Une augmentation des vulnérabilités et des exploits laissant les équipes de sécurité surchargées avec peu de recours mais pour adopter des approches basées sur le risque pour corriger ce qu’ils peuvent.
Les surfaces des attaques d’entreprise continuent de se développer rapidement, avec plus de 20 000 nouvelles vulnérabilités divulguées au premier semestre de 2025, ce qui a déjà tendu les équipes de sécurité déjà pressées.
Selon l’étude Global Threat Intel Intel Intel Intel Intel Intel Firm Flash Point, accessible au code d’exploitation accessible au public de ces vulnérabilités, a accessible au public.
Le volume de vulnérabilités divulguées a plus que triplé tandis que le montant du code d’exploit a plus que doublé depuis la fin février 2025.
Patchage basé sur les risques: une nécessité croissante
Josh Lefkowitz, PDG de Flashpoint, a déclaré que les surtensions dans les vulnérabilités divulguées et le code d’exploitation accessible au public reflètent un changement dans le paysage des menaces.
L’écart d’élargissement entre l’exposition et la réponse rend peu pratique pour les équipes de sécurité de s’appuyer sur les approches traditionnelles. La contre-mesure n’est pas «tout patcher plus rapidement», mais «patcher plus intelligemment» en tirant parti de l’intelligence de sécurité, selon Lefkowitz.
Les entreprises devraient évoluer au-delà des cycles réactifs des patchs et adopter une correction de vulnérabilité basée sur les risques et dirigée par l’intelligence. «Cela signifie hiérarchiser les vulnérabilités qui sont exploitables à distance, activement exploitées à l’état sauvage ou liées à des campagnes adversaires actives tout en tenant compte du contexte commercial et des comportements d’attaquants probables», explique Lefkowitz.
Concentrez-vous sur les vulnérabilités exploitantes
Les experts en sécurité tiers conviennent que les entreprises doivent appliquer un cadre de correctif basé sur les risques.
«Les organisations qui essaient de tout corriger combattent une bataille impossible», explique Shaila Rana, membre principal de l’IEEE. « Mais la doublure argentée ici est que ce changement forçait en fait des approches plus intelligentes et plus stratégiques pour émerger. »
Rana ajoute: « Cette pression crée de meilleurs cadres basés sur les risques qui aident les équipes à concentrer leurs ressources limitées sur les domaines prioritaires, ou ce qui compte le plus. »
Hüseyin Can Yüceel, la recherche en matière de recherche en sécurité à la société de validation de sécurité, Pipus Security, affirme que bien que le volume croissant de vulnérabilités divulgués puisse être intimidant, seuls certains affecteront une entreprise particulière.
«Vous ne pouvez même pas posséder le produit avec une vulnérabilité ou avoir déjà des atténuations de sécurité en place pour éviter l’exploitation», explique Yüceel. «La chose la plus importante est de décider de ce qui est pertinent et important pour vous, c’est pourquoi la priorité basée sur le contexte est importante.»
Yüceel ajoute: «Une approche basée sur les risques aide les organisations à se concentrer sur les menaces qui affecteront très probablement leur infrastructure et leurs opérations.
S’appuyer sur CVES seul devient «intenable»
Les équipes de sécurité s’appuient fortement sur les sources publiques de renseignement de vulnérabilité, telles que les vulnérabilités et les expositions communes (CVE) et la base de données nationale de vulnérabilité (NVD), sont dans une grave inconvénient, prévient Flashpoint. La latence moyenne entre la publication CVE et l’enrichissement NVD s’étend désormais en semaines et mois – créant des lacunes de renseignement critiques.
L’instabilité du financement du programme CVE plus tôt cette année crée des doutes supplémentaires.
«Le fait de s’appuyer uniquement sur CVE ou la base de données nationale de vulnérabilité est devenue intenable», explique Lefkowitz de Flashpoint. «Les retards, les incohérences et le carnet de commandes persistants signifient que l’intelligence critique arrive souvent après que les attaquants sont déjà actifs, laissant les défenseurs aveugles à des expositions à haut risque.»
Tyler Reguly, directeur principal de la R&D de la sécurité de la société de sécurité offensive et défensive Fortra, a rejeté les préoccupations selon lesquelles le fait de s’appuyer sur les sources publiques de renseignement de vulnérabilité met les organisations à un «inconvénient grave» comme exagéré. Les rapports des fournisseurs, les bases de données d’exploitation et la liste des vulnérabilités exploitées (KEV) connues CISA (KEV) offrent toutes de précieuses sources d’intelligence, dit Reguly.
«La réalité est que les sources publiques d’intelligence sont essentielles pour gérer vos vulnérabilités», soutient Reguly. « Cela ne veut pas dire que les données propriétaires ne sont pas bénéfiques, mais il y a beaucoup de données disponibles pour que quiconque puisse recueillir. »
Rana soutient que l’intelligence publique de la vulnérabilité fonctionne mieux lorsqu’elle est combinée à l’intelligence contextuelle des menaces et aux évaluations des risques commerciaux.
