Votre stratégie de gestion des correctifs peut nécessiter une refonte, car l’exploitation des failles dépasse largement l’abus d’informations d’identification en tant que principal vecteur dans 31 000 incidents analysés par le DBIR de Verizon.
Les pratiques de mise à jour des correctifs sont soumises à une pression intense ces derniers temps, à mesure que les délais d’exploitation s’accélèrent – une nouvelle réalité susceptible de s’aggraver à mesure que l’assistance de l’IA dans les chaînes d’attaque augmente.
Les cyberdéfenseurs ont désormais une autre raison de s’inquiéter des failles : l’exploitation des vulnérabilités a considérablement reculé dans le domaine des informations d’identification volées en tant que point d’entrée le plus courant des failles de sécurité, selon la dernière édition du rapport annuel Data Breach Investigations Report (DBIR) de Verizon.
Les chercheurs de Verizon ont découvert que les failles exploitées étaient à l’origine des violations dans 31 % des cas, l’abus d’identifiants étant imputé à 13 % des failles de sécurité. En clin d’œil aux difficultés de gestion des correctifs dans l’entreprise, seule une vulnérabilité critique sur quatre (26 %) a été entièrement corrigée en 2025, le délai médian de mise à jour des correctifs étant passé à 43 jours, contre 32 jours l’année précédente, selon le DBIR de Verizon.
Analyse des causes profondes
L’étude de Verizon est basée sur une analyse de 31 000 incidents de sécurité, dont 22 000 étaient des violations de données confirmées, impliquant des victimes dans 145 pays.
« Les attaquants suivent la voie du moindre effort à grande échelle, et à l’heure actuelle, cette voie passe par des périphériques de périmètre et de périphérie non corrigés, où un exploit fonctionnel ne nécessite aucun accès préalable, aucun utilisateur phishing et aucune donnée de violation à acheter », note Daniel Bechenea, responsable de la sécurité de la plateforme offensive de sécurité et d’évaluation des vulnérabilités Pentest-Tools.com.
Bechenea affirme que l’exploitation a dépassé l’abus d’informations d’identification parce que la correction des exploits connus ne parvient pas à suivre l’augmentation des vulnérabilités critiques.
Chris Wysopal, co-fondateur et évangéliste en chef de la sécurité chez Veracode, est du même avis.
« Les organisations ne corrigent tout simplement pas les défauts assez rapidement », dit-il.
Selon l’analyse de Verizon, seulement environ 26 % des vulnérabilités exploitées connues (KEV) de la CISA ont été entièrement corrigées en 2025en bas de 38% l’année précédente. Parallèlement, le volume de vulnérabilités de gravité critique que les organisations ont dû corriger a augmenté de 50 % d’une année sur l’autre.
James John, responsable de la réponse aux incidents chez Bridewell, a offert un point de vue contrasté sur l’importance relative de l’exploitation des vulnérabilités et de l’abus d’informations d’identification sur tout le cycle de vie des failles de sécurité.
« Nous constatons toujours que l’identité est le principal point d’étranglement », déclare John, dont la société de services de cybersécurité et de réponse aux incidents a contribué aux données du rapport Verizon. « L’exploitation peut désormais remporter la course à la porte d’entrée, mais les identifiants volés restent le fil conducteur de la plupart des intrusions auxquelles nous répondons ; ils sont simplement utilisés plus tard dans l’attaque, pour se déplacer latéralement et atteindre les données importantes. »
Le rapport de Verizon attribue également 16 % des violations initiales d’accès au phishing, soit un chiffre comparable à celui de l’année précédente, et 6 % au prétexte, ce qui, selon les chercheurs, est devenu plus courant dans les attaques de ransomware et d’extorsion.
Ce dernier point brouille quelque peu la conclusion du rapport sur les références, note John.
Alors que les entreprises s’appuient davantage sur des fournisseurs externes, les acteurs malveillants ciblent également la chaîne d’approvisionnement étendue, les violations impliquant un tiers représentant désormais 48 % de tous les incidents de sécurité couverts par le DBIR de Verizon.
Le DBIR de Verizon, qui en est à sa 19e année, combine des dossiers d’incidents et de violations du monde réel provenant des forces de l’ordre, des cabinets médico-légaux et des groupes de partage de la cyber-industrie tels que les CERT nationaux, ainsi que des données issues du travail de Verizon avec ses propres clients. Les conclusions de ce qui est considéré comme l’étude de référence du secteur sur les violations de données sont étayées par des études récentes largement comparables.
Le dernier rapport Cloud Threat Horizons de Google Cloud Security, par exemple, révèle également que les attaquants se tournent vers l’exploitation de vulnérabilités de logiciels tiers non corrigés plutôt que de s’appuyer principalement sur des informations d’identification volées ou faibles.
Les vulnérabilités logicielles sont devenues le principal vecteur d’accès initial (44,5 % des incidents), dépassant l’abus d’identifiants, selon l’étude de Google Cloud.
L’IA s’ajoute déjà au paysage des menaces
Bien que le dernier rapport DBIR utilise des données de 2025 – antérieures aux dernières avancées du modèle de sécurité de l’IA frontalière telles que Mythos d’Anthropic – une plus grande dépendance des cybercriminels à l’égard de l’IA émerge toujours d’autopsies détaillées sur les failles de sécurité.
« Les acteurs de la menace exploitent l’IA pour accélérer l’exploitation des vulnérabilités connues, réduisant ainsi la fenêtre de défense de plusieurs mois à seulement quelques mois. heures », a prévenu Verizon.
La semaine dernière, le Google Threat Intelligence Group (GTIG) a publié la preuve d’un exploit zero-day développé par un groupe de cybercriminels avec l’aide de l’IA.
Les stratégies de résolution des violations doivent changer
Muhammad Yahya Patel, vCISO et conseiller en cybersécurité pour la région EMEA chez Huntress, fournisseur de services de sécurité gérés, affirme que les RSSI doivent améliorer rapidement leur gestion des vulnérabilités et la sécurité des identités à la lumière des conclusions du Verizon DBIR.
« L’exploitation des vulnérabilités, le vol d’identifiants, l’ingénierie sociale multicanal et la compromission de la chaîne d’approvisionnement sont tous déployés simultanément à grande échelle », explique Patel. « Les organisations les mieux placées sont celles qui ont construit une défense en profondeur sur tous ces vecteurs. »
Patel ajoute : « De plus en plus d’organisations doivent orienter leur programme de gestion des vulnérabilités vers une (approche) continue, basée sur les risques, liée à des informations d’exploitation en temps réel – et non à des cycles de correctifs planifiés qui laissent les fenêtres d’exploitation grandes ouvertes pendant des jours et des semaines. »
Raghu Nandakumara, vice-président de la stratégie industrielle chez Illumio, fournisseur de microsegmentation et de confinement des violations, affirme que même si de plus en plus de vulnérabilités sont corrigées à mesure que les pratiques d’application des correctifs des entreprises s’améliorent, l’arriéré de failles nécessitant une correction continue de croître plus rapidement que les équipes de sécurité ne peuvent suivre.
« L’augmentation (des cas de vulnérabilité) est due à une convergence de forces, notamment une découverte davantage assistée par l’IA, une plus grande dépendance à l’égard de codes tiers et open source, un nombre croissant de systèmes connectés et un écosystème de divulgation qui est désormais beaucoup plus actif et incitatif qu’il ne l’était il y a quelques années », explique Nandakumara.
Les paiements des ransomwares diminuent mais la menace reste puissante
Les ransomwares étaient présents dans près de la moitié de toutes les violations (48 %) couvertes par le DBIR, contre 44 % l’année précédente, même si les paiements de rançons ont diminué (69 % des victimes n’ont pas payé).
Aparna Rayasam, PDG de la société de sécurité réseau Atsign, affirme que ce changement dans les taux de paiement incite les ransomwares à évoluer vers un modèle commercial différent.
« Parce que les victimes ne paient plus pour les clés de déchiffrement, les attaquants se sont fortement tournés vers l’exfiltration et l’extorsion de données », explique-t-il. « Les attaquants compensent les petits paiements individuels en exécutant un volume plus élevé d’attaques automatisées et moins coûteuses. »
Rayasam ajoute : « L’utilisation de l’IA rend ce modèle encore plus lucratif pour les attaquants de ransomware. »
John de Bridewell a offert une perspective contrastée, affirmant que même si les attaquants de ransomware réussissent non moins à attaquer les entreprises, ils ont plus de mal à extorquer des paiements aux victimes.
Cette réduction des taux de paiement signifie que les attaquants deviennent plus agressifs dans leurs tentatives de perturber une entreprise afin d’exercer une plus grande pression sur elle pour qu’elle paie.
Par exemple, le détaillant britannique Marks & Spencer a subi des semaines de pannes et des millions de pertes à la suite d’une attaque de ransomware.
« L’effet de levier passe de « nous avons vos données » à « nous pouvons vous garder hors ligne », ce qui est bien plus important lorsque les temps d’arrêt affectent les services essentiels », conclut John.
