifaille : une publifaille suit la remédiation organisationnelle au niveau du groupe. Une sysfaille suit la remédiation technique au niveau de l'actif. Les deux doivent atteindre un état résolu pour une vue complète de la remédiation.
Processus paramétrable : les états de remédiation (en cours, corrigé, non affecté…) sont entièrement configurables par les administrateurs — libéllés FR/EN, couleur du bouton email et pourcentage de progression. Adaptez le processus de traitement aux besoins de votre organisation via Administration → États de groupe.

Rôles utilisateurs

OpenVOC dispose de trois rôles avec des permissions cumulatives :

Membre
  • Voir les publifailles de son groupe
  • Mettre à jour le statut de remédiation
  • Voir les actifs de son groupe
  • Recevoir les notifications email
Analyste
  • Toutes les permissions Membre
  • Revoir et valider les publifailles
  • Créer et éditer les publifailles
  • Envoyer les notifications aux groupes
  • Gérer les produits & éditeurs
  • Gérer les actifs & SBOM
Administrateur
  • Toutes les permissions Analyste
  • Gérer les utilisateurs & groupes
  • Gérer les connecteurs
  • Configurer les états de groupe
  • Gérer le crontab & le SMTP
MEMBRE

Guide Membre

En tant que membre, vous appartenez à un ou plusieurs groupes. Votre vue d'OpenVOC se concentre sur les vulnérabilités qui concernent votre équipe, les actifs que vous gérez et les actions de remédiation à entreprendre.

Tableau de bord

Le tableau de bord est votre page d'accueil après connexion. Il affiche :

  • Compteurs récapitulatifs — total des publifailles envoyées à vos groupes, combien sont entièrement résolues et combien restent ouvertes.
  • Barres de progression par publifaille — progression moyenne de la remédiation sur l'ensemble de vos groupes. Vert = 100 % résolu, jaune = en cours, rouge = non démarré.
  • Répartition par sévérité — vue rapide des publifailles critique/élevée/moyenne/basse affectant vos groupes.

Mes Publifailles

Mon espace → Mes Publifailles liste toutes les vulnérabilités envoyées à au moins un de vos groupes. Pour chaque publifaille vous pouvez consulter :

  • Titre, sévérité, produit(s) affecté(s) et identifiant CVE.
  • L'état de remédiation actuel de votre groupe (ex. Sans information, En cours, Corrigé).
  • Un menu déroulant de changement de statut pour mettre à jour l'état de votre groupe directement depuis la liste.

La liste peut être filtrée par Sévérité, Groupe (si vous appartenez à plusieurs groupes) et Mon statut pour se concentrer sur ce qui nécessite une attention.

Astuce : si vous appartenez à plusieurs groupes, chaque groupe a son propre état indépendant par publifaille. Mettez à jour chacun séparément depuis la page de détail de la publifaille.

Mes Sysfailles

Mon espace → Mes Sysfailles affiche les vulnérabilités au niveau système détectées par un connecteur CMDB externe et liées directement aux actifs de votre groupe. Contrairement aux publifailles (basées sur les produits), les sysfailles ciblent des machines spécifiques.

Mes Actifs

Mon espace → Mes Actifs affiche les équipements (serveurs, postes de travail, conteneurs…) appartenant à votre groupe, avec leur état, adresse IP, nom d'hôte et le nombre de produits logiciels installés.

Notifications email & actions en un clic

Lorsqu'un analyste valide et envoie une publifaille, votre groupe reçoit un email structuré contenant :

  • Bandeau de sévérité — en-tête coloré indiquant le niveau de sévérité et le titre de la vulnérabilité.
  • Tableau des indicateurs de risque — score CVSS, vecteur CVSS, et indicateurs tri-états pour la disponibilité d'un patch, d'un contournement, d'une preuve de concept, d'une exploitation active, du statut CISA KEV et de l'alerte CERT-FR.
  • Sections de contenu — description, impacts et solution/remédiation (affichés uniquement si renseignés).
  • Produits affectés — liste des produits et versions concernés.
  • Identifiants — CVE, EUVD, CWE, référence source, date de publication et lien externe.
  • Boutons d'action en un clic — un par état de remédiation configurable.
  • Un lien vers la page de détail complète de la publifaille.

Cliquer sur un bouton d'action met à jour instantanément l'état de votre groupe — sans connexion requise. Chaque bouton contient un jeton unique, limité dans le temps et à usage unique, consommé au clic. Les jetons expirent après 30 jours.

Chaque jeton ne peut être utilisé qu'une seule fois. Pour modifier votre réponse, connectez-vous et mettez à jour le statut depuis la page de détail de la publifaille.
ANALYSTE

Guide Analyste

Les analystes qualifient les données de vulnérabilité entrantes et décident quels groupes doivent être notifiés. Ils contrôlent l'intégralité du cycle de vie éditorial des publifailles.

File de revue

Analyste → File de revue liste toutes les publifailles en état pending_review. Un badge rouge dans la barre latérale indique le nombre. Pour chaque entrée vous pouvez :

  • Consulter le détail complet (titre, description, CVE, CVSS, impacts, solutions).
  • Éditer l'enregistrement pour corriger les problèmes de qualité avant envoi.
  • Valider — passe à l'état validated et l'assigne à tous les groupes abonnés au produit affecté.
  • Ignorer — marque comme non pertinent ; disparaît de la file sans notifier personne.

Créer une Publifaille manuellement

Utilisez Analyste → Créer une Publifaille pour ajouter une vulnérabilité non détectée par un connecteur.

Champ Requis Notes
TitreTitre court et descriptif de la vulnérabilité.
ProduitProduit affecté du catalogue. Détermine quels groupes sont notifiés.
SévéritéCritique / Élevée / Moyenne / Basse / Info.
CVEUn ou plusieurs identifiants CVE, séparés par des virgules.
Score CVSSScore numérique 0.0–10.0.
DescriptionCe qui est vulnérable et pourquoi c'est important.
ImpactsImpact potentiel en cas d'exploitation.
SolutionsÉtapes de correctif ou de mitigation recommandées.
Date de publicationDate de publication de l'avis d'origine.
Lien externeURL vers l'avis d'origine.
Indicateurs CISA KEV / CERT-FRSignalent la présence dans ces bases de données.

Valider & Envoyer

En attente Valider → Validée Envoyer → Envoyée

Après validation, accédez à la page de détail de la publifaille et cliquez sur Envoyer maintenant. Choisissez les groupes à notifier et ajoutez éventuellement des adresses email supplémentaires. Le système génère des jetons d'action en un clic par état et par groupe, puis envoie les emails.

Renvoi : vous pouvez envoyer une publifaille plusieurs fois (ex. après édition ou ajout de nouveaux groupes). Chaque envoi génère de nouveaux jetons.

Produits & Éditeurs

Analyste → Produits est le catalogue logiciel. Chaque produit est lié à un éditeur et peut porter une version, un CPE, un PURL, un type de composant, une licence et une description. Les produits déterminent quels groupes sont notifiés lors de la validation d'une publifaille — seuls les groupes abonnés au produit affecté reçoivent l'alerte.

La création ou modification d'un produit requiert au minimum le rôle Analyste. L'abonnement des groupes est configuré sur la page d'édition du produit.

Actifs & SBOM

Analyste → Actifs gère l'inventaire des équipements. Chaque page de détail d'actif propose un tableau de composants, un panneau des publifailles affectées, l'export SBOM et l'import SBOM.

Import CycloneDX — ordre de résolution des composants

  1. 1
    Correspondance PURL exacteLe composant a un PURL correspondant à un produit existant.
  2. 2
    Correspondance Nom + ÉditeurRecherche par nom de produit et nom d'éditeur.
  3. 3
    Correspondance par nom seulRepli sur le nom sans éditeur.
  4. 4
    Création d'un nouveau produitNouveau produit (et éditeur si nécessaire) créé automatiquement.
ADMIN

Guide Administrateur

Les administrateurs configurent la plateforme, gèrent tous les utilisateurs et groupes, maintiennent le catalogue de produits et d'actifs, et contrôlent les paramètres système.

Utilisateurs

Administration → Utilisateurs liste tous les comptes de la plateforme. Vous pouvez créer, modifier, suspendre et supprimer des utilisateurs. Un utilisateur peut appartenir à plusieurs groupes et possède un rôle principal (membre, analyste ou administrateur).

Attribuez le rôle analyste aux membres de l'équipe qui qualifient les vulnérabilités, et le rôle administrateur uniquement aux gestionnaires de la plateforme.

Groupes

Les groupes représentent des unités organisationnelles. Chaque groupe possède un nom, un email de notification, une préférence de langue (FR/EN), un groupe parent optionnel et une liste de produits auxquels il est abonné.

Visibilité hiérarchique (RBAC) : les groupes peuvent être organisés en arborescence parent/enfant. Un groupe a accès à ses propres données et à celles de tous ses sous-groupes. Cela permet, par exemple, à une entité « RSSI » de surveiller la remédiation de toutes les équipes qui lui sont rattachées, sans que chaque équipe ne voie les données des autres.

Supprimer un groupe efface tous ses états de publifaille. Exportez les données ou réassignez les publifailles avant la suppression.

Connecteurs

Administration → Connecteurs affiche la liste des connecteurs de sources de données. OpenVOC adopte une architecture modulaire : chaque connecteur est un module indépendant qui peut être activé, désactivé, planifié et exécuté à la demande. De nouvelles sources s’intègrent sans modifier le cœur de la plateforme.