«Les organisations intelligentes superposent des données CVE avec des renseignements sur les menaces en temps réel pour créer des stratégies de sécurité plus nuancées et exploitables», explique Rana. Au lieu d’abandonner ces sources de confiance, des équipes efficaces s’améliorent dans le cadre d’une image de renseignement plus large qui les aide à rester en avance sur les menaces qui comptent réellement pour leur environnement spécifique.
Risque tiers – encore une fois
Galit Lubetzky Sharon, PDG de la société de protection de la surface d’attaque des applications Wing Security, affirme que la surtension des vulnérabilités et du code d’exploitation n’est qu’une partie du problème.
«Les entreprises dépendent de plus en plus de fournisseurs de saas tiers qui dictent le cycle de correction – lorsque ces fournisseurs patchent lentement ou ne divulguent pas, les clients héritent du risque aveuglément», explique Sharon.
L’IA amplifie cette menace: les attaquants ont armé les exploits à une vitesse sans précédent, tandis que «les vendeurs SaaS se précipitent pour libérer les fonctionnalités de l’IA souvent sans contrôles de sécurité matures», selon Sharon.
« Le vrai défi n’est pas seulement de suivre le rythme des patchs mais de gagner une visibilité dans un risque tiers – en faisant des SaaS continus, de l’IA et de la sécurité générale des tiers », a conclu Sharon.
IA Simplifiant le développement de l’exploit
Rami Sass, PDG de la société de sécurité des applications Mend, affirme que le temps entre la découverte de vulnérabilité et l’exploitation s’est rétréci de semaines à des jours, voire des heures au cours des deux dernières années, en partie à cause de l’augmentation de l’abus des technologies de l’IA par les attaquants.
Il y a trois principaux moteurs derrière un paysage de menaces de plus en plus turbulent, selon SASS:
- De meilleurs outils pour découvrir les vulnérabilités, en particulier dans le code hérité
- Un marché commercial affamé et croissant pour les exploits
- Les outils d’IA facilitent la production d’exploits
«Les attaquants utilisent désormais l’IA pour se déplacer plus rapidement que les défenseurs», explique Federico Simonetti, CTO chez Zero Knowledge Networking Firm XIID. «L’IA est très efficace pour trouver des vulnérabilités et fabriquer des exploits, tandis qu’en même temps, il est horriblement inefficace pour appliquer un niveau de protection significatif.»
Gestion de l’exposition
Peled Eldan, responsable de la recherche dans la société de sécurité du cloud, XM Cyber, estime que la montée des vulnérabilités et des exploits est un «sous-produit des domaines de cloud tentaculaire, des migrations rapides, des accidents de déploiement, des erreurs de configuration, et plus encore».
«Alors que le NVD est toujours un pilier fondamental de la cybersécurité, les équipes SOC ont besoin de bien plus que les scores CVE IDS et CVSS pour réduire de manière significative le risque», explique Eldan. « Même si l’enrichissement NVD accélère, cela ne résoudra pas le plus gros problème: comprendre comment les vulnérabilités se connectent avec d’autres expositions pour créer des chemins d’attaque exploitables. »
Cette dynamique alimente l’évolution de la gestion de la vulnérabilité vers la gestion de l’exposition, qui traite les problèmes d’identité et les erreurs de configuration aussi sérieusement que les défauts de code.
«Lorsqu’elles sont associées à des outils de surface d’attaque tels que les simulations de violation, les tests de stylo et les équipes rouges, les entreprises peuvent créer des graphiques d’attaque qui visualisent comment un adversaire pourrait atteindre les actifs de la couronne», explique Eldan. «Les graphiques d’attaque sont souvent utilisés en conjonction avec des jumeaux numériques pour simuler et valider qu’une stratégie de correction donnée élimine l’exposition.»
Naviguer dans un champ de mines avec un bâton Pogo
Ivan Milenkovic, vice-président de la technologie des risques pour l’EMEA chez le fournisseur de sécurité du cloud Qualys, dit que l’idée que toute organisation pouvait ou devrait tenter de corriger chaque vulnérabilité était «toujours une erreur».
Plutôt que de s’appuyer sur un cadre de correctif basé sur les risques, les entreprises ont besoin d’une refonte opérationnelle complète basée sur un programme continu de gestion de l’exposition aux menaces (CTEM), conseille MileLkovic.
Des cadres comme le CTEM de Gartner fournissent aux équipes du centre des opérations de sécurité une feuille de route sur la façon de mûrir leurs processus pour hiérarchiser les expositions en fonction de l’exploitabilité et de l’impact commercial – pas seulement des scores de gravité bruts.
« La question fondamentale n’est pas: » Cette vulnérabilité est-elle sévère? » Mais plutôt, « Quelle est la valeur en danger pour l’entreprise, et quel est le moyen le plus économe en capital de le réduire? » « Milenkovic, un ancien CISO, explique.
L’objectif de ce que Ivan Milenkovic décrit une approche du «centre d’opérations de risque» basé sur le concept CTEM est d’aligner la sécurité avec de véritables résultats commerciaux.
«Votre objectif est d’utiliser un cadre en cours d’esprit d’argent pour corriger chirurgicalement les 2% des vulnérabilités qui représentent plus de 90% du risque matériel réel pour votre organisation», explique Milenkovic.
