Speed line stream tunnel, internet speed network background.

Les fenêtres de correctifs s’effondrent à mesure que le temps d’exploitation s’accélère

Lucas Morel

L’IA et l’industrialisation de la cybercriminalité aident les attaquants à doubler le nombre de vulnérabilités connues de gravité élevée et critique qu’ils peuvent exploiter, en deux fois moins de temps.

L’écart entre la divulgation des vulnérabilités et leur exploitation diminue considérablement, ce qui met en garde les équipes de sécurité en matière de pratiques de correctifs.

Selon le dernier rapport sur le paysage des cybermenaces de Rapid7, l’exploitation confirmée des vulnérabilités de gravité élevée et critique (CVSS 7-10) récemment révélées a augmenté de 105 % par an pour atteindre 146 en 2025, contre 71 en 2024.

De plus, le délai médian entre la publication de la vulnérabilité et l’inclusion des vulnérabilités exploitées connues (KEV) de la CISA est passé de 8,5 jours à 5,0 jours, le temps moyen d’exploitation passant de 61,0 jours à 28,5 jours. Les exploits Zero Day frappent également les entreprises plus rapidement et plus durement, selon un récent rapport du Google Threat Intelligence Group.

Le résultat est un écosystème de menaces qui voit deux fois plus de failles à fort impact exploitées en deux fois moins de temps – une évolution inquiétante pour la cyberdéfense.

Complexe industriel de la cybercriminalité

« Les courtiers en accès initial vendent désormais directement aux groupes de ransomwares, ce qui les incite clairement à exploiter de nouvelles vulnérabilités, à récolter des informations d’identification et à monétiser l’accès », explique Stephen Fewer, chercheur principal principal chez Rapid7, la société à l’origine du populaire outil de test d’intrusion Metasploit. « Cela a accéléré à la fois le rythme et la sophistication de leurs opérations. »

Pour les attaquants, la connaissance de la cible et des technologies impliquées peut réduire considérablement le défi lié au développement d’exploits, un facteur qui conduit à l’exploitation répétée de nombreuses cibles logicielles d’entreprise.

L’adoption de l’IA est un autre facteur important dans l’accélération de la découverte et de l’exploitation des vulnérabilités, car elle facilite le processus de découverte des bogues logiciels.

« L’IA permet aux acteurs de la menace de combler les déficits de compétences et d’augmenter considérablement le débit opérationnel », explique Fewer. « En pratique, l’IA offre un avantage tactique dans l’analyse des vulnérabilités nouvellement révélées et la génération rapide de codes d’exploitation. »

Exploitation sur N jours

Rapid7 Labs a validé ses conclusions sur un environnement de menaces plus fébrile en produisant des exploits à la fois n-day et zero-day à l’aide de recherches assistées par l’IA, réduisant ainsi considérablement le temps de développement.

En pratique, les bogues n-day – ou le développement d’exploits contre des logiciels corrigés – constituent un problème plus grave que les vulnérabilités zero-day qui font la une des journaux, ajoute Leeann Nicolo, responsable de la réponse aux incidents chez Coalition, une entreprise technologique spécialisée dans les outils de cyberassurance et de cybersécurité.

« Notre équipe de réponse aux incidents n’a pas vu beaucoup de vulnérabilités Zero Day exploitées ces derniers temps. Au lieu de cela, les acteurs malveillants s’attaquent à des problèmes connus qui ont déjà des correctifs », explique Nicolo.

D’autres experts du secteur ont confirmé que les conclusions de Rapid7 reflètent ce qu’eux aussi constatent sur le terrain.

« La fenêtre des correctifs s’est effectivement effondrée », déclare Chris Wysopal, co-fondateur et évangéliste en chef de la sécurité de la société de sécurité des applications Veracode. « Ce n’est pas une tendance graduelle ; c’est une rupture structurelle. »

L’un des facteurs expliquant l’augmentation du rythme d’exploitation est que chaque correctif agit désormais comme une feuille de route pour les attaquants, explique Wysopal.

« Une fois le correctif livré, les attaquants peuvent différencier le correctif, isoler le chemin de code vulnérable et utiliser l’automatisation et l’IA pour générer des chemins d’exploitation fonctionnels bien plus rapidement que les entreprises ne peuvent tester et déployer le correctif », explique Wysopal. « En d’autres termes, la divulgation déclenche de plus en plus la course, et les défenseurs sont déjà en retard lorsque le coup de départ retentit. »

De plus, la dette AppSec élargit la fenêtre d’exposition même lorsqu’un correctif existe.

« Les entreprises ont encore trop de code existant, trop de dépendances liées à Internet et trop de processus de changement fragiles pour y remédier à la vitesse d’une machine », explique Wysopal. « Si l’organisation a besoin de jours ou de semaines pour inventorier l’exposition, évaluer le rayon d’explosion, tester, obtenir les approbations et déployer, alors elle fonctionne selon un calendrier tandis que les attaquants fonctionnent selon une horloge. »

Un autre enjeu majeur est l’industrialisation de l’exploitation des vulnérabilités.

L’IA comprime le développement des exploits et abaisse la barrière des compétences, tandis que le marché de la cybercriminalité élimine les frictions en créant une chaîne de production bien huilée qui intègre des chercheurs, des courtiers, des vendeurs d’accès, des opérateurs de botnets et des affiliés de ransomwares.

« (Ce) modèle de chaîne d’assemblage signifie que davantage de vulnérabilités passent presque immédiatement de la divulgation à des chemins d’attaque utilisables », selon Wysopal.

Impératif de sécurité dès la conception

La véritable réponse à ces défis devrait être en premier lieu de réduire la quantité de logiciels exploitables arrivant en production plutôt que d’encourager les RSSI à « appliquer les correctifs plus rapidement ».

Une ingénierie sécurisée dès la conception, des tests agressifs avant la publication par des chasseurs de bogues de premier plan, des atténuations architecturales qui réduisent des classes entières de bogues et la possibilité de reconstruire ou d’isoler rapidement les systèmes exposés sont tous nécessaires mais peut-être insuffisants.

La vieille hypothèse selon laquelle les défenseurs bénéficient d’un délai de grâce après la divulgation n’est plus crédible, selon Wysopal.

« Nous assistons en temps réel à l’effondrement de la fenêtre de mise à jour traditionnelle », souligne Wysopal. « La sécurité dès la conception est la seule réponse durable, car une fois la divulgation effectuée, le temps de l’attaquant tourne déjà. »

CyberattaquesCybercriminalitéLogiciel de gestion des correctifsGestion des risquesSécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Business Conference Presentation: Visionary Startup CEO Presents New Product, Does Motivational Talk Science, Lecture, Technology, Entrepreneurship, Development, Leadership. Background with Code.
Ce que les RSSI doivent faire à l’heure où l’identité entre dans l’ère agentique
Poznan, Poland – April 14, 2025: Close-up of Cursor app icon on the macOS dock, showcasing a modern code editor enhanced with AI features for developers
Un bug critique du curseur pourrait transformer la routine Git en RCE
Red suspension bridge cable and vertical suspenders, representing a pipeline
Sécuriser les pipelines RAG dans les SaaS d’entreprise