S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

La cybersécurité est une « priorité géopolitique », pas un « problème technique » (1/3)

Bruce Schneier Facts

La cybersécurité est une « priorité géopolitique », pas un « problème technique » (1/3)

Illustration : Flock

Grâce à l’IA, les vulnérabilités sont désormais exploitées par des logiciels malveillants en moins de 24 heures, en moyenne, et de plus en plus souvent avant même d’avoir été identifiées par les acteurs de la cybersécurité. L’accélération est telle que de nombreux professionnels appellent à un sursaut « géopolitique », arguant du fait qu’il ne s’agit pas d’un « problème technique ».

L’analyse de 3 530 vulnérabilités exploitées par des acteurs malveillants depuis 2018 indique que s’il fallait auparavant attendre entre un et deux ans en moyenne après la découverte d’une vulnérabilité avant que son exploitation ne soit confirmée, depuis 2021, la confirmation arrive en moins d’un an. Le délai est passé à 5 mois depuis 2023, 56 jours depuis 2024, 23 jours en 2025, et 20 heures cette année. Dans le même temps, le nombre d’exploits utilisés à des fins malveillantes a doublé, passant de moins de 250 par an à plus ou moins 500.

En 2026, l’exploitation d’une vulnérabilité intervient en moins de 24 h en moyenne – zerodayclock.com

Vibe-codé le mois dernier par Sergej Epp, ex-CISO (RSSI, pour responsable de la sécurité des systèmes d’information) de Palo Alto Networks, zerodayclock.com relève également que le pourcentage de vulnérabilités exploitées avant d’être découvertes (dites failles ou exploits « zero day ») est passé de 20 % environ jusqu’en 2020 à plus de 50 % en 2025. Le taux s’établit d’ores et déjà à plus de 72 % en 2026.

Le pourcentage de vulnérabilités exploitées avant d’être découvertes est passé de 16 à 72 % – zerodayclock.com

Et si moins de 50 % de ces vulnérabilités étaient exploitées dans les trois mois suivant leurs découvertes jusqu’en 2021, 80 % l’étaient en moins de deux mois l’an passé, et 100 % le sont en moins de 50 jours cette année.

100 % des vulnérabilités sont désormais exploitées en moins de 50 jours – zerodayclock.com

La chronologie de ce que Sergej Epp qualifie d’ « effondrement » (« collapse » en VO) montre que le délai médian entre la découverte d’une vulnérabilité et son exploitation était de 771 jours en 2018, et que les entreprises et organisations disposaient donc de plus de deux ans pour appliquer les correctifs.

En 2023, ce délai est tombé à 6 jours, puis 4 heures en 2024. En 2025, la majorité des vulnérabilités étaient déjà exploitées avant même d’être rendues publiques. Un problème devenu « systémique » avec l’IA :

« Lorsqu’un éditeur de logiciels publie un correctif de sécurité, l’IA est désormais capable de procéder à une ingénierie inverse de ce correctif, d’identifier la vulnérabilité qu’il corrige et de générer en quelques minutes un exploit opérationnel à des fins malveillantes. Les attaques peuvent commencer à se propager à travers le monde en quelques heures. Or, les entreprises ont besoin en moyenne de 20 jours pour tester et déployer ce même correctif. »

Dit autrement, « le fait de corriger une vulnérabilité accélère désormais son exploitation. La défense engendre l’attaque. Et l’attaque survient des semaines avant que la défense ne puisse achever son déploiement ».

Le « paradoxe du patch »

Il reste 81% de l'article à découvrir.

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (12)

votre avatar
Pas de panique, Claude Mythos est là :mdr:
votre avatar
votre avatar
Merci pour la synthèse excellente.
Je pensais peu ou prou la même chose quand Mythos a été "fuité" et après toutes les déclarations grandiloquentes. C'est effectivement un problème de qualité plutôt que de vulnérabilité. Après tout une vulnérabilité informatique c'est du code ou une mauvaise organisation. Les solutions devraient être de blinder ces domaines en priorité.

Je suis heureux d'avoir pu approfondir avec l'article. Il semble inévitable de devoir reconsidérer le paradigme de l'application qui sort avec des trous. Cependant, pour cela, il va falloir former des dév (parceque les IA, ce ne sera pas suffisant) au code sécurisé et ça ça coûte de l'argent. Si on accepte cette dépense alors il va falloir vendre plus cher nos produits et donc devoir les acheter plus cher.
J'ai du mal à percevoir dans notre monde de contraction physique et économique comment ce virage va s'effectuer et c'est sans aborder l'histoire du business de la cyber qui va devoir se réinventer.
votre avatar
Ce dessin 🤣.

@Flock tu déchires !
votre avatar
On observe que le modèle de systèmes "distribués, immuables et éphémères" s'inscrit pleinement dans l'approche de la DINUM avec Securix, basée sur NixOS.
Ce choix apparait comme une décision stratégique cohérente, notamment dans un contexte marqué par des enjeux géopolitiques et de souveraineté numérique où l'Europe ne dispose pas encore des mêmes leviers que d'autres puissances. Par exemple certaines solutions comme Mythos restent inaccessible pour analyser les failles de ses logiciels critiques.
Reste à voir si cette approche inspirera d'autres initiatives similaires
votre avatar
Excellent article ! Merci pour cette synthèse !
votre avatar
Je trouve dommage que vous ne citiez pas le Cyber Resilience Act européen qui s'applique à partir de fin 2027 et qui vise justement à responsabiliser les sociétés qui mettent sur le marché ou développent des logiciels intégrés ou non dans des produit. C'est ce qui va faire que même les logiciels vont avoir un marquage CE.

Le temps de prévenance maximum fixé par la loi en cas de découverte d'une faille exploitée sur un produit sera de 24h.
votre avatar
J'y pensais également, mais je suis sûr que @Jean-MarcManach va en parler dans les articles suivants.
votre avatar
Alors non, je n'en cause pas non plus dans la 3e partie de la série, parce que le doc sur lequel j'étais parti émane de CISA US, et qu'il n'évoquait pas le CRA (que, au demeurant, je ne connais que de nom, et que je n'ai pas eu le temps de creuser).
votre avatar
Quid de la responsabilité des "éditeurs" de logiciels libres ?
votre avatar
@potn ils sont protégés car cette activité n'est pas commerciale :
This is why only free and open-source software that is made available on the market, and therefore supplied for distribution or use in the course of a commercial activity, falls in scope of the Cyber Resilience Act. Notably, the provision of products with digital elements qualifying as free and open-source software that are not monetised by their manufacturers should not be considered to be a commercial activity. Additionally, the CRA does not apply to developers who contribute with source code to free and open-source software that are not under their responsibility.
Source: https://digital-strategy.ec.europa.eu/en/policies/cra-open-source
votre avatar
Le Zero Trust c'est avant tout un concept marketing pour refourguer facilement des logiciels et des matériels à des cadres informatiques qui n'y comprennent rien mais qui aiment se la péter sur LinkedIn.

La sécurité informatique, c'est avant tout un état d'esprit paranoïde qui est peu prisé de 80% des informaticiens, dont les-dits cadres évidemment, essentiellement parce que ça met au jour leurs petites habitudes qui mettent en péril l'ensemble et leur impose plus de boulot sans qu'ils y comprennent grand-chose.