Sources Publifailles

  • CERT-FR Alertes — Alertes critiques ANSSI
  • CERT-FR Avis — Avis généraux ANSSI
  • CISA KEV — Vulnérabilités exploitées
  • EUVD ENISA — Base européenne des vulnérabilités (ENISA)

Sources Sysfailles

  • Connecteurs CMDB externes (scanner Nessus, outil de gestion de parc)
  • CVE rattachés directement aux actifs OpenVOC
  • Architecture extensible : un connecteur par outil tiers

CMDB / Actifs

  • Synchronisation d\’inventaire depuis une CMDB externe
  • Import SBOM CycloneDX 1.6 pour enrichir les actifs
  • Actifs rattachés à leurs groupes et produits
Connecteur Source Type
CERT-FR Alertescert.ssi.gouv.fr/alerteAlertes critiques (ANSSI)
CERT-FR Aviscert.ssi.gouv.fr/avisAvis généraux (ANSSI)
CISA KEVcisa.gov/known-exploited-vulnerabilities-catalogVulnérabilités exploitées connues
EUVD ENISAeuvd.enisa.europa.euBase européenne des vulnérabilités (ENISA)

Les connecteurs sont planifiés via Administration → Crontab. Recommandé : exécuter fetch+parse une fois par jour (ex. 0 6 * * *).

États de groupe

Administration → États de groupe est le cœur du processus de traitement paramétrable. Chaque état représente une étape du cycle de remédiation d’une vulnérabilité pour un groupe donné. Les administrateurs définissent librement ces étapes : ajout, modification, suppression, réordonnancement.

Pour chaque état : slug interne (immuable), libéllé FR/EN affiché aux utilisateurs, pourcentage de progression (0–100 %) agrégé dans les tableaux de bord, et couleur du bouton intégrée dans les emails de notification.

Exemples d’états typiques : Sans information (0 %) → En analyse (25 %) → En cours de correction (50 %) → Correctif appliqué (75 %) → Corrigé et vérifié (100 %) → Non affecté (100 %). Ces étapes sont entièrement personnalisables selon vos processus internes.
Un état en cours d'utilisation ne peut pas être supprimé. Réassignez d'abord tous les groupes.

Crontab

Administration → Crontab gère la planification des connecteurs. Ajoutez des connecteurs avec des expressions prédéfinies, visualisez les entrées parsées ou éditez le crontab brut directement.

0 6 * * *   php /path/to/cli/connector.php run cert-fr_alerte fetch && \
            php /path/to/cli/connector.php run cert-fr_alerte parse

Paramètres email

Paramètres → Paramètres email configure le serveur SMTP. Les paramètres sont stockés en base de données et modifiables à la volée. Utilisez le bouton Envoyer un email de test pour vérifier la configuration.

Paramètre Description
SMTP activéActivation globale. Désactivé : les emails sont uniquement journalisés.
Hôte / Port SMTPAdresse du serveur mail et port (587 STARTTLS ou 465 SSL).
Identifiant / Mot de passeIdentifiants SMTP. Le mot de passe est stocké chiffré AES-256.
Email / Nom expéditeurAdresse et nom d'expédition affichés aux destinataires.
URL de l'applicationURL de base de votre instance OpenVOC — utilisée pour construire les liens dans les emails.

Glossaire

BOM

Bill of Materials — liste structurée de composants (logiciels ou matériels) d'un produit ou système.

CPE

Common Platform Enumeration — schéma de nommage structuré pour les systèmes informatiques, logiciels et paquets.

CVE

Common Vulnerabilities and Exposures — identifiant public de vulnérabilité de cybersécurité (ex. CVE-2021-44228).

CVSS

Common Vulnerability Scoring System — score numérique (0.0–10.0) représentant la sévérité.

CWE

Common Weakness Enumeration — système de catégorisation des faiblesses logicielles.

CycloneDX

Standard OWASP pour les Software Bill of Materials. OpenVOC utilise le format CycloneDX 1.6 JSON.

EUVD

European Union Vulnerability Database — base de données de vulnérabilités maintenue par l'ENISA.

KEV

Known Exploited Vulnerabilities — catalogue CISA des vulnérabilités avec exploitation active confirmée.

PURL

Package URL — standard d'identification des paquets logiciels (ex. pkg:npm/lodash@4.17.21).

SBOM

Software Bill of Materials — liste complète des composants, bibliothèques et dépendances.

SPDX

Software Package Data Exchange — standard pour les informations SBOM incluant les licences (ex. Apache-2.0, MIT).

STARTTLS

Extension de protocole email qui bascule d'une connexion en clair vers TLS chiffré. Utilisé sur le port 587.

Jeton d'action

Secret hexadécimal de 64 caractères à usage unique intégré dans les boutons email. Consommé au clic, expire après 30 jours.

OpenVOC Documentation · 2026 · GitHub