Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Rapport Synack 2026 : La fenêtre d’exploitation s’est réduite à quelques heures

Rapport Synack 2026 : La fenêtre d’exploitation s’est réduite à quelques heures

par Patrick Spencer updated mai 29, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 8 minutes

Le 14 mai 2026, Synack a publié son rapport 2026 sur l’état des vulnérabilités, une analyse de plus de 11 000 vulnérabilités exploitables identifiées dans les environnements clients en 2025. La conclusion principale de Help Net Security : « L’IA réduit la fenêtre d’exploitation des vulnérabilités à quelques heures. »

Trois constats, mis côte à côte, résument la situation. Les CVE publiées ont atteint 48 244 en 2025, soit une hausse de 20 % sur un an. Toutes les files de tri traitent plus d’entrées brutes que l’année précédente. Le volume total de vulnérabilités dans les environnements testés est resté globalement stable, mais la répartition a changé : les failles de gravité élevée ont augmenté de 10 %, les RCE de 39 %, les attaques par force brute de 17,4 % et les injections de contenu de 8 %. Les vulnérabilités de gravité faible et moyenne ont diminué. Les missions de sécurité IA et LLM sur la plateforme Synack ont bondi de 120 % sur un an — une catégorie qui n’existait pas il y a trois ans est désormais celle où les organisations s’attendent à être ciblées.

5 enseignements clés

1. La fenêtre d’exploitation s’est réduite à quelques heures.

Le rapport 2026 sur l’état des vulnérabilités de Synack montre que des adversaires dopés à l’IA exploitent les vulnérabilités nouvellement divulguées en quelques heures après leur publication — et non plus en semaines, comme encore en 2022. Il s’agit d’un changement structurel, pas d’une simple optimisation de vitesse. L’hypothèse traditionnelle selon laquelle les défenseurs disposent de plusieurs jours entre la divulgation et l’armement n’est plus valable, et tout plan de réponse aux incidents fondé sur cette hypothèse fonctionne désormais sur une mauvaise temporalité.

2. Le MTTR moyen est passé de 63 à 38 jours — et reste insuffisant pour gagner la course.

Le délai moyen de remédiation a chuté de 47 % en 2025. La remédiation des failles de gravité élevée s’est améliorée de 42 jours ; celle des failles critiques de 25 jours. Les défenseurs agissent nettement plus vite. Pourtant, ils perdent toujours la course contre la montre. L’exploitation commence en quelques heures ; les correctifs arrivent en jours ou semaines. C’est dans cet écart que surviennent les compromissions — et cet écart s’accroît à mesure que les outils des attaquants gagnent en rapidité.

3. Les failles de gravité élevée ont augmenté de 10 % alors que le volume total reste stable.

La répartition se dégrade à volume constant. Les failles d’exécution de code à distance ont bondi de 39 %, les attaques par force brute de 17,4 %, et les injections de contenu de 8 %. Les vulnérabilités de gravité faible et moyenne ont reculé — ce qui reste dans la file de tri est ce que les attaquants vont exploiter. Le dénominateur a aussi augmenté : les CVE publiées ont atteint 48 244 en 2025, soit une hausse de 20 % sur un an. Plus d’entrées, une répartition plus défavorable, une exploitation plus rapide.

4. Les missions de tests de sécurité IA et LLM sur Synack ont augmenté de 120 % sur un an.

Une catégorie de tests qui n’existait quasiment pas il y a trois ans est aujourd’hui l’un des axes d’investissement pentest à la croissance la plus rapide. Les organisations investissent dans les tests là où elles s’attendent à être attaquées. La gouvernance de l’IA et les contrôles au niveau des données ne sont plus des améliorations facultatives — ce sont les contrôles validés par cette vague de tests.

5. La vitesse de déploiement des correctifs est structurellement insuffisante. L’architecture est la réponse.

Si l’exploitation commence en quelques heures et que les correctifs arrivent en semaines, la question stratégique n’est pas de corriger plus vite. Il s’agit de rendre la fenêtre de correction supportable quand la prévention échoue. Log4Shell, notée CVSS 10, a eu un impact réel de CVSS 4 dans les environnements dotés de WAF embarqué, détection d’intrusion, isolation durcie et séparation à locataire unique. Ce niveau d’architecture n’est plus un luxe — c’est l’attente minimale pour tout canal d’échange de données traitant du contenu réglementé.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

À quelle vitesse correspond « quelques heures » ? Les chiffres concrets

En 2025, le délai moyen de remédiation était de 38 jours, contre 63 jours en 2024. Les vulnérabilités de gravité élevée étaient corrigées 42 jours plus vite que l’année précédente. Les failles critiques, 25 jours plus vite. Ces progrès sont réels — mais restent inférieurs à la rapidité des attaquants. Dr Mark Kuhr, CTO de Synack, l’exprime clairement : « Les adversaires peuvent identifier et exploiter des vulnérabilités dans des délais toujours plus courts. » La version polie d’une réalité plus dure : même lorsque les défenseurs gagnent la course aux correctifs, la course elle-même n’est plus le vrai enjeu.

React2Shell : la tendance à l’œuvre

Synack cite React2Shell — CVE-2025-55182, CVSS 10.0 comme illustration emblématique. La vulnérabilité a été divulguée le 3 décembre 2025 : désérialisation non sécurisée dans React Server Components affectant React 19.0+ et Next.js. Des attaquants non authentifiés pouvaient exécuter du code arbitraire via des requêtes HTTP malveillantes.

Quelques heures après la divulgation, l’équipe Threat Intelligence d’Amazon a observé une exploitation active par plusieurs groupes liés à la Chine. Quelques minutes après le déploiement de honeypots par Darktrace, l’exploitation opportuniste a commencé. La CISA a ajouté la vulnérabilité à son catalogue des vulnérabilités exploitées deux jours plus tard. En février 2026, des variantes de malwares générés par IA exploitant React2Shell sont apparues — des attaquants sans compétences en codage ont créé des exploits fonctionnels à l’aide de grands modèles de langage, compromettant 91 hôtes. Les correctifs existaient. Cela n’a rien changé pour les organisations touchées dans les 72 premières heures.

Les données Mandiant confirment la même tendance, vue de l’autre côté

M-Trends 2026 de Mandiant — basé sur plus de 500 000 heures d’investigations — documente un effondrement parallèle après exploitation. En 2022, le délai médian entre l’accès initial d’un attaquant et la transmission à un groupe secondaire dépassait 8 heures. En 2025, ce délai est tombé à 22 secondes.

Vingt-deux secondes, ce n’est pas une fenêtre de réaction pour un SOC. C’est le temps entre le déclenchement d’une alerte et la lecture de son titre par un analyste de niveau 1. Les exploits restent le vecteur d’infection initial le plus courant pour la sixième année consécutive, représentant 32 % des intrusions. Le vishing arrive en deuxième position avec 11 %, devant le phishing par e-mail à seulement 6 %. Lisez Synack et Mandiant ensemble : l’attaque démarre en quelques heures, se propage en 22 secondes et produit des impacts plus vite que l’architecture défensive de la plupart des organisations n’a été conçue pour l’encaisser.

Pourquoi « patcher plus vite » n’est plus la stratégie

Pendant vingt ans, la doctrine de gestion des vulnérabilités était : détecter plus vite, corriger plus vite, contenir plus vite. Mieux exploiter SIEM, SOAR, EDR, gestion des vulnérabilités. Chaque génération d’outils défensifs compressait le même cycle de vie que les attaquants utilisaient.

Les données Synack et Mandiant suggèrent que les attaquants ont quitté ce cycle de vie. Reconnaissance dopée à l’IA, génération automatisée d’exploits, infrastructures secondaires prépositionnées, variantes de malwares générés par IA par des opérateurs sans compétences en codage — il ne s’agit pas d’optimisations du modèle d’attaque classique. C’est un nouveau modèle d’attaque. Toutes les organisations, dans les douze prochains mois, auront à un moment donné une vulnérabilité connue et exploitée en production, car le déploiement des correctifs ne suit plus le rythme entre divulgation et exploitation. Ce n’est pas parce que les équipes de sécurité sont négligentes. C’est parce que les chiffres ne jouent plus en leur faveur.

Quelle alternative à la doctrine de la vitesse de correction ?

L’alternative architecturale, c’est la défense en profondeur qui permet de survivre à une exploitation réussie. Quand Log4Shell a frappé avec un score CVSS 10 en décembre 2021, l’impact réel dans les environnements Kiteworks était de CVSS 4 — non pas parce que les clients corrigeaient plus vite, mais parce que WAF embarqué, détection d’intrusion, isolation durcie des appliances virtuelles et séparation à locataire unique changeaient la portée réelle d’une faille CVSS 10. Les prévisions 2026 de Kiteworks présentent cela comme un impératif de sécurité supply chain — la modernisation des technologies d’échange de données n’est plus une option.

Voyons ce qui change avec une architecture de défense en profondeur lorsqu’une faille de type React2Shell est divulguée. Dans un environnement partagé en configuration par défaut : compromission quasi immédiate, avec une durée de présence égale au délai moyen de remédiation de 38 jours. Dans un environnement défense en profondeur avec isolation durcie et séparation à locataire unique : le WAF embarqué, les contrôles réseau et la détection d’intrusion ajoutent une couche de confinement au-delà de la pile applicative. Les mouvements latéraux sont structurellement limités. Les conditions d’une exploitation réussie sur les flux de données les plus sensibles n’existent pas — même si la vulnérabilité est présente. C’est ce niveau d’architecture que le nouveau tempo des menaces rend indispensable.

Secteurs les plus exposés

L’industrie, la technologie et le secteur public ont enregistré la plus grande part de failles critiques et de gravité élevée en 2025. L’industrie affiche la plus forte croissance du nombre d’actifs. Le secteur technologique concentre la majorité des failles critiques d’injection SQL, suivi des services financiers. Les failles critiques d’exécution de code à distance sont réparties plus équitablement entre les secteurs.

La tendance est indépendante du secteur mais spécifique au canal. Tout secteur gérant des échanges de données sensibles — informations médicales protégées (PHI) sous HIPAA, CUI sous CMMC, données de cartes de paiement sous PCI DSS, ou informations personnelles identifiables sous les réglementations locales — fait face à la même exposition structurelle. Ce sont les canaux d’échange de données qui subissent le plus lourdement les conséquences lorsque la fenêtre de correction coïncide avec la fenêtre de compromission.

Que doivent faire les organisations dès maintenant ?

Premièrement, considérez l’effondrement de la fenêtre d’exploitation comme une réalité structurelle. La question architecturale est la question stratégique. La vitesse de correction ne couvre qu’un aspect du problème.

Deuxièmement, recensez les canaux d’échange de données qui transportent vos contenus les plus sensibles — documents réglementés, communications avec des partenaires, pièces jointes contenant des informations médicales protégées ou CUI. Identifiez ce qui circule, sur quels canaux, et ce qui ne devrait pas y transiter.

Troisièmement, ajoutez des indicateurs de résilience architecturale à votre programme de sécurité. Délai moyen de confinement d’une exploitation réussie, scoring du rayon d’impact, nombre de couches de défense en profondeur sur les canaux critiques — ces indicateurs reflètent ce qui compte lorsque la prévention échoue.

Quatrièmement, envisagez la consolidation des flux sensibles sur des plateformes durcies. Les organisations qui centralisent leurs échanges de données sensibles sur une plateforme durcie réduisent à la fois l’exposition liée au cycle de correction et le temps de préparation aux audits. Les prévisions 2026 de Kiteworks présentent cela comme une action immédiate de réduction des risques.

Cinquièmement, mettez en place une gouvernance adaptée à l’IA avant la prochaine divulgation d’une faille IA de type React2Shell. La vague de tests Synack confirme où se situera la prochaine exploitation. Les cadres de gouvernance pour les agents IA accédant à des données sensibles doivent exister avant les divulgations — pas après. L’AI Data Gateway et le Secure MCP Server de Kiteworks appliquent des politiques au niveau des données, quel que soit le modèle ou le framework exploité.

Le rapport Synack 2026 ne dit pas que les défenseurs échouent. Il dit qu’ils réussissent dans un jeu dont les règles viennent de changer. La vitesse de correction fait gagner du temps. L’architecture fait gagner la partie.

Pour en savoir plus sur la protection de vos données sensibles contre les vulnérabilités exploitables, réservez votre démo sans attendre !

Foire aux questions

Des adversaires dopés à l’IA exploitent les vulnérabilités nouvellement divulguées en quelques heures après leur publication. Synack a analysé plus de 11 000 vulnérabilités exploitables en 2025 — les CVE publiées ont atteint 48 244 (+20 %), les failles de gravité élevée ont augmenté de 10 %, et les missions de tests de sécurité IA/LLM de 120 %. Le MTTR moyen est passé de 63 à 38 jours — ce qui reste insuffisant quand l’exploitation commence en quelques heures.

