5 mai 2026 Astuces Timothée
Ce contenu vous plait
Partagez-le sur les réseaux
Gestion des vulnérabilités ·Threat Intelligence · Patrowl Research · Avril 2026 · 9 min de lecture
Les équipes sécurité font la chasse aux vulnérabilités. Les attaquants chassent des opportunités. Ce n'est pas le même objectif.
En 2025, plus de 47 000 failles de sécurité ont été publiées, soit en moyenne 131 nouvelles chaque jour. Votre équipe ne peut pas toutes les corriger. Les attaquants le savent.
La question qui détermine votre niveau de risque n'est plus « quelle est notre vulnérabilité la plus critique ? » C'est : « quel actif les attaquants vont-ils cibler ensuite ? »
Chaque service connecté à internet est une porte d'entrée potentielle — une application web, une API, un concentrateur VPN, un sous-domaine oublié. Les équipes sécurité mènent une bataille asymétrique : elles doivent tout protéger. Les attaquants n'ont besoin de trouver qu'une seule faille.
L'ordre de remédiation compte plus que le volume à traiter. Une équipe qui passe du temps sur une faille critique sur un serveur interne isolé avant une faille moins sévère sur un équipement VPN accessible depuis internet fait le mauvais choix, parce qu'elle fait confiance au mauvais signal.
Les données sont déjà là. Ports ouverts, inventaire de failles, services exposés, tout existe. Le problème n'est plus la collecte. C'est leur exploitation, leur recoupement pour en faire des éléments de décision. Les mêmes données, vues à travers le prisme d'un attaquant, produisent une liste de priorités radicalement différente.
En 2018, le délai médian entre la publication d'une faille et son exploitation confirmée était de 771 jours. Les équipes sécurité avaient près de deux ans pour mettre leurs systèmes à jour avant que les attaquants ne transforment la vulnérabilité en outil d'attaque.
Cette fenêtre a disparu.
En 2021, la médiane était tombée à 84 jours. En 2023 : 6 jours. En 2024 : moins de 4 heures. Depuis 2025, le délai médian est effectivement zéro — l'exploitation commence avant ou le jour même de la divulgation pour la plupart des failles critiques.
| Année | Time-to-Exploit médian |
|---|---|
| 2018 | 771 jours |
| 2021 | 84 jours |
| 2023 | 6 jours |
| 2024 | < 4 heures |
| 2025–2026 | 0 — exploitation avant ou le jour de la divulgation |
De 771 jours en 2018 à zéro en 2025 : le graphique ci-dessous retrace l'effondrement du délai médian entre la publication d'une faille et son exploitation active, ainsi que la montée en flèche du taux de zero-days. La courbe noire (Mean TTE) mesure le délai moyen, la courbe grise pointillée (Median TTE) le délai médian. Les barres roses représentent le volume d'exploits weaponisés. En parallèle, le taux de zero-days est passé de 16,1 % en 2018 à 72 % en 2026.
Ce n'est pas parce que les attaquants sont devenus plus intelligents. Ils ont automatisé. Le développement d'outils d'attaque assisté par IA et le scan à l'échelle internet ont compressé des semaines en minutes.
Le processus des défenseurs, lui, n'a pas bougé. Cycles de patch mensuels, pentests trimestriels : conçus pour un paysage de menaces qui n'existe plus.
Le score de sévérité d'une faille (son CVSS) ne change pas quand un exploit devient public. L'attractivité d'un actif pour les attaquants, elle, change immédiatement. C'est dans cet écart que les organisations se font compromettre.
La plupart des organisations se défendent contre un modèle de menace qui évolue et qui est rarement maîtrisé. Comprendre qui vous cible et pourquoi change tout sur la façon dont vous priorisez votre remédiation. C'est précisément cette distinction que le score CVSS seul ne peut pas faire.
Les attaquants privilégient la quantité par rapport au volume. Sur la précision. Ils scannent internet 24h/24, cherchant n'importe quel système vulnérable parmi des millions de cibles. Ils ne savent pas qui vous êtes : seulement que vous êtes exposé et plus facile à compromettre que la cible suivante dans leur file.
Les attaquants avancés privilégient la précision sur l'échelle. Ils choisissent leurs cibles délibérément pour un gain financier, de l'espionnage, ou de la disruption. Ils chaînent plusieurs vecteurs d'attaque et s'adaptent aux défenses en place. Parmi les impacts les plus redoutés figure l'attaque par déni de service distribué (DDoS), capable de neutraliser une infrastructure entière en quelques minutes.
La logique défensive est différente pour chacun. Contre les attaquants opportunistes : réduisez votre exposition et corrigez les défauts d'hygiène rapidement. Rendez-vous plus difficile à atteindre que la cible suivante. Contre les attaquants avancés : protégez spécifiquement vos actifs les plus critiques, car ils trouveront un chemin quelle que soit votre posture globale.
La réalité inconfortable : la plupart des violations réelles commencent par l'exploitation opportuniste d'actifs exposés et mal maintenus, pas des attaques ciblées sophistiquées. Et pourtant, la plupart des programmes de gestion des vulnérabilités sont encore construits pour le second scénario.
Ces deux profils d'attaquants suivent une logique cohérente, quel que soit leur niveau de sophistication. Cette logique se décompose en quatre dimensions mesurables. Combinées, elles produisent un Score d'Attractivité d'Actif : un indicateur dynamique de la probabilité qu'un actif donné soit ciblé en priorité.
Un actif non découvrable est rarement ciblé. L'exposition couvre les ports ouverts, les technologies identifiables à distance, et la présence dans des bases de scan passif comme Shodan ou Censys : des moteurs de recherche spécialisés qui référencient en permanence les services exposés sur internet. Un employé qui se connecte depuis des réseaux Wi-Fi publics sans VPN peut involontairement élargir cette surface bien au-delà du périmètre technique habituel.
C'est la dimension temporelle, et c'est elle qui rend l'attractivité dynamique plutôt que statique. Une faille classée faible priorité le lundi peut devenir urgente dès qu'un outil d'attaque prêt à l'emploi est publié le mercredi. Plusieurs signaux pilotent cette dimension : la disponibilité d'un exploit public, le score EPSS (Exploit Prediction Scoring System, une probabilité d'exploitation dans les 30 prochains jours basée sur l'activité réelle), et le statut CISA KEV (Known Exploited Vulnerabilities, un catalogue américain des failles activement exploitées dans la nature). Quand des campagnes ransomware s'emballent autour d'une faille, ce score monte en premier : avant que la plupart des équipes aient même ouvert l'alerte.
Les attaquants évaluent le retour sur investissement. Les actifs à haute valeur : fournisseurs d'identité, systèmes financiers, points d'entrée vers le réseau interne, bases de données clients, justifient plus d'effort et plus de patience. Le contexte métier façonne la motivation des attaquants avancés d'une façon qu'aucun score technique ne peut capturer.
Une mauvaise hygiène est un multiplicateur de force. Configuration TLS faible, pages d'administration accessibles par défaut, certificats expirés, logiciels obsolètes : chacun réduit l'effort requis pour obtenir un accès initial. Mais au-delà de l'accès, l'hygiène envoie un signal. Une surface sale dit aux scanners opportunistes « allez là en premier ».
Prenons un actif concret — une application web exposée à internet tournant sous Apache 2.4.49, une version du serveur web connue pour une faille majeure.
Lecture par la sévérité seule : score CVSS 9,8 sur 10. Critique. Remonte immédiatement en tête du backlog.
Lecture par l'attractivité :
| Actif | Exposition · Dynamique · Criticité · Hygiène | Score global | Zone matrice |
|---|---|---|---|
| VPN concentrateur exposé | Exposition élevée CVE KEV EPSS 0,94 Criticité moyenne Hygiène faible | Critique | Zone de Danger |
| Apache 2.4.49 site marketing | Exposition élevée CVE KEV EPSS 0,97 Criticité faible Hygiène faible | Élevé | Exploitation Massive |
| Serveur ERP interne RCE | Exposition nulle EPSS 0,03 pas d'exploit Criticité critique Hygiène moyenne | Moyen | Kill Silencieux |
| Serveur de logs interne | Exposition nulle EPSS 0,01 pas d'exploit Criticité faible Hygiène moyenne | Faible | Bruit |
La matrice ci-dessous croise l'attractivité d'un actif avec son impact business réel pour qualifier le niveau de menace. Les hachures orange indiquent les zones ciblées par les attaquants avancés (ciblage précis, patient). Les hachures violettes indiquent les zones ciblées par les attaquants opportunistes (automatisé, volume). Chaque point représente un actif réel positionné sur la matrice.
En croisant Attractivité et Impact Métier, on obtient un cadre de priorisation qui mappe directement le comportement des attaquants.
Zone de danger : attractivité élevée, impact élevé. Les deux profils d'attaquants sont actifs ici. Agissez immédiatement. C'est là que les attaques se produisent.
Zone d'exploitation Massive : attractivité élevée, impact plus faible. Les scanners automatisés inondent ces actifs. Ils servent souvent de point d'entrée : un attaquant y dépose un cheval de troie pour maintenir un accès persistant et progresser discrètement vers des systèmes plus sensibles. Le risque réel est le mouvement latéral. Patchs rapides.
Zone de ciblage : attractivité faible, impact élevé. Les scanners ne les trouvent pas facilement. Un attaquant avancé et patient, si. C'est là que le pentesting manuel ajoute ce que les outils automatisés ne reproduisent pas.
Bruit : attractivité faible, impact faible. Surveillez, mais ne brûlez pas de capacité ici. C'est pourtant là que la plupart des backlogs triés par sévérité gaspillent le plus de temps.
Cette matrice n'est pas statique. Un exploit publié un jour peut faire basculer un actif du Bruit à la Zone d'Exploitation Massive le lendemain, sans aucun changement sur l'actif lui-même.
Actif A : Serveur ERP interne, faille RCE.
CVSS 9,8. Critique. Mais inaccessible depuis internet, accès authentifié requis, EPSS 0,03, aucun exploit public, absent de la liste KEV. Score d'attractivité : 9/27. Zone de Ciblage Avancé.
Actif B : Concentrateur VPN exposé, contournement d'authentification.
CVSS 7,5. Élevé. Accessible depuis internet, référencé sur Shodan, sans MFA, non mis à jour depuis 14 jours. EPSS 0,94, exploit public depuis 3 jours, listé KEV, activement cité dans des campagnes ransomware en cours. Score d'attractivité : 24/27. Zone de Danger.
Un backlog trié par sévérité envoie votre équipe sur l'Actif A en premier. Les attaquants sont déjà sur l'Actif B.
| Critère | Approche traditionnelle | Approche attractivité |
|---|---|---|
| Fréquence | Mensuelle / trimestrielle | Continue |
| Base de priorisation | CVSS au moment du scan | Probabilité d'exploitation maintenant |
| Logique de ciblage | Vulnérabilité d'abord | Actif d'abord |
| Réponse nouvel exploit | Prochain cycle de scan | En quelques heures |
| Périmètre | Actifs connus, périmètre déclaré | Surface externe complète, Shadow IT inclus |
Le moment le plus dangereux n'est pas quand une faille est publiée. C'est quand un groupe ransomware s'empare d'un exploit et lance des campagnes automatisées, avant que la plupart des équipes aient ouvert l'alerte. Dans les organisations sans flux d'intelligence automatisés, le délai moyen entre l'ajout d'une faille à la liste KEV et son triage interne est de 6 à 11 jours.
Regardez votre surface d'attaque comme un attaquant la voit, pas comme votre inventaire vous la présente. Ce que Shodan affiche sur vos IPs, c'est votre périmètre réel. Tout port ouvert sans raison d'être public est une invitation.
Votre liste de priorités doit changer au rythme des exploits, pas au rythme de vos cycles de scan. Une faille basse priorité aujourd'hui peut devenir urgente dès qu'un exploit sort ou qu'elle rejoint la liste KEV.
Concentrez l'effort là où la probabilité d'attaque est réellement élevée. Pas sur ce qui a le CVSS le plus élevé, sur ce qui est exposé, exploitable maintenant, et critique pour votre activité.
Avant votre prochain sprint CVE, faites un audit d'hygiène. TLS, headers, répertoires ouverts, versions de serveurs visibles. Un service mal configuré sans faille connue reste une cible facile.
Entre deux audits, votre surface change et des exploits deviennent publics. C'est dans cette fenêtre que la plupart des compromissions se produisent.
Le score de sévérité a rendu un service immense à la communauté sécurité. Mais il mesure ce qu'une faille pourrait faire dans le pire des cas théorique, pas ce qu'un attaquant va effectivement faire la semaine prochaine sur votre infrastructure.
La priorité n'est pas une question de sévérité. C'est une question de probabilité, de timing et de contexte. Un actif devient piratable quand quatre conditions se croisent au même moment : il est visible, il est vulnérable maintenant, il vaut le coup, et il est facile d'entrée.
Les équipes qui font cette bascule, de la sévérité statique à l'attractivité dynamique, ne corrigent pas plus de vulnérabilités. Elles corrigent les bonnes, au bon moment.
Patrowl dispose d'un module EASM (External Attack Surface Management) qui cartographie en continu votre surface d'attaque externe et détecte les actifs exposés, y compris ceux absents de votre inventaire déclaré.
C'est ce qui s'est produit en mars 2025 lors de la publication de CVE-2025-53770 : Patrowl a détecté l'exposition à 15h57 et alerté la Blue Team à 16h36 — 39 minutes entre la divulgation et la réponse opérationnelle, sans aucun triage manuel entre les deux.
zerodayclock.com — Données historiques Time-to-Exploit (2018–2026)
Patrowl — Webinar SASIG, 22 avril 2026. Intervenant : Nicolas Mattiocco, CEO
VulnCheck — State of Exploitation H1-2025
Rapid7 — 2026 Global Threat Landscape Report
NVD / Security Boulevard — 131 CVE/jour en 2025
FIRST — EPSS v4, mars 2025
Morphisec — 2025 Ransomware Vulnerability Report
Verizon DBIR 2025 — Data Breach Investigations Report
