Lorsque les attaquants sont plus rapides que le correctif
4 min. de lecture
Autrefois, plusieurs semaines s’écoulaient entre la publication d’une vulnérabilité et son exploitation. Aujourd’hui, il ne s’agit souvent que de quelques jours. Les attaquants utilisent l’IA pour réduire encore cette fenêtre, tandis que le nombre de vulnérabilités publiées augmente. Le State of Vulnerabilities Report 2026 analyse plus de 11 000 résultats provenant d’environnements clients en production. Sa conclusion principale : ce n’est pas la quantité de failles qui détermine le risque, mais la vitesse à laquelle les failles critiques sont comblées.
L’essentiel en bref
- Plus de vulnérabilités : Le nombre de CVE publiées à l’échelle de l’industrie a augmenté de 20 % en 2025 pour dépasser 48 000.
- Résultats plus graves : Les résultats de haute gravité ont augmenté de 10 %, l’exécution de code à distance de 39 %, les attaques par force brute de 17,4 %.
- La vitesse décide : Ceux qui testent en continu réduisent la durée moyenne de correction de 47 %.
- Nouvelle surface d’attaque : Les contrôles de sécurité sur les environnements IA et LLM ont augmenté de 120 %.
En lien :MFA adaptatif comme levier Zero Trust / À partir de quand l’horloge des délais de déclaration s’enclenche-t-elle
La fenêtre entre faille et attaque se réduit
La situation des menaces s’est aggravée en 2025. Les attaquants utilisent l’IA pour raccourcir l’intervalle entre la divulgation d’une vulnérabilité et son exploitation active. Au cours de la dernière année seule, le nombre de CVE publiées à l’échelle de l’industrie a augmenté de 20 % pour dépasser 48 000. Pour le State of Vulnerabilities Report 2026, plus de 11 000 vulnérabilités provenant d’environnements clients de 2025 ont été analysées.
Le rapport est issu de Synack, un fournisseur de tests d’intrusion assistés par l’IA. Son analyse vise moins le nombre absolu de résultats que leur dynamique.
Déclaration du CTO« Les règles ont changé en 2025. Le temps est désormais la plus grande vulnérabilité. Les attaquants trouveront toujours de nouvelles failles. Ce qui a changé, c’est la vitesse à laquelle ils les découvrent et les exploitent. »
– Dr. Mark Kuhr, cofondateur et CTO, Synack
La structure des risques évolue
Le nombre total de vulnérabilités découvertes est resté globalement stable d’une année sur l’autre. Ce qui a changé, c’est leur composition. Les résultats de haute gravité ont augmenté de 10 %. L’augmentation la plus marquée concerne l’exécution de code à distance, qui a progressé de 39 %. Les attaques par force brute ont augmenté de 17,4 %, l’injection de contenu de 8 %.
Le rapport interprète ce schéma comme un déplacement vers des attaques basées sur l’identité. Cela correspond à l’observation selon laquelle les attaquants utilisent l’IA pour tester les contrôles d’accès à grande échelle. Pour les équipes de sécurité, ce qui compte donc moins, c’est la quantité pure de résultats. Ce qui devient décisif, c’est quelles failles ouvrent des chemins d’attaque réels et lesquelles doivent être comblées en premier.
Vulnérabilités par type – comparaison 2024 et 2025
47 %
Réduction de la durée de correction avec des tests continus
Les entreprises avec des tests continus ont comblé les failles de haute gravité 42 jours plus rapidement qu’en 2024, les failles critiques 38 jours plus rapidement. Dans le même temps, 37 % de tous les résultats étaient critiques ou de haute gravité.
Qu’est-ce que le MTTR ? La Mean Time To Remediate est la durée moyenne entre la découverte d’une vulnérabilité et sa correction. Plus ce délai est court, plus la fenêtre dans laquelle une faille connue peut être activement exploitée est réduite. Le rapport cite cette métrique comme levier central contre le rythme croissant des attaques.
Où se trouvent les résultats critiques
La part de vulnérabilités critiques et de haute gravité s’élevait à 37 % en 2025. Dans l’industrie manufacturière, elle était la plus élevée à 43,1 %, suivie du secteur technologique avec 40,0 %.
Part des vulnérabilités critiques et élevées par secteur en 2025
Parmi les résultats classés dans l’OWASP Top 10 : 2025, deux catégories dominaient. Les injections représentaient 40,6 %, les contrôles d’accès défaillants 32,8 %. Ensemble, ils constituaient la plus grande partie des résultats classés OWASP.
Les environnements IA deviennent eux-mêmes des cibles
Les systèmes IA et LLM ont également été davantage examinés. Le nombre des contrôles de sécurité dans ce domaine a augmenté de 120 % sur la plateforme analysée. Le rapport y voit un signal indiquant que les infrastructures IA sont de plus en plus traitées comme surface d’attaque autonome et pas seulement comme outil des attaquants.
Ce que les équipes de sécurité devraient prioriser maintenant
Les données indiquent des priorités claires pour la gestion des vulnérabilités.
La conclusion centrale reste : ce n’est pas le nombre de vulnérabilités découvertes qui détermine le risque, mais la vitesse à laquelle les failles critiques sont neutralisées.
Questions fréquentes
Qu’est-ce que le State of Vulnerabilities Report 2026 ?
Le rapport analyse un peu plus de 11 000 vulnérabilités découvertes en 2025 dans des environnements clients en production. L’éditeur est Synack, un fournisseur de tests d’intrusion assistés par l’IA. L’analyse classe les résultats par gravité, catégorie et secteur.
Pourquoi le nombre de CVE augmente-t-il alors qu’elles sont corrigées plus rapidement ?
Les deux évolutions sont parallèles. En 2025, plus de 48 000 CVE ont été publiées à l’échelle de l’industrie, soit 20 % de plus que l’année précédente. Dans le même temps, les entreprises avec des tests continus réduisent leur durée de correction. Plus de failles connues ne signifient donc pas automatiquement plus de risque, tant que les critiques sont comblées rapidement.
Que signifie MTTR et pourquoi la baisse est-elle pertinente ?
MTTR signifie Mean Time To Remediate, le temps moyen jusqu’à correction. Selon le rapport, elle a diminué de 47 % dans toutes les catégories. Plus cet intervalle est court, plus la fenêtre dans laquelle une faille connue peut être exploitée est réduite.
Quels secteurs sont les plus touchés ?
La part la plus élevée de résultats critiques et de haute gravité a été enregistrée dans l’industrie manufacturière avec 43,1 %, suivie du secteur technologique avec 40,0 %. Tous secteurs confondus, la part s’élevait à 37 %.
Pourquoi les environnements IA apparaissent-ils dans le rapport ?
Le nombre des contrôles de sécurité sur les systèmes IA et LLM a augmenté de 120 %. Cela indique que ces systèmes ne servent pas seulement d’outil d’attaque, mais deviennent eux-mêmes une surface d’attaque et doivent être testés en conséquence.
Suggestions de lecture de la rédaction
- MFA adaptatif comme levier Zero Trust
- À partir de quand l’horloge des délais de déclaration s’enclenche-t-elle vraiment
- DORA en exploitation : ce que le superviseur veut voir
Plus du réseau MBF Media
cloudmagazin
MyBusinessFuture
Digital Chiefs
Source image : généré par IA (juillet 2026). Portrait Dr. Mark Kuhr : Synack
– Dr. Mark Kuhr, cofondateur et CTO, Synack