Les failles non corrigées deviennent le principal vecteur d'attaque

Selon le rapport DBIR de Verizon, les attaques informatiques passent désormais surtout par des failles non corrigées et sont devenues le premier point d'entrée devant le vol d'identifiants.

La gestion des correctifs est sous forte pression alors que les délais d’exploitation se réduisent. Une tendance qui pourrait encore s’accélérer avec l’usage croissant de l’IA dans les chaînes d’attaque. Les cyber-défenseurs ont en effet désormais une raison supplémentaire de s’inquiéter : selon la dernière édition du rapport annuel Data Breach Investigations Report (DBIR) de Verizon, l’exploitation des vulnérabilités a largement dépassé le vol d’identifiants comme principal point d’entrée des intrusions dans le SI des entreprises. Les chercheurs ont constaté que les failles exploitées étaient à l’origine de 31 % des incidents, contre 13 % pour l’utilisation abusive d’identifiants. Dans le même temps, seules 26 % des vulnérabilités critiques ont été totalement corrigées en 2025, avec un délai médian de remédiation passé de 32 à 43 jours.

Une vague de failles critiques difficile à contenir

L’étude s’appuie sur l’analyse de 31 000 incidents de sécurité, dont 22 000 vols de données confirmées, dans 145 pays. Pour les experts interrogés par CSO, cette montée de l’exploitation des failles comme vecteur d’intrusion est désormais clairement installée. « Les attaquants choisissent la voie de la moindre résistance à grande échelle », explique Daniel Bechenea, responsable sécurité chez Pentest-Tools.com. Selon lui, les systèmes non corrigés offrent un accès immédiat sans nécessiter de phishing ni d’achat d’identifiants compromis. Même constat chez Veracode, où le responsable de la sécurité Chris Wysopal estime que les entreprises ne corrigent « tout simplement pas les failles assez rapidement ».

Le rapport souligne également que seules 26 % des vulnérabilités connues exploitées (KEV) répertoriées par la CISA ont été corrigées cette année, contre 38 % l’an passé. Dans le même temps, le volume de vulnérabilités critiques à traiter a bondi de 50 % sur un an. Pour autant, James John, responsable de la réponse aux incidents chez Bridewell, nuance l’idée d’un recul du rôle des identifiants compromis dans les cyberattaques. « Nous constatons toujours que l’identité reste le principal point d’étranglement », explique-t-il. Selon lui, les techniques d’exploitation offrent désormais la possibilité aux attaquants de pénétrer plus facilement dans les systèmes, mais les identifiants volés restent essentiels dans la suite des opérations. « Ils servent simplement plus tard dans l’attaque, pour se déplacer latéralement et atteindre les données qui comptent. »

Phishing, pretexting et montée de l'ingénierie sociale

Même si l’exploitation des vulnérabilités progresse fortement, les techniques d’ingénierie sociale restent largement utilisées par les cybercriminels. Le rapport de Verizon attribue ainsi 16 % des accès initiaux au phishing, un niveau stable par rapport à l’an dernier. Le pretexting (amadouer une personne avec une histoire inventée) représente quant à lui 6 % des compromissions et devient plus fréquent dans les campagnes de ransomware et d’extorsion. Pour James John, cette évolution brouille en partie la lecture des statistiques sur les identifiants compromis. « Une partie de ce déclin apparent de l’utilisation abusive des identifiants tient davantage à la mesure qu’à la réalité, car le vol d’identifiants et le pretexting se confondent », explique-t-il à CSO. En parallèle, les attaquants ciblent de plus en plus les fournisseurs et partenaires des entreprises. Les incidents impliquant un tiers représentent désormais 48 % des incidents de sécurité analysés par le DBIR, illustrant l’exposition croissante des chaînes d’approvisionnement numériques.

Dans sa 19e édition, le rapport croise des données issues des forces de l’ordre, de cabinets d’expertise judiciaire, de CERT nationaux et des clients de Verizon. Ses conclusions rejoignent celles d’autres études récentes du secteur. Le dernier rapport « Cloud Threat Horizons » de Google Cloud montre lui aussi une montée de l’exploitation des vulnérabilités non corrigées dans les logiciels tiers. Selon le fournisseur, les vulnérabilités logicielles constituent désormais le principal vecteur d’accès initial dans 44,5 % des incidents, devant l’utilisation d’identifiants compromis.

L'IA vient déjà s'ajouter au paysage des menaces

Si le dernier rapport DBIR utilise des données de 2025, antérieures aux dernières avancées en matière de modèles de sécurité IA de pointe tels que Claude Mythos d'Anthropic, le recours accru des cybercriminels à l'IA ressort tout de même des analyses détaillées des violations de sécurité. « L'IA est exploitée par les acteurs malveillants pour accélérer l'exploitation des vulnérabilités connues, réduisant ainsi la fenêtre de défense de plusieurs mois à quelques heures seulement », a averti Verizon. La semaine dernière, le Google Threat Intelligence Group (GTIG) a publié des preuves d'un exploit « zero-day » développé par un groupe de cybercriminels avec cette technologie.

Les stratégies de correction doivent évoluer

Pour Muhammad Yahya Patel, CISO et conseiller en cybersécurité pour la région EMEA chez Huntress, fournisseur de services de sécurité managés, les RSSI doivent rapidement améliorer leur gestion des vulnérabilités et la sécurité des identités à la lumière des conclusions du rapport DBIR de Verizon. « L'exploitation des vulnérabilités, le vol d'identifiants, l'ingénierie sociale multicanal et la compromission de la supply chain logiciel sont tous déployés à grande échelle et simultanément », explique-t-il. « Les organisations les mieux placées sont celles qui ont mis en place une défense en profondeur sur l’ensemble de ces vecteurs. »

Selon lui, les entreprises doivent également revoir leur approche de la gestion des correctifs. « Davantage d’entreprises doivent faire évoluer leur programme de patch management vers une approche continue et fondée sur les risques, appuyée sur des renseignements en temps réel concernant l’exploitation des failles, plutôt que sur des cycles de correctifs planifiés qui laissent des fenêtres d’exploitation ouvertes pendant des jours, voire des semaines », poursuit-il. Même lorsque les pratiques de correction progressent, le nombre de vulnérabilités à traiter augmente plus vite que la capacité des équipes de sécurité à les absorber, souligne de son côté Raghu Nandakumara, vice-président de la stratégie industrielle chez Illumio.

Les paiements de rançons sont en baisse, mais la menace reste bien réelle

Les ransomwares restent présents dans près de la moitié des incidents analysés par Verizon (48 %, contre 44 % un an plus tôt). Pourtant, les paiements de rançons diminuent : 69 % des victimes ont refusé de payer. Pour Aparna Rayasam, DG de la société de sécurité réseau Atsign, cette évolution des taux de paiement pousse les auteurs de ransomware à évoluer vers un modèle économique différent. « Comme les victimes ne paient plus pour obtenir les clés de déchiffrement, les attaquants se sont fortement tournés vers l'exfiltration de données et l'extorsion », explique-t-il. « Les attaquants compensent la baisse des paiements individuels en menant un volume plus important d'attaques automatisées et moins coûteuses. » Le dirigeant ajoute, « l’utilisation de l’IA rend ce modèle encore plus lucratif pour les auteurs de ransomware. »

James John, de Bridewell, a présenté un point de vue contrasté, affirmant que même si les auteurs de ransomware ne sont pas moins efficaces dans leurs attaques contre les entreprises, ils ont plus de mal à obtenir des paiements de la part des victimes. « Cette baisse, reflète de réels progrès et ne signifie pas que les cybercriminels perdent de leur efficacité », explique t-il à CSO. « De plus en plus d’entreprises ont testé leurs sauvegardes et la restauration, ce qui leur permet de refuser de payer en toute légitimité. Le rapport DBIR souligne d’ailleurs que les refus sont en hausse, même dans les cas impliquant un chiffrement, et pas seulement un vol de données. » Cette baisse des taux de paiement signifie que les attaquants se montrent de plus en plus agressifs dans leurs tentatives de perturber les activités des entreprises afin de leur exercer une pression accrue pour qu’elles paient. Par exemple, la chaîne de magasins britannique Marks & Spencer a subi des semaines d’indisponibilité et des pertes se chiffrant en millions à la suite d’une attaque par ransomware. « Le moyen de pression passe de “nous avons vos données” à “nous pouvons vous maintenir hors ligne”, ce qui a beaucoup plus d’importance lorsque les temps d’arrêt affectent des services essentiels », conclut James John.