1 juin 2026 Astuces Timothée Alamargot
Ce contenu vous plait
Partagez-le sur les réseaux
Un actif exposé après votre dernier pentest. Une CVE critique publiée un vendredi soir. Une infrastructure cloud modifiée entre deux audits. Ces trois scénarios ont un point commun : ils créent une fenêtre d'exploitation que ni un scanner seul, ni un pentester seul, ni l'IA seule ne peuvent combler. Et pendant que vous attendez le prochain cycle d'audit, l'attaquant est déjà à l'intérieur.
Selon les données Mandiant M-Trends 2026, les exploits représentent le vecteur d'intrusion initial le plus fréquemment observé pour la sixième année consécutive, à l'origine de 32 % des compromissions en 2025. Le temps moyen entre la divulgation d'une vulnérabilité et son exploitation active (MTTE, Mean Time To Exploit) est passé de 32 jours en 2023 à 5 jours en 2024 (Mandiant/Google Cloud). 32 % des CVE exploitées en 2024 l'ont été avant même que le patch soit disponible publiquement.
En France, le baromètre CESIN/OpinionWay confirme cette réalité terrain : 47 % des entreprises françaises ont subi au moins une cyberattaque en 2023, et parmi elles, 47 % ont été touchées via l'exploitation d'une faille, deuxième vecteur d'attaque derrière le phishing. Ce n'est pas une question de manque d'outils. C'est une question d'approche structurellement inadaptée au rythme réel des attaquants.
Le dwell time médian (ou MTTD, Mean Time To Detect), soit le temps qu'un attaquant passe dans votre environnement avant d'être détecté, a progressé à 14 jours en 2025 selon Mandiant/Google Cloud (M-Trends 2026). Ce chiffre reflète principalement les clients de Mandiant, qui disposent de capacités de détection supérieures à la moyenne du marché ; les CERT nationaux observent généralement des délais de plusieurs mois. Pour les incidents détectés uniquement par notification externe, ce délai monte à 25 jours dans le périmètre Mandiant.
Dans ce contexte, les organisations clientes de Patrowl découvrent en moyenne 30 à 40 % d'actifs Internet non répertoriés lors des premières 72 heures de déploiement, des actifs absents de toutes les analyses précédentes, et donc de tous les périmètres de correction.
Un pentest annuel photographie votre sécurité à un instant T. Il est obsolète dès qu'une nouvelle fonctionnalité est déployée, qu'un actif cloud est exposé, ou qu'une CVE critique est publiée. Les fondateurs de Patrowl ont vécu ce scénario : mission de 2 semaines sans faille détectée, intrusion réelle quelques semaines plus tard via une fonctionnalité activée post-audit.
Chaque composante de la sécurité offensive a ses forces. Le problème n'est pas leur existence individuelle — c'est leur utilisation en silo. Voici pourquoi chacune, seule, crée un angle mort exploitable.
Un scanner teste des milliers d'actifs simultanément, 24h/24. C'est irremplaçable pour la couverture. Sa limite structurelle : entre 60 % et 80 % des alertes produites sont des faux positifs ou des risques acceptables. Sans contexte métier ni exploitation réelle, les rapports génèrent du bruit opérationnel. Les équipes passent leur temps à trier plutôt qu'à corriger.
Conséquence terrain : une organisation qui reçoit 400 alertes sans priorisation va mécaniquement déprioritiser et laisser passer la menace réelle au profit du volume.
L'IA corrèle des signaux à grande échelle, accélère le triage et aide à coder des exploits ou des PoC pour accélérer la phase de pré-exploitation. Mais un faux négatif (une faille non détectée) laisse une surface d'attaque exposée sans alerte. Sur des données sensibles, les hallucinations constituent un risque réel. L'IA ne peut pas décider, signer un rapport ni engager sa responsabilité devant un RSSI ou un régulateur NIS2.
Conséquence terrain : l'IA seule ne peut pas répondre à la question fondamentale : « est-ce que cette faille est réellement exploitable dans mon contexte spécifique ? » Elle produit une hypothèse. Elle ne valide pas.
Un pentester certifié apporte le raisonnement offensif, le jugement contextuel, l'évaluation de l'impact métier réel, et contribue à la R&D et à l'amélioration continue des outils. Ces compétences sont irremplaçables pour les scénarios d'exploitation complexes. La limite est structurelle : l'action est ponctuelle.
Le baromètre CESIN/OpinionWay révèle que 33 % des incidents de sécurité sont causés par un défaut de configuration et 29 % par des vulnérabilités résiduelles, soit 62 % des incidents liés à des expositions que la surveillance continue détecte en temps réel, et qu'un pentest annuel rate structurellement par définition. Entre deux audits, votre infrastructure change : nouveaux actifs, nouvelles configurations, nouvelles CVE publiées.
Avec un MTTE moyen de 5 jours et un dwell time médian (MTTD) de 14 jours selon Mandiant, une analyse qui date de 3 mois n'a plus de valeur opérationnelle. Votre infrastructure a changé. De nouveaux actifs sont apparus. Une CVE critique a été publiée, peut-être déjà exploitée.
La CVE-2025-31324 permet à un attaquant non authentifié de téléverser des fichiers arbitraires via SAP NetWeaver Visual Composer. Score CVSS : critique. Les scanners et outils IA la classent automatiquement en tête de priorité.
Selon M-Trends 2026, au moins quatre clusters de menaces distincts ont exploité cette vulnérabilité en zero-day début 2025. Après la publication du patch SAP en avril 2025, six clusters supplémentaires, dont plusieurs groupes d'espionnage à nexus PRC, ont continué à l'exploiter en n-day.
Ce que l'automatisation seule rate :
Un téléversement de fichiers bloqué par des politiques réseau strictes rend la faille inexploitable dans ce contexte ; le scanner le classe critique sans le savoir
Le correctif peut être appliqué de manière incomplète sur certains nœuds : l'outil automatisé ne détecte pas ce delta
La chaîne d'exploitation CVE-2025-31324 + CVE-2025-42999 (exécution de code) n'est pas identifiée sans règles spécifiques
Ce que l'analyse humaine détermine :
L'activité post-compromission observée par Mandiant se limite à l'établissement d'un point d'ancrage et à la reconnaissance ; l'humain évalue si votre organisation est une cible prioritaire pour ces clusters
L'impact diffère radicalement entre un système SAP de production et une instance de test : seul un expert qualifie les conséquences réelles sur les données, le service et la conformité
Résultat sans qualification humaine : 90 % des équipes perdent du temps à corriger une faille inactive dans leur configuration spécifique. 10 % ignorent une menace critique parce que l'outil a mal classé l'alerte, notamment si le composant Metadata Uploader n'est pas détecté comme exposé sur Internet.
La méthode Patrowl n'additionne pas trois outils : elle orchestre trois rôles dont aucun ne peut se substituer aux deux autres.
| Automatisation | IA supervisée | Validation humaine | |
|---|---|---|---|
| Rôle | Découverte et détection à l'échelle | Triage, corrélation, pré-exploitation | Validation et R&D outillage |
| Force | 24/7, volume illimité | Vitesse analytique, aide au codage PoC | Jugement contextuel, zéro faux positif |
| Sans les deux autres | 60-80 % de faux positifs | Hypothèses non validées, hallucinations | Ponctuel, obsolète en 72h |
L'automatisation continue cartographie les actifs exposés sans déclaration préalable de périmètre, détecte le Shadow IT, exécute les tests black-box et les retests après correction. Les organisations déploient Patrowl et découvrent 38 % d'actifs supplémentaires dans les premières 72 heures, vecteurs d'attaque absents de toutes les analyses précédentes.
L'IA supervisée en interne trie les données de Threat Intelligence, enrichit le contexte des CVE sur les actifs identifiés, aide à coder des exploits et PoC pour accélérer la pré-exploitation, et réduit le temps de traitement des signaux à faible valeur. Elle ne prend aucune décision autonome visible dans le portail client. Les modèles fonctionnent sur l'infrastructure Patrowl hébergée en France chez OVH Gravelines ; les données ne transitent pas par des services tiers ou des fournisseurs américains.
La validation humaine systématique : un pentester certifié (OSCP, OSWE, OSCE, PASSI) valide l'exploitabilité réelle des findings préqualifiés par l'automatisation et l'IA avant tout affichage dans le tableau de bord client. La vérification s'appuie sur des templates structurés incluant PoC, indicateurs IoC pour le SOC et critères de priorité, ce qui permet de maintenir un niveau de couverture élevé sans revue manuelle exhaustive. Résultat : zéro faux positif transmis aux équipes, alerte en moins de 40 minutes après la publication de la CVE-2025-53770 sur SharePoint (Brest Métropole), MTTR divisé par 3 chez Xplor grâce à la priorisation par exploitabilité réelle.
NIS2 et DORA n'exigent plus un audit annuel. Ils imposent une connaissance exhaustive et actualisée de la surface d'attaque, un contrôle continu des risques tiers et une réactivité immédiate sur les failles critiques. Un rapport de pentest figé ou des scans automatiques non qualifiés exposent à un défaut de conformité avec des sanctions financières engageant directement les dirigeants.
L'orchestration continue est la seule méthode technique pour démontrer une gouvernance des risques conforme : pas une case à cocher, mais, une capacité opérationnelle permanente.
Patrowl UEMP (Unified External Monitoring Platform) est une plateforme unifiée qui combine EASM, pentest continu et IA agentique en un seul flux opérationnel. Voici comment elle se compare aux approches traditionnelles :
| Scanners traditionnels | Pentest ponctuel | Patrowl UEMP | |
|---|---|---|---|
| Fréquence | Continue (planifiée) | 1 à 2 fois par an | Continue 7j/7, 24h/24 |
| Shadow IT | Limité au périmètre connu | Impossible hors périmètre | Automatique et permanent |
| Faux positifs | 60-80 % | Faible (filtré manuellement) | Proche de 0 % (validé, templates) |
| Preuve d'exploitation | Absente | Présente dans le rapport | Fournie en temps réel |
| Délai d'alerte CVE critique | Jours à semaines | Aucun hors période d'audit | Moins de 40 minutes en moyenne |
| Plan de remédiation | Générique | Contextuel mais figé | Priorisé par criticité métier |
Avec un MTTE moyen de 5 jours, un dwell time médian (MTTD) de 14 jours selon Mandiant et des exploits à l'origine de 32 % des compromissions en 2025, choisir entre automatisation, IA et expertise humaine n'est pas une décision stratégique : c'est une faute opérationnelle. Chaque approche isolée laisse un angle mort exploitable. Les attaquants, eux, combinent déjà automatisation et IA pour identifier et exploiter les failles avant que vos équipes en aient connaissance.
L'orchestration des trois n'est pas un positionnement marketing. C'est la réponse technique à une réalité documentée.
Sources : Mandiant M-Trends 2026 · Mandiant/Google Cloud M-Trends 2025 · Baromètre CESIN/OpinionWay 2024 · Données de déploiement Patrowl
