IRCNF

Verizon 2026 DBIR : pour la première fois, les logiciels non patchés supplantent les mots de passe volés comme premier vecteur de brèche

Verizon
Partager:
Verizon 2026 DBIR : pour la première fois, les logiciels non patchés supplantent les mots de passe volés comme premier vecteur de brèche

Verizon a publié cette semaine son rapport 2026 Data Breach Investigations Report, et le constat principal devrait faire réfléchir toutes les équipes de sécurité : pour la première fois en 19 ans d'existence du rapport, l'exploitation de vulnérabilités a dépassé les identifiants volés comme vecteur d'accès initial principal pour les brèches confirmées. Les logiciels non patchés sont désormais la porte d'entrée privilégiée des attaquants. Et l'écart entre la capacité des attaquants à exploiter les vulnérabilités connues et celle des organisations à les corriger ne cesse de se creuser.

Les chiffres qui illustrent le basculement

L'exploitation de vulnérabilités a représenté 31 % de toutes les brèches confirmées analysées dans le DBIR 2026, contre 20 % l'année précédente. Les identifiants volés, qui occupaient la première place depuis plus d'une décennie, passent désormais derrière. Ce n'est pas un simple bruit statistique : un bond de 11 points de pourcentage en un an dans un jeu de données de cette ampleur traduit un changement structurel profond dans le comportement des attaquants.

Les données sur les corrections (patching) expliquent clairement la cause. Le délai médian pour corriger les vulnérabilités est passé de 32 à 43 jours — les organisations mettent plus de temps, pas moins, à traiter les failles connues. Plus alarmant encore : seules 26 % des vulnérabilités critiques du catalogue Known Exploited Vulnerabilities (KEV) de la CISA ont été entièrement corrigées en 2025, contre 38 % l'année précédente. Le catalogue KEV a précisément pour mission de signaler aux organisations quelles vulnérabilités sont activement exploitées. Un taux de non-correction de 74 % pour ce catalogue n'est pas un problème de patch management. C'est une crise.

L'IA compresse la fenêtre d'exploitation

Le DBIR documente le rôle de l'IA dans ce basculement de manière précise. Les acteurs malveillants utilisent l'IA pour accélérer l'exploitation des vulnérabilités connues, réduisant la fenêtre entre la divulgation publique et l'exploitation active de plusieurs mois à quelques heures. Des outils pilotés par IA identifient des vulnérabilités dans les logiciels de production que les chercheurs humains ne détectaient pas auparavant. L'acteur malveillant médian dans le jeu de données du DBIR a utilisé l'IA pour 15 techniques d'attaque distinctes ; certains l'ont utilisée pour 40 à 50 techniques.

Cette compression du calendrier d'exploitation rend les délais de correction encore plus critiques. Lorsque la fenêtre entre divulgation et exploitation active se comptait en semaines ou en mois, un délai médian de 43 jours était douloureux mais potentiellement tenable pour de nombreuses organisations. Lorsque cette fenêtre se mesure en heures, 43 jours signifie une exposition quasi certaine pour toute vulnérabilité connue et non corrigée dans une infrastructure exposée à Internet.

La shadow AI a triplé

L'une des découvertes les plus préoccupantes du DBIR 2026 n'a rien à voir avec des attaquants externes. L'utilisation par les employés de « shadow AI » non approuvée sur les devices d'entreprise a triplé en un an, passant de 15 % à 45 % des salariés. Le type de données le plus souvent soumis à ces plateformes IA non autorisées ? Le code source — saisi via des comptes personnels, sans gouvernance d'entreprise, sans contrôles de classification des données, ni journalisation.

Le DBIR est sans ambages sur l'implication : du point de vue de l'exposition des données, le fait qu'un employé soumette du code source propriétaire à un compte personnel ChatGPT ou Gemini via une extension de navigateur non autorisée produit un effet fonctionnellement identique à une exfiltration de données. Le code a quitté le contrôle de l'organisation. Que l'intention soit malveillante ou non importe peu pour l'exposition. Plus de 15 % des utilisateurs en entreprise ont des extensions de navigateur IA non autorisées installées — des plugins conçus pour capturer le contexte de navigation pour les modèles, y compris les systèmes internes et les données non publiques.

Le risque tiers est devenu un risque de brèche

Le DBIR documente également une augmentation significative des brèches provenant de fournisseurs tiers et de compromissions de supply chain. Les attaquants ont compris que cibler des entreprises directes bien protégées est souvent plus difficile que de cibler les fournisseurs, prestataires et éditeurs de logiciels auxquels ces entreprises font confiance. Les données 2026 montrent que cette stratégie porte ses fruits à un rythme croissant, les brèches initiées par un tiers devenant une part statistiquement significative de l'ensemble des brèches confirmées, et non plus un sujet de niche.

Le volet défense

L'évaluation du DBIR concernant l'IA dans la défense est plus mesurée. Si les outils d'IA sont déployés pour la détection des menaces, le triage automatisé et le scan de vulnérabilités, le rapport note que « l'IA modifie l'économie de l'attaque, mais on ne peut pas encore en dire autant de la défense ». L'automatisation des attaques est en avance sur celle de la défense. Les outils qui aident les défenseurs à traiter les alerts plus rapidement aident aussi les attaquants à générer plus d'alerts. L'effet net à ce stade d'adoption semble favoriser l'offensive.

Ce que les équipes sécurité doivent retenir

Le passage du vol d'identifiants à l'exploitation de vulnérabilités comme vecteur principal a des implications directes sur les priorités défensives. Les organisations qui ont fortement investi dans la gestion des identités et des accès — authentification multi-facteurs, politique de mots de passe, surveillance des identifiants — n'ont pas perdu leur temps, mais elles ont peut-être sous-investi dans le vulnerability management par rapport à l'environnement de menace actuel. Réduire le délai médian de correction, améliorer la couverture des correctifs du catalogue KEV de la CISA et mettre en place des contrôles sur l'utilisation des outils d'IA par les employés sont les trois domaines où les données du DBIR 2026 pointent le plus clairement vers des lacunes exploitables.

Le constat sur la shadow AI mérite une urgence particulière. Le triplement de l'utilisation non autorisée de l'IA en un an n'est pas une tendance qui se résout par des déclarations de politique. Les organisations qui n'ont pas encore mis en place de contrôles techniques — allowlisting d'extensions de navigateur, règles de Data Loss Prevention pour les domaines de plateformes IA, surveillance de l'utilisation de l'IA en entreprise — subissent probablement déjà l'exposition de données décrite par le DBIR, qu'elles le sachent ou non.

cybersecurityVerizon DBIRdata breachesvulnerability managementshadow AIunpatched softwareCISA KEV

Originally reported by Verizon. Read the original article for additional details.

View original source
Partager: