Le rapport M-Trends 2026 de Mandiant/Google Cloud, fondé sur plus de 500 000 heures d’investigations forensiques menées en 2025, vient de bousculer une certitude fondamentale de la cybersécurité : le délai moyen d’exploitation d’une vulnérabilité est désormais négatif, à –7 jours. Autrement dit, les attaquants frappent en moyenne une semaine avant que le correctif n’existe. Pour les DSI et dirigeants de PME/ETI, ce constat impose de repenser en profondeur la stratégie de gestion des risques cyber.
La fin du mantra « patcher vite, patcher fort »
Depuis des années, la règle d’or de la cybersécurité était simple : déployez les correctifs rapidement après leur publication et vous limiterez votre fenêtre d’exposition. Ce modèle est désormais caduc. Selon M-Trends 2026, 28,3 % des vulnérabilités répertoriées (CVE) sont exploitées dans les 24 heures suivant leur divulgation publique, et les exploits restent le premier vecteur d’intrusion pour la sixième année consécutive.
Le mécanisme est implacable : lorsqu’un éditeur publie un correctif, les groupes attaquants les plus organisés procèdent à une analyse différentielle du code modifié pour reconstituer la faille sous-jacente, puis développent et déploient leur exploit — parfois en quelques heures seulement. Le patch devient, paradoxalement, le mode d’emploi de l’attaque.
L’IA au service de l’accélération des attaques
La vitesse ne se limite plus aux correctifs. Le rapport Mandiant révèle que le temps de cession d’un accès initial entre groupes criminels est passé de plus de 8 heures en 2022 à seulement 22 secondes en 2025. La spécialisation et l’automatisation de la filière criminelle sont pleinement à l’œuvre, amplifiées par l’intelligence artificielle générative.
- Des outils IA permettent aujourd’hui d’exploiter automatiquement 87 % des vulnérabilités connues pour un coût estimé à environ 8 dollars par exploit.
- Le phishing vocal (vishing) a progressé de 442 % entre le premier et le second semestre 2024 ; les deepfakes audio et vidéo en sont le principal moteur.
- Les ransomwares évoluent vers le « recovery denial » : les attaquants détruisent désormais les sauvegardes pour rendre toute récupération impossible sans payer.
Pour les PME/ETI sans équipe de sécurité dédiée, cette automatisation signe une rupture nette : les attaques sophistiquées, hier réservées aux grandes entreprises, sont désormais à la portée de n’importe quel groupe criminel organisé.
Quatre priorités concrètes pour votre organisation
La priorisation des correctifs reste indispensable, mais elle ne peut plus être la seule ligne de défense. Face à un délai d’exploitation négatif, quatre leviers s’imposent :
- Réduire la surface d’exposition : cartographier les actifs exposés sur Internet, segmenter les réseaux et appliquer le principe du moindre privilège sur les comptes à hauts droits.
- Passer à la détection comportementale : les outils EDR/XDR capables d’identifier des activités anormales en temps réel deviennent incontournables lorsque le blocage en amont n’est plus suffisant.
- Tester la résilience des sauvegardes : vérifier régulièrement que les backups sont isolés et effectivement restaurables — le « recovery denial » cible précisément cet angle mort.
- Former aux nouveaux vecteurs d’ingénierie sociale : vishing et deepfakes ne s’arrêtent pas aux grandes structures ; intégrez-les à vos plans de sensibilisation.
Le regard Kaiman
Un délai d’exploitation négatif n’est pas qu’un chiffre technique : c’est un signal stratégique fort. Attendre d’avoir le budget ou les ressources pour « s’occuper de la sécurité un jour » n’est plus une option tenable. Chez Kaiman, nous accompagnons les PME/ETI dans l’évaluation de leur exposition réelle et dans la mise en œuvre de mesures proportionnées à leurs moyens — car une cybersécurité efficace n’est pas affaire de budget illimité, mais de priorisation intelligente et de vigilance opérationnelle continue.
Source : cloud.google.com