Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > L’exploitation des vulnérabilités vient de dépasser le vol d’identifiants. Le modèle du correctif montre ses limites en toute discrétion.

L’exploitation des vulnérabilités vient de dépasser le vol d’identifiants. Le modèle du correctif montre ses limites en toute discrétion.

par Patrick Spencer updated mai 29, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 7 minutes

Pendant dix-neuf ans, le rapport Verizon DBIR a mis en lumière une réalité inconfortable : la plupart des attaquants s’introduisent en dérobant des identifiants. Le DBIR 2026 marque un tournant, avec une inversion inédite de cette tendance. L’exploitation de vulnérabilités devient désormais le principal vecteur d’accès initial, représentant 31 % des violations, tandis que l’abus d’identifiants chute à 13 %.

Les données d’actions confirment cette évolution au niveau des types d’attaques : l’exploitation apparaît dans 32 % des violations, contre 18 % l’année précédente, soit un doublement en un an. Le rapport Mandiant M-Trends 2026 corrobore cette tendance avec des données d’intervention sur incidents : les exploits représentent 32 % des intrusions, contre seulement 6 % pour le phishing par e-mail. Les entreprises ont beaucoup investi dans la défense axée sur les identifiants, qui reste nécessaire, mais n’est plus adaptée à la menace principale.

5 enseignements clés

1. L’exploitation de vulnérabilités devient le vecteur d’accès initial n°1.

Le DBIR Verizon 2026 constate que l’exploitation représente 31 % des violations, alors que l’abus d’identifiants tombe à 13 %. C’est la première fois en 19 ans de DBIR que l’exploitation prend la tête du classement. Les stratégies de défense déployées par la plupart des entreprises ces cinq dernières années — MFA, authentification résistante au phishing, surveillance des identifiants — étaient adaptées à l’époque précédente, mais ne répondent plus à la menace principale d’aujourd’hui.

2. Les taux de remédiation KEV régressent.

En 2025, seules 26 % des vulnérabilités critiques listées par la CISA KEV ont été entièrement corrigées par les organisations, contre 38 % l’année précédente. Le délai médian de résolution complète est passé de 32 à 43 jours. Les organisations ont dû gérer 50 % de vulnérabilités critiques en plus en médiane par rapport à l’année précédente. Le nombre de vulnérabilités augmente plus vite que la capacité de remédiation. Il s’agit d’un problème structurel, non d’un problème d’exécution. Une stratégie d’intervention basée principalement sur le patching repose sur des bases erronées.

3. L’IA réduit la fenêtre d’attaque à quelques heures.

Selon Synack, le délai moyen de remédiation est passé de 63 à 38 jours — un vrai progrès, mais qui reste insuffisant face à la rapidité d’exploitation. La fenêtre d’exploitation se réduit désormais à quelques heures. CrowdStrike observe une augmentation de 89 % des activités adverses dopées à l’IA et une hausse de 42 % des zero-days. L’écart entre la divulgation et l’armement des failles se réduit plus vite que la capacité de réaction des défenseurs ne s’améliore.

4. L’enrichissement NVD s’effondre sous la charge.

Le rapport Dragos 2026 OT/ICS révèle que 15 % des CVE CISA et NVD présentaient un score CVSS incorrect en 2025 — dont 64 % sous-évalués. 25 % des avis publics ne proposaient ni correctif ni mesure de mitigation. Lorsque l’infrastructure de scoring est erronée 15 % du temps et qu’un quart des divulgations n’ont aucune solution, la gouvernance des données ne peut pas dépendre de la connaissance du CVE pour assurer la protection.

5. La réponse architecturale : la gouvernance au niveau des données.

Quand le correctif n’arrive pas à temps — ou arrive avec un score CVSS erroné, ou sans solution — les données doivent malgré tout être protégées. L’accès Zero Trust, le chiffrement FIPS 140-3 et l’audit logging infalsifiable ne dépendent pas de la connaissance du CVE. Log4Shell, noté CVSS 10, s’est traduit par un CVSS effectif de 4 dans les environnements Kiteworks, précisément parce que les défenses au niveau des données ont tenu alors que la couche applicative était vulnérable.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Le problème de la remédiation : 26 % en recul

En 2025, seules 26 % des vulnérabilités critiques listées par la CISA KEV ont été entièrement corrigées, contre 38 % l’année précédente. Le délai médian de résolution complète est passé de 32 à 43 jours. Les organisations ont dû gérer 50 % de vulnérabilités critiques en plus en médiane, ce qui explique en partie la situation, mais pas totalement. Le rapport Synack 2026 sur l’état des vulnérabilités a analysé plus de 11 000 vulnérabilités exploitables : 48 244 CVE publiées (+20 % sur un an), le délai moyen de remédiation est tombé de 63 à 38 jours — un progrès qui reste insuffisant face à la découverte et à l’armement accélérés de nouvelles vulnérabilités.