React2Shell (CVE-2025-55182, CVSS 10.0) est une vulnérabilité de désérialisation non sécurisée dans React Server Components permettant une exécution de code à distance sans authentification. L’exploitation active par des groupes liés à la Chine a débuté quelques heures après la divulgation du 3 décembre 2025. En février 2026, des variantes de malwares générés par IA compromettaient des hôtes. C’est l’illustration emblématique de Synack du nouveau tempo d’exploitation — les correctifs existaient mais étaient insuffisants pour les organisations touchées dans les 72 premières heures.

Poursuivez le respect de vos SLA tout en mettant en place des contrôles compensatoires — architecture de défense en profondeur, confinement du rayon d’impact et journaux d’audit de qualité pour l’accès aux données sensibles. Les régulateurs attendent de plus en plus cette posture architecturale en plus de la conformité sur les correctifs. Les organisations qui centralisent leurs échanges sensibles sur une plateforme durcie réduisent à la fois l’exposition liée au cycle de correction et le temps de préparation aux audits.

Les deux documentent la même évolution structurelle, mais de points de vue opposés. Synack constate une exploitation en quelques heures. Mandiant observe une transmission à des attaquants secondaires en 22 secondes. Ensemble, ils décrivent un cycle d’attaque qui tient dans la fenêtre nécessaire à la plupart des organisations pour escalader une alerte. L’implication stratégique est la même : une doctrine défensive fondée uniquement sur la vitesse de correction est structurellement insuffisante.

Les obligations de notification de violation HIPAA s’appliquent dès lors que des informations médicales protégées sont consultées sans autorisation — que la compromission ait duré quelques heures ou plusieurs semaines. Avec des fenêtres d’exploitation mesurées en heures, les programmes HIPAA fondés uniquement sur la prévention sont désormais exposés à des incidents qui se produisent avant même le début de la remédiation. Centraliser les flux d’informations médicales protégées sur des plateformes durcies et en défense en profondeur réduit à la fois la probabilité d’incident et les obligations de notification qui en découlent.

Oui. Le CMMC Niveau 2 exige une protection démontrable du CUI sur tous les canaux de transmission. Avec des fenêtres d’exploitation réduites à quelques heures, les contrôles d’accès et de protection système doivent être complétés par des contrôles architecturaux démontrant le confinement du rayon d’impact lorsque la prévention échoue. Les preuves d’audit et d’intégrité du système (AU et SI) sont de plus en plus scrutées par les évaluateurs dans ce nouvel environnement de menaces.

Les missions de tests IA/LLM sur Synack ont augmenté de 120 % — signalant où aura lieu la prochaine vague d’exploitation. Les organisations qui déploient des agents IA sur des données réglementées doivent disposer de cadres de gouvernance avant la prochaine divulgation d’une faille IA de type React2Shell. L’AI Data Gateway et le Secure MCP Server appliquent des politiques au niveau des données, quel que soit le modèle ou le framework IA exploité — c’est la seule architecture qui résiste aux CVE de niveau framework.

Trois chiffres : 48 244 CVE publiées en 2025, fenêtre d’exploitation réduite à quelques heures, transmission à des attaquants secondaires en 22 secondes (Mandiant). Puis la question architecturale : quels canaux d’échange de données peuvent survivre à une exploitation réussie, et lesquels non ? La discussion ne porte pas sur le nombre de correctifs, mais sur la capacité structurelle à survivre à la fenêtre de correction. Gartner prévoit que 50 % des organisations adopteront la gouvernance des données en zéro trust d’ici 2028 ; les conclusions Synack plaident pour accélérer ce calendrier.

Ressources complémentaires

  • Article de blog Comment protéger les données des essais cliniques dans la recherche internationale
  • Article de blog Le CLOUD Act et la protection des données au Royaume-Uni : pourquoi la juridiction compte
  • Article de blog Protection des données en mode Zero Trust : stratégies de mise en œuvre pour plus de sécurité
  • Article de blog Protection des données dès la conception : comment intégrer le RGPD à votre programme MFT
  • Article de blog Comment prévenir les violations de données avec le partage sécurisé de fichiers à l’international

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks