Lorsque les attaquants sont plus rapides que le correctif

4 min de lecture

Entre la divulgation d’une vulnérabilité et son exploitation, il s’écoulait autrefois des semaines. Aujourd’hui, il ne s’agit souvent que de jours. Les attaquants utilisent l’IA pour réduire encore cette fenêtre, tandis que le nombre de vulnérabilités publiées augmente. Le State of Vulnerabilities Report 2026 analyse plus de 11 000 découvertes issues d’environnements clients en production. Sa conclusion principale : ce n’est pas la quantité de failles qui détermine le risque, mais la rapidité avec laquelle les plus critiques sont corrigées.

Les points clés en bref

  • Plus de vulnérabilités : Le nombre de CVE publiées dans le secteur a augmenté de 20 % en 2025, dépassant les 48 000.
  • Découvertes plus graves : Les failles de haute sévérité ont augmenté de 10 %, l’exécution de code à distance de 39 % et les attaques par force brute de 17,4 %.
  • La rapidité est décisive : Ceux qui testent en continu réduisent le délai moyen de correction de 47 %.
  • Nouvelle surface d’attaque : Les tests de sécurité sur les environnements d’IA et de LLM ont augmenté de 120 %.

À lire aussi :L’authentification multifacteur adaptative comme levier Zero Trust  /  À partir de quand le délai de notification commence à courir

La fenêtre de temps entre la faille et l’attaque se réduit

Le paysage des menaces s’est durci en 2025. Les attaquants utilisent l’IA pour réduire le délai entre la divulgation d’une vulnérabilité et son exploitation active. Rien que l’année dernière, le nombre de CVE publiées à l’échelle du secteur a augmenté de 20 % pour dépasser les 48 000. Pour le State of Vulnerabilities Report 2026, plus de 11 000 vulnérabilités issues des environnements clients de 2025 ont été analysées.

Ce rapport provient de Synack, un fournisseur de tests d’intrusion assistés par l’IA. Son analyse se concentre moins sur le nombre absolu de découvertes que sur leur dynamique.

Déclaration du CTO

« Les règles ont changé en 2025. Le temps est désormais la plus grande vulnérabilité. Les attaquants trouveront toujours de nouvelles failles. Ce qui a changé, c’est la vitesse à laquelle ils les découvrent et les exploitent. »
– Dr. Mark Kuhr, cofondateur et CTO, Synack

La structure des risques évolue

Le nombre total de vulnérabilités découvertes est resté largement stable en glissement annuel. C’est leur répartition qui a évolué. Les failles de haute gravité ont augmenté de 10 %. La hausse la plus marquée concerne l’exécution de code à distance, qui a bondi de 39 %. Les attaques par force brute ont progressé de 17,4 %, et l’injection de contenu de 8 %.

Le rapport interprète cette tendance comme un basculement vers des attaques basées sur l’identité. Cela corrobore l’observation selon laquelle les attaquants utilisent l’IA pour tester les contrôles d’accès à grande échelle. Pour les équipes de sécurité, le volume brut des failles importe donc moins. L’enjeu crucial est désormais d’identifier les vulnérabilités qui ouvrent de réels vecteurs d’attaque et celles qui doivent être corrigées en priorité.

Vulnérabilités par type en comparaison annuelle 2024 et 2025

20242025
Cross-Site Scripting

3.247

3.020

Autorisation/Droits

2.858

2.652

Injection SQL

1.202

902

Fuites d’informations

957

896

Authentification

744

688

Mauvaise configuration serveur

662

576

Logique métier

595

562

Injection de contenu

476

514

Force brute

190

223

Exécution de code à distance

115

160

Où se concentrent les vulnérabilités critiques

La part des vulnérabilités critiques et de haute gravité s’élevait à 37 % en 2025. C’est dans le secteur manufacturier qu’elle était la plus élevée, avec 43,1 %, suivi par le secteur technologique avec 40,0 %.

