Cinquième édition -très attendue- de l’Annual Pentest Report d’Approach Cyber
Alors que les cybermenaces continuent d’évoluer et que les exigences réglementaires se durcissent, il est plus crucial que jamais de comprendre la position des organisations. C’est l’objectif de l’Annual Pentest Report 2025
Aperçu sans filtre des vulnérabilités qui façonnent le paysage actuel de la sécurité et des solutions possibles. L’Annual Pentest Report d’Approach Cyber ( * ) en est à sa cinquième édition. Premier constat : une augmentation significative et inquiétante des vulnérabilités critiques dans les applications web, les API et les systèmes d’infrastructure. Elles ont doublé depuis 2023.
Basé sur plus de 100 tests d’intrusion en conditions réelles réalisés dans 13 secteurs en 2024, le rapport fournit une évaluation précise et fondée sur des données du paysage actuel des menaces numériques.
D’importantes failles d’infrastructure
« Les faiblesses des infrastructures sont patentes, ce sont autant de voies ouvertes au compromis numérique », commente Laurent Deheyer, Head of SOC, Approach Cyber. Concrètement, ce sont les logiciels obsolètes et une mauvaise gestion des patchs persistent; une authentification faible et une segmentation réseau insuffisante facilitent l’accès. Près de 60 % des failles d’infrastructure sont jugées élevées ou critiques.
Le rapport confirme avec inquiétude que les scanners automatisés ne suffisent pas à eux seuls. Nombre de vulnérabilités les plus dangereuses découvertes ont échappé aux outils et n’ont été identifiées que par des tests manuels effectués par des experts.
Les résultats révèlent encore que près de 2 vulnérabilités identifiées sur 5 présentent des risques élevés, voire critiques. Quantité de vulnérabilités résultent de contrôles d’accès défaillants, d’une authentification mal configurée et de pratiques de gestion des correctifs défaillantes.
NIS2, DORA… impréparation !
« Les attaquants n’ont pas besoin d’exploiter des failles zero-day lorsqu’ils peuvent simplement agir en tant qu’administrateurs en raison de problèmes de contrôle d’accès », poursuit Laurent Deheyer.
Le rapport comprend des études de cas réelles où les hackers éthiques d’Approach Cyber ont compromis des actifs externes et des réseaux internes, démontrant les techniques utilisées dans les grandes cyberattaques mondiales. « Seul un client a réussi à nous empêcher d’accéder à ses données sensibles ! » Les tests illustrent les mêmes tactiques utilisées lors de campagnes de ransomwares et de violations majeures à travers le monde.
Le rapport souligne également la pression réglementaire croissante, notamment dans le cadre des directives NIS2 et DORA. « L’impréparation de nombreuses organisations est réelle; elles ne sont pas encore préparées aux risques opérationnels et de réputation que les manquements à la conformité pourraient représenter en 2025. »
Recommandations personnalisées
En revanche, il est encourageant de constater que les organisations qui investissent dans des tests et des mesures de correction réguliers constatent une diminution significative des découvertes à haut risque, jusqu’à 70 % de moins que les nouveaux clients effectuant des tests.
Pour soutenir les décideurs, les CISO et les responsables de la sécurité, Approach Cyber fournit des recommandations personnalisées sur la conception sécurisée, la gestion des vulnérabilités et l’application des privilèges, des mesures qui peuvent réduire considérablement l’exposition dans un environnement de menaces en évolution rapide.
Cette année, nous apprend encore le rapport, on connaitra une augmentation des vulnérabilités liées à l’IA, une persistance des failles liées au contrôle d’accès et à la logique métier et il y aura plus de risques liés à la chaîne d’approvisionnement et aux composants tiers. Côté positif, Approach Cyber observe une adoption croissante du red-teaming éthique basé sur la Threat Intelligence (TIBER).
(*) Le rapport et ses conclusions seront commentés lors d’un webinaire exclusif le jeudi 12 juin. Informations : 2025 Pentesting Webinar | Key Cyber Security Insights & Live Q&A
