Pour la sixieme annee consecutive, l’exploitation des vulnerabilites mene tous les vecteurs d’acces initial dans le rapport Mandiant M-Trends 2026, representant 32 % de toutes les intrusions. Le DBIR 2025 de Verizon a documente une hausse de 34 % de l’exploitation des vulnerabilites, qui represente desormais 20 % de toutes les breches — depassant le phishing a 15 % pour la premiere fois. La decouverte la plus alarmante : le delai moyen d’exploitation des vulnerabilites nouvellement divulguees s’est effondre a moins sept jours, ce qui signifie que l’exploitation se produit regulierement avant meme qu’un correctif soit disponible.
Les chiffres parlent d’eux-memes
Le rapport M-Trends 2026 de Mandiant, base sur plus de 450 000 heures de reponse aux incidents, fournit le tableau le plus clair de l’evolution du paysage des menaces :
- Exploits : 32 % des intrusions initiales (premier pour la sixieme annee consecutive)
- Phishing : 11 % (en baisse par rapport a 22 % en 2022)
- Compromission anterieure : 10 %
- Identifiants voles : 9 %
Le DBIR de Verizon raconte une histoire complementaire : l’exploitation des vulnerabilites a augmente a 20 % des breches, une hausse de 34 % en glissement annuel, tandis que le phishing est tombe a 15 %.
Pourquoi l’exploitation gagne
Les fenetres de correction s’effondrent. Le concept de fenetre de correction a ete detruit. Avec un delai moyen d’exploitation de moins sept jours, les attaquants exploitent les vulnerabilites avant que les defenseurs sachent meme qu’elles existent.
Les applications exposees sur Internet sont la cible. Les trois vulnerabilites les plus exploitees en 2025 selon Mandiant etaient toutes des zero-days ciblant des serveurs d’applications d’entreprise exposes sur Internet : CVE-2025-31324 dans SAP NetWeaver, CVE-2025-61882 dans Oracle EBS et CVE-2025-53770 dans SharePoint.
Le transfert d’acces a atteint la vitesse machine. L’une des decouvertes les plus frappantes de M-Trends 2026 : le delai median entre l’acces initial et le transfert a un groupe de menaces secondaire s’est effondre de plus de 8 heures en 2022 a seulement 22 secondes.
Le code d’exploit est banalise. Les preuves de concept apparaissent sur GitHub en quelques heures apres la divulgation. La recherche de vulnerabilites assistee par IA accelere le developpement d’exploits fonctionnels.
Publicité
Le declin du phishing
Le phishing n’a pas disparu mais son importance relative a fortement diminue car la securite email s’est amelioree, l’exploitation s’etend mieux, et l’automatisation favorise l’exploitation plutot que le ciblage individuel.
Ce que cela signifie pour les defenseurs
La gestion des vulnerabilites doit devenir continue. Les cycles de correction annuels ou trimestriels ne sont plus viables quand l’exploitation se produit avant la divulgation.
Supposez l’exposition aux zero-days. Si votre organisation utilise SAP, Oracle, Microsoft ou toute application d’entreprise largement deployee, supposez que des vulnerabilites zero-day existent et seront exploitees avant que les correctifs soient disponibles.
Priorisez la surface d’attaque exposee sur Internet. Les outils EASM qui decouvrent et evaluent en continu les actifs exposes offrent la reduction de risque la plus directe.
Implementez le patching virtuel. Quand les correctifs du fournisseur ne sont pas encore disponibles, les regles WAF et les signatures IPS offrent une protection intermediaire.
Point cle
Le vecteur d’attaque principal est passe de la manipulation des humains (phishing) a l’exploitation de la technologie (exploitation des vulnerabilites). Cela exige un changement correspondant dans l’investissement defensif : de la formation a la sensibilisation comme premiere priorite vers la gestion de la surface d’attaque, le patching continu et les controles compensatoires pour l’exposition aux zero-days. Le transfert en 22 secondes signifie que la fenetre de detection et de reponse est plus petite que jamais.
Questions frequemment posees
Cela signifie-t-il que la formation anti-phishing n’est plus importante ?
La formation anti-phishing reste importante mais n’est plus suffisante comme defense principale. Le phishing represente encore 11 % des intrusions initiales. Cependant, les donnees montrent que l’exploitation des vulnerabilites est desormais deux fois plus courante, ce qui signifie que l’investissement defensif devrait se reorienter proportionnellement.
Comment les organisations peuvent-elles se defendre contre l’exploitation de zero-days ?
Puisque les zero-days sont exploites avant que les correctifs existent, la defense repose sur des controles compensatoires : segmentation reseau, pare-feu applicatif, surveillance au niveau applicatif et gestion de la surface d’attaque externe.
Qu’est-ce qui explique le transfert d’acces en 22 secondes que Mandiant a trouve ?
Les courtiers d’acces initial ont automatise leurs operations. Quand une vulnerabilite est exploitee, des outils automatises etablissent la persistance, inventorient l’environnement compromis et transferent l’acces aux acheteurs via des places de marche automatisees.
Radar de Decision (Prisme Algerie)
| Dimension | Evaluation |
|---|---|
| Pertinence pour l’Algerie | Elevee — les entreprises algeriennes utilisant SAP, Oracle et Microsoft font face aux memes risques zero-day ; beaucoup ont des cycles de correction plus lents |
| Infrastructure prete ? | Partielle — l’analyse de vulnerabilites de base existe mais les capacites EASM et de patching virtuel continus sont rares |
| Competences disponibles ? | Partielles — les competences en gestion des vulnerabilites existent mais la reponse aux zero-days et l’integration du renseignement sur les menaces necessitent une formation specialisee |
| Calendrier d’action | Immediat |
| Parties prenantes cles | RSSI, equipes de gestion des vulnerabilites, analystes SOC, proprietaires d’applications, gestionnaires d’infrastructure IT |
| Type de decision | Strategique |
Point cle : Les entreprises algeriennes devraient immediatement auditer l’exposition de leurs applications exposees sur Internet, prioriser le deploiement de WAF pour les applications critiques (SAP, Oracle, SharePoint) et passer d’un patching programme a une gestion continue des vulnerabilites.
Sources et lectures complémentaires
- M-Trends 2026 : donnees, analyses et strategies — Google Cloud Blog
- M-Trends 2026 : le transfert d’acces initial passe de heures a 22 secondes — SecurityWeek
- L’exploitation des vulnerabilites emerge comme premier vecteur d’acces — Infosecurity Europe
- La montee de l’exploitation des vulnerabilites comme vecteur initial — Oligo Security
- Les attaquants transferent l’acces en 22 secondes — Help Net Security