Part des vulnérabilités critiques et de haute gravité par secteur en 2025

Fabrication

43,1%

Technologie

40,0%

Secteur public

39,4%

Commerce

32,4%

Services financiers

31,4%

Moyenne générale

37,3%

Données : Rapport Synack State of Vulnerabilities 2026 · Graphique : SecurityToday

Parmi les vulnérabilités classées dans le Top 10 OWASP:2025, deux catégories ont dominé. Les injections représentaient 40,6 % et les contrôles d’accès défaillants 32,8 %. À elles deux, elles constituaient la grande majorité des failles associées à l’OWASP.

Les environnements d’IA deviennent eux-mêmes des cibles

Les systèmes d’IA et les LLM ont également attiré davantage l’attention des auditeurs. Le nombre d’audits de sécurité dans ce domaine a augmenté de 120 % sur la plateforme analysée. Le rapport interprète cela comme le signe que les infrastructures d’IA sont de plus en plus traitées comme des surfaces d’attaque à part entière, et non plus seulement comme des outils au service des assaillants.

Les priorités actuelles des équipes de sécurité

Les données font ressortir des priorités claires pour la gestion des vulnérabilités.

1

Priorité au critiqueCorriger systématiquement les vulnérabilités critiques et de haute gravité avant toutes les autres.
2

Surveiller les vecteurs d’attaqueSurveiller de près l’exécution de code à distance, les attaques par force brute, l’injection de contenu, les injections et les contrôles d’accès défaillants.
3

Inclure l’IA dans les testsIntégrer systématiquement les environnements d’IA et de LLM aux évaluations de sécurité.
4

Tester en continuPasser d’audits ponctuels à des tests continus. Cela réduit de manière mesurable le temps de remédiation.

L’enseignement principal demeure : ce n’est pas le nombre de vulnérabilités découvertes qui détermine le risque, mais la rapidité avec laquelle les plus critiques sont neutralisées.

Foire aux questions

Qu’est-ce que le rapport State of Vulnerabilities 2026 ?

Ce rapport analyse plus de 11.000 vulnérabilités découvertes en 2025 dans des environnements clients en production. Il est publié par Synack, un fournisseur de tests d’intrusion assistés par l’IA. L’étude classe les résultats par niveau de gravité, catégorie et secteur d’activité.

Pourquoi le nombre de CVE augmente-t-il alors que les corrections sont plus rapides ?

Les deux évoluent en parallèle. À l’échelle du secteur, plus de 48.000 CVE ont été publiées en 2025, soit 20 % de plus que l’année précédente. Dans le même temps, les entreprises réduisent leur temps de remédiation grâce aux tests continus. Un plus grand nombre de failles connues ne signifie donc pas automatiquement un risque accru, tant que les plus critiques sont rapidement colmatées.

Que signifie MTTR et pourquoi sa baisse est-elle importante ?

MTTR signifie Mean Time To Remediate, soit le temps moyen de remédiation. Selon le rapport, il a baissé de 47 % toutes catégories confondues. Plus cette durée est courte, plus la fenêtre d’exploitation d’une faille connue se réduit.

Quels sont les secteurs les plus touchés ?

C’est le secteur manufacturier qui a enregistré la plus forte proportion de vulnérabilités critiques et de haute gravité, avec 43,1 %, suivi par le secteur technologique avec 40,0 %. Tous secteurs confondus, cette proportion s’établissait à 37 %.

Pourquoi les environnements d’IA apparaissent-ils dans le rapport ?

Le nombre d’évaluations de sécurité des systèmes d’IA et de LLM a augmenté de 120 %. Cela indique que ces systèmes ne servent pas uniquement d’outils d’attaque, mais deviennent eux-mêmes des surfaces d’attaque et doivent être testés en conséquence.

Les recommandations de lecture de la rédaction

Plus de contenus du réseau MBF Media

Source de l’image : générée par IA (juillet 2026)

Alec Chizhik

À propos de l'auteur: Alec Chizhik

Plus d'articles de

Aussi disponible en

Un magazine de Evernine Media GmbH