Le rapport CrowdStrike 2026 Global Threat ajoute l’accélération côté attaquants : +42 % de zero-days exploités, +89 % d’activités adverses dopées à l’IA, et des groupes eCrime qui arment systématiquement les zero-days sur les systèmes d’entreprise exposés à Internet — MFT, ITSM, ERP —, soit les catégories de données les plus convoitées par les attaquants. Le constat est clair : les attaquants accélèrent, les défenseurs progressent mais pas assez vite pour combler l’écart.

L’effondrement du NVD : quand les scores CVSS sont erronés ou absents

Le modèle de défense basé sur les correctifs repose sur une hypothèse silencieuse : les vulnérabilités sont rapidement notées, les scores CVSS sont fiables, et des mesures de mitigation sont publiées avec la divulgation. Le rapport Dragos 2026 OT/ICS Cybersecurity Year in Review montre que cette hypothèse ne tient plus. 15 % des CVE CISA et NVD avaient un score CVSS incorrect en 2025 — dont 64 % sous-évalués, donc une sous-estimation systématique de la gravité. 25 % des avis publics ne proposaient ni correctif ni mitigation. L’enrichissement NVD peut désormais prendre jusqu’à deux ans.

Conséquence structurelle : les outils de gestion des vulnérabilités qui priorisent selon le CVSS s’appuient sur de mauvaises données 15 % du temps, avec une tendance à sous-estimer le risque. Le patching n’est pas une option pour un quart des problèmes divulgués. La priorisation basée sur les données NVD fonctionne sur un retard permanent. C’est pourquoi la classification et la gouvernance des données au niveau data-layer ne peuvent dépendre de la connaissance du CVE pour appliquer la protection — la protection doit précéder la divulgation.

Conséquence architecturale : le patching reste nécessaire mais ne suffit plus

L’analyse croisée des données DBIR 2026, Synack, Mandiant, CrowdStrike et Dragos ne montre pas un échec du patch management. Elle montre que le patch management ne peut plus, à lui seul, assurer la défense pour laquelle il a été conçu. La fenêtre de réaction des défenseurs se mesure désormais en heures ; le cycle de patch typique, en jours ou semaines ; les données de vulnérabilité sont de moins en moins fiables ; et une part significative des problèmes divulgués n’ont pas de correctif.

La conclusion architecturale : la défense doit tenir même si le correctif arrive en retard, avec un score CVSS erroné, ou jamais. Exemple Kiteworks : Log4Shell, noté CVSS 10 en décembre 2021, s’est traduit par un CVSS effectif de 4 dans les environnements Kiteworks — non parce que les clients ont patché plus vite, mais parce que l’appliance virtuelle durcie, le WAF intégré, l’isolation à locataire unique, le chiffrement FIPS 140-3 et l’audit logging infalsifiable ont limité l’exposition au niveau data-layer, bien en deçà de l’exposition applicative. Le correctif est arrivé en temps voulu. Les données n’ont pas eu à l’attendre.

Cinq propriétés architecturales font la différence. Une appliance virtuelle durcie avec pare-feu intégré, WAF et détection d’intrusion — pour que les défenses périphériques assurent le confinement pendant le patching. Un double chiffrement validé FIPS 140-3 (niveau fichier et disque, clés séparées) en transit et au repos — pour qu’une faille applicative ne devienne pas une exfiltration de données. Une isolation à locataire unique éliminant le blast radius entre clients. Un audit logging infalsifiable vers le SIEM en temps réel, sans limitation ni perte de logs. Et l’application du Zero Trust au niveau data-layer avec des contrôles d’accès basés sur les attributs à chaque requête — pour qu’une brèche périmétrique ne se propage pas à la couche data sous-jacente.

Socle de conformité : FedRAMP, FIPS 140-3, CMMC et le niveau d’exigence

La documentation par le DBIR 2026 de l’armement systématique des systèmes d’entreprise exposés à Internet plaide pour des certifications de durcissement au-delà des standards commerciaux. 75 % des répondants du secteur public exigent FedRAMP pour les services cloud et 69 % requièrent le chiffrement validé FIPS 140-3 selon le rapport Kiteworks 2025 Data Forms. Ces exigences existent parce que les agences qui les rédigent ont une expérience opérationnelle face aux mêmes adversaires qui attaquent désormais les systèmes commerciaux à la fréquence documentée par le DBIR.

Seuls 46 % des organisations du secteur de la défense se considèrent prêtes pour le CMMC Niveau 2 selon le rapport Kiteworks DIB, avec 57 % n’ayant pas réalisé d’analyse d’écart NIST 800-171 et 62 % dépourvues de contrôles de gouvernance adéquats. Le contexte post-DBIR rend le durcissement de niveau CMMC pertinent bien au-delà du secteur défense — contrôle d’accès, audit, identification et authentification, et protection des systèmes sont précisément les contrôles qui tiennent quand le modèle patch échoue.

Que doivent faire les responsables sécurité ce trimestre ?

Premièrement, admettre que la défense basée uniquement sur les correctifs ne suffit plus. Continuer à investir dans la rapidité de patching reste nécessaire, mais ce n’est pas la solution architecturale dans un contexte où la fenêtre d’exploitation se compte en heures et où les taux de remédiation baissent.

Deuxièmement, auditer la gouvernance data-layer de chaque système hébergeant des données sensibles ou réglementées. La question à se poser : si une vulnérabilité critique apparaissait demain sur ce système sans correctif disponible, qu’est-ce qui protégerait les données ? Si la réponse est « nous patcherions rapidement », ce n’est pas une solution architecturale.

Troisièmement, privilégier les certifications de durcissement lors du choix de plateformes pour l’échange de données sensibles. Le DBIR documente l’armement systématique des vulnérabilités MFT, ITSM et ERP. Les plateformes évaluées indépendamment selon les référentiels FedRAMP High, FIPS 140-3 et CMMC Niveau 2 présentent un niveau de durcissement nettement supérieur à celles qui ne le sont pas.

Quatrièmement, constituer la preuve forensique avant la brèche. Le DBIR indique un délai médian de 73 jours entre la brèche et la divulgation. Des journaux d’audit infalsifiables, complets et en temps réel de chaque échange de données constituent la base du dossier forensique. Des logs fragmentés ou limités ne résisteront pas à l’analyse.

Cinquièmement, consolider les échanges de données sous un plan de contrôle unique. Chaque solution ponctuelle possède sa propre surface de patch et son blast radius potentiel. Le Réseau de données privé Kiteworks — qui regroupe la messagerie électronique, le partage et le transfert de fichiers, SFTP, formulaires web et intégrations IA sous une architecture durcie — réduit le nombre de plateformes d’entreprise exposées à Internet hébergeant des données sensibles, au lieu de l’augmenter.

Pour en savoir plus sur la protection des données sensibles contre l’exploitation de vulnérabilités, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

L’exploitation de vulnérabilités est désormais le vecteur d’accès initial n°1 dans 31 % des violations, dépassant l’abus d’identifiants (13 %) pour la première fois dans l’histoire du DBIR. Avec la baisse du taux de remédiation KEV à 26 % et l’accélération de l’exploitation via l’IA, la conclusion est claire : la rapidité de patching ne suffit plus. La gouvernance data-layer, avec traçabilité et accès Zero Trust, doit assurer la protection lorsque les correctifs arrivent en retard.

Nécessaire, mais plus suffisant. Le délai médian de remédiation KEV est passé à 43 jours, alors que la fenêtre d’exploitation se réduit à quelques heures. L’équation ne s’équilibre plus avec le patching seul. La gouvernance data-layer — architecture durcie, chiffrement FIPS 140-3, audit logging infalsifiable — doit protéger les données pendant la fenêtre de patch, pas seulement après.

Le DBIR documente l’armement systématique des vulnérabilités MFT, ITSM et ERP. La réponse architecturale consiste en une infrastructure durcie, à locataire unique et défense en profondeur — WAF/IDS intégré, double chiffrement FIPS 140-3, audit logging infalsifiable — pour que les données restent protégées en attendant le correctif. Kiteworks est certifié FedRAMP Moderate Authorized et FedRAMP High In Process pour répondre à ce besoin.

Les auditeurs attendent de plus en plus une défense en profondeur documentée au niveau data-layer, et pas seulement un suivi d’inventaire CVE. Le taux de remédiation KEV à 26 % dans le DBIR recentre l’audit sur la question : « qu’est-ce qui protège les données si le correctif tarde ? » Isolation à locataire unique, chiffrement FIPS 140-3, audit logging infalsifiable et enforcement ABAC constituent la réponse architecturale attendue.

Exigez au minimum l’Autorisation FedRAMP Moderate (FedRAMP High In Process pour les charges de plus haute sensibilité), des modules de chiffrement validés FIPS 140-3, SOC 2 Type II, ISO 27001/27017/27018, et des tests de pénétration continus par des tiers. Le DBIR montre que les plateformes d’entreprise exposées à Internet sont la cible principale des exploitations — les certifications de durcissement sont le critère pratique pour toute plateforme traitant du contenu réglementé.

Ressources complémentaires

  • Article de blog Comment protéger les données d’essais cliniques dans la recherche internationale
  • Article de blog Le CLOUD Act et la protection des données au Royaume-Uni : pourquoi la juridiction compte
  • Article de blog Protection des données Zero Trust : stratégies de mise en œuvre pour plus de sécurité
  • Article de blog Protection des données dès la conception : comment intégrer les contrôles RGPD à votre programme MFT
  • Article de blog Comment prévenir les violations de données avec le partage sécurisé de fichiers à l’international

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks