La surface d’attaque des entreprises évolue désormais plus vite que leur système de remédiation
Le « patch faster » n’est plus. Le rapport Verizon DBIR 2026 (Data Breach Investigations Report) doit être interprété moins comme un résumé annuel des violations de données que comme un avertissement concernant l’échec du modèle opérationnel.
Pendant des années, les responsables de la sécurité ont considéré l’utilisation abusive d’identifiants comme la principale porte d’entrée des violations et la gestion des vulnérabilités comme une simple mesure de sécurité. Ce modèle s’est inversé.
Dans le DBIR 2026, l’exploitation des vulnérabilités est désormais le vecteur d’accès initial le plus fréquent lors des violations de données (31 %), tandis que l’utilisation abusive d’identifiants est tombée à 13 %. Les ransomwares restent présents dans 48 % des violations.
L’implication de tiers a atteint 48 %, contre 30 % l’an dernier. L’élément humain reste présent dans 62 % des violations de données.
Le message principal pour les CISO est clair : la surface d’attaque des entreprises évolue désormais plus vite que leur système de remédiation. La solution ne réside pas dans un allongement de la file d’attente des correctifs, mais dans une transition de la gestion des vulnérabilités à la gestion de l’exposition.
Le tournant stratégique
31 % des violations débutent désormais par l’exploitation d’une vulnérabilité. Ce pourcentage traduit moins une nouveauté dans les techniques d’attaque qu’une rupture de rythme : les outils d’IA permettent aux attaquants d’industrialiser la transformation de CVE publics en exploits opérationnels, avant même que les équipes IT aient pu déployer les correctifs…
Deux autres dynamiques méritent l’attention des directions sécurité. D’abord, la progression des attaques par ingénierie sociale sur mobile (faux SMS, appels vocaux frauduleux) qui affichent un taux de réussite 40 % supérieur au phishing e-mail classique, à mesure que les utilisateurs développent une résistance à ce dernier.
Ensuite, la montée en puissance du Shadow AI en entreprise : l’usage régulier d’outils d’IA non approuvés a bondi de 15 % à 45 % en un an, plaçant ce phénomène au troisième rang des activités non malveillantes à l’origine de fuites de données.
Modèle inversé
Pendant des années, les responsables de la sécurité ont considéré l’utilisation abusive d’identifiants comme la principale porte d’entrée des violations et la gestion des vulnérabilités comme une simple mesure de sécurité. Ce modèle s’est inversé. Dans le DBIR 2026, l’exploitation des vulnérabilités est désormais le vecteur d’accès initial le plus fréquent lors des violations de données (31 %), tandis que l’utilisation abusive d’identifiants est tombée à 13 %. Les ransomwares restent présents dans 48 % des violations. L’implication de tiers a atteint 48 %, contre 30 % l’an dernier. L’élément humain reste présent dans 62 % des violations de données.
Le message principal pour les CISO est clair : la surface d’attaque des entreprises évolue désormais plus vite que leur système de remédiation.
La solution ne réside pas dans un allongement de la file d’attente des correctifs, mais dans une transition de la gestion des vulnérabilités à la gestion de l’exposition, estime Verizon.
Tournant stratégique
Les données du DBIR mettent en évidence cinq changements qui devraient façonner la planification de la sécurité à l’horizon 2026 :
- l’exploitation des vulnérabilités est désormais le principal mode d’accès initial ;
- les capacités de remédiation atteignent leurs limites ;
- les environnements tiers font partie intégrante de la surface d’attaque de l’entreprise, qu’ils soient gérés ou non par la sécurité ;
- l’IA raccourcit les flux de travail des attaquants, mais ne remplace pas la chaîne d’attaque ;
- l’ingénierie sociale s’étend désormais au-delà du courrier électronique pour inclure les communications mobiles, vocales et le prétexte synchrone.
Bref, il ne s’agit pas d’une « nouvelle menace », mais d’une question de vitesse, d’échelle et de dépendance. Fin du « patch faster ».
