BRIEFING SÉCURITÉ · 03.07.2026 DEENFRES

Actualités/7 min

Lorsque les attaquants sont plus rapides que le correctif

Von Alec Chizhik · 2. juillet 2026

4 min. de lecture

Autrefois, plusieurs semaines s’écoulaient entre la publication d’une vulnérabilité et son exploitation. Aujourd’hui, il ne s’agit souvent que de quelques jours. Les attaquants utilisent l’IA pour réduire encore cette fenêtre, tandis que le nombre de vulnérabilités publiées augmente. Le State of Vulnerabilities Report 2026 analyse plus de 11 000 résultats provenant d’environnements clients en production. Sa conclusion principale : ce n’est pas la quantité de failles qui détermine le risque, mais la vitesse à laquelle les failles critiques sont comblées.

L’essentiel en bref

  • Plus de vulnérabilités : Le nombre de CVE publiées à l’échelle de l’industrie a augmenté de 20 % en 2025 pour dépasser 48 000.
  • Résultats plus graves : Les résultats de haute gravité ont augmenté de 10 %, l’exécution de code à distance de 39 %, les attaques par force brute de 17,4 %.
  • La vitesse décide : Ceux qui testent en continu réduisent la durée moyenne de correction de 47 %.
  • Nouvelle surface d’attaque : Les contrôles de sécurité sur les environnements IA et LLM ont augmenté de 120 %.

En lien :MFA adaptatif comme levier Zero Trust  /  À partir de quand l’horloge des délais de déclaration s’enclenche-t-elle

La fenêtre entre faille et attaque se réduit

La situation des menaces s’est aggravée en 2025. Les attaquants utilisent l’IA pour raccourcir l’intervalle entre la divulgation d’une vulnérabilité et son exploitation active. Au cours de la dernière année seule, le nombre de CVE publiées à l’échelle de l’industrie a augmenté de 20 % pour dépasser 48 000. Pour le State of Vulnerabilities Report 2026, plus de 11 000 vulnérabilités provenant d’environnements clients de 2025 ont été analysées.

Le rapport est issu de Synack, un fournisseur de tests d’intrusion assistés par l’IA. Son analyse vise moins le nombre absolu de résultats que leur dynamique.

Déclaration du CTO

« Les règles ont changé en 2025. Le temps est désormais la plus grande vulnérabilité. Les attaquants trouveront toujours de nouvelles failles. Ce qui a changé, c’est la vitesse à laquelle ils les découvrent et les exploitent. »

Dr. Mark Kuhr, cofondateur et CTO de Synack– Dr. Mark Kuhr, cofondateur et CTO, Synack

La structure des risques évolue

Le nombre total de vulnérabilités découvertes est resté globalement stable d’une année sur l’autre. Ce qui a changé, c’est leur composition. Les résultats de haute gravité ont augmenté de 10 %. L’augmentation la plus marquée concerne l’exécution de code à distance, qui a progressé de 39 %. Les attaques par force brute ont augmenté de 17,4 %, l’injection de contenu de 8 %.

Le rapport interprète ce schéma comme un déplacement vers des attaques basées sur l’identité. Cela correspond à l’observation selon laquelle les attaquants utilisent l’IA pour tester les contrôles d’accès à grande échelle. Pour les équipes de sécurité, ce qui compte donc moins, c’est la quantité pure de résultats. Ce qui devient décisif, c’est quelles failles ouvrent des chemins d’attaque réels et lesquelles doivent être comblées en premier.

Vulnérabilités par type – comparaison 2024 et 2025

20242025
Cross-Site Scripting
3 247
3 020
Autorisation/Droits
2 858
2 652
SQL-Injection
1 202
902
Fuites d’informations
957
896
Authentification
744
688
Mauvaise configuration serveur
662
576
Logique métier
595
562
Content Injection
476
514
Brute Force
190
223
Remote Code Execution
115
160
CSRF
258
139
Données : Synack State of Vulnerabilities Report 2026 · Présentation : SecurityToday

47 %

Réduction de la durée de correction avec des tests continus

Les entreprises avec des tests continus ont comblé les failles de haute gravité 42 jours plus rapidement qu’en 2024, les failles critiques 38 jours plus rapidement. Dans le même temps, 37 % de tous les résultats étaient critiques ou de haute gravité.

Qu’est-ce que le MTTR ? La Mean Time To Remediate est la durée moyenne entre la découverte d’une vulnérabilité et sa correction. Plus ce délai est court, plus la fenêtre dans laquelle une faille connue peut être activement exploitée est réduite. Le rapport cite cette métrique comme levier central contre le rythme croissant des attaques.

Où se trouvent les résultats critiques

La part de vulnérabilités critiques et de haute gravité s’élevait à 37 % en 2025. Dans l’industrie manufacturière, elle était la plus élevée à 43,1 %, suivie du secteur technologique avec 40,0 %.

Part des vulnérabilités critiques et élevées par secteur en 2025

Industrie
43,1 %
Technologie
40,0 %
Administration
39,4 %
Commerce
32,4 %
Services financiers
31,4 %
Moyenne globale
37,3 %
Données : Synack State of Vulnerabilities Report 2026 · Présentation : SecurityToday

Parmi les résultats classés dans l’OWASP Top 10 : 2025, deux catégories dominaient. Les injections représentaient 40,6 %, les contrôles d’accès défaillants 32,8 %. Ensemble, ils constituaient la plus grande partie des résultats classés OWASP.

Les environnements IA deviennent eux-mêmes des cibles

Les systèmes IA et LLM ont également été davantage examinés. Le nombre des contrôles de sécurité dans ce domaine a augmenté de 120 % sur la plateforme analysée. Le rapport y voit un signal indiquant que les infrastructures IA sont de plus en plus traitées comme surface d’attaque autonome et pas seulement comme outil des attaquants.

Ce que les équipes de sécurité devraient prioriser maintenant

Les données indiquent des priorités claires pour la gestion des vulnérabilités.

1

Critique d’abordComblons de manière conséquente les résultats critiques et de haute gravité avant tous les autres.
2

Surveiller les chemins d’attaqueSurveiller ciblément l’exécution de code à distance, la force brute, l’injection de contenu, les injections et les contrôles d’accès défaillants.
3

Inclure l’IA dans les testsIntégrer fermement les environnements IA et LLM dans les contrôles de sécurité.
4

Tester en continuPasser d’audits ponctuels à des tests continus. Cela réduit de manière mesurable la durée de correction.

La conclusion centrale reste : ce n’est pas le nombre de vulnérabilités découvertes qui détermine le risque, mais la vitesse à laquelle les failles critiques sont neutralisées.

Questions fréquentes

Qu’est-ce que le State of Vulnerabilities Report 2026 ?

Le rapport analyse un peu plus de 11 000 vulnérabilités découvertes en 2025 dans des environnements clients en production. L’éditeur est Synack, un fournisseur de tests d’intrusion assistés par l’IA. L’analyse classe les résultats par gravité, catégorie et secteur.

Pourquoi le nombre de CVE augmente-t-il alors qu’elles sont corrigées plus rapidement ?

Les deux évolutions sont parallèles. En 2025, plus de 48 000 CVE ont été publiées à l’échelle de l’industrie, soit 20 % de plus que l’année précédente. Dans le même temps, les entreprises avec des tests continus réduisent leur durée de correction. Plus de failles connues ne signifient donc pas automatiquement plus de risque, tant que les critiques sont comblées rapidement.

Que signifie MTTR et pourquoi la baisse est-elle pertinente ?

MTTR signifie Mean Time To Remediate, le temps moyen jusqu’à correction. Selon le rapport, elle a diminué de 47 % dans toutes les catégories. Plus cet intervalle est court, plus la fenêtre dans laquelle une faille connue peut être exploitée est réduite.

Quels secteurs sont les plus touchés ?

La part la plus élevée de résultats critiques et de haute gravité a été enregistrée dans l’industrie manufacturière avec 43,1 %, suivie du secteur technologique avec 40,0 %. Tous secteurs confondus, la part s’élevait à 37 %.

Pourquoi les environnements IA apparaissent-ils dans le rapport ?

Le nombre des contrôles de sécurité sur les systèmes IA et LLM a augmenté de 120 %. Cela indique que ces systèmes ne servent pas seulement d’outil d’attaque, mais deviennent eux-mêmes une surface d’attaque et doivent être testés en conséquence.

Suggestions de lecture de la rédaction

Plus du réseau MBF Media

cloudmagazin

KRITIS dans le cloud : ce qui sécurise la migration

MyBusinessFuture

La supervision IA en Allemagne a désormais une adresse

Digital Chiefs

L’IA écrit le code. Qui en est responsable ?

Source image : généré par IA (juillet 2026). Portrait Dr. Mark Kuhr : Synack

Pour aller plus loin

Ein Magazin der Evernine Media GmbH