Le time-to-exploit est le temps qui s'écoule entre le moment où une vulnérabilité devient connue et le premier abus réel par des attaquants. Selon la Zero Day Clock, ce délai est passé de près d'un an en 2021 à environ une journée et demie aujourd'hui, et l'on s'attend à ce qu'il se réduise encore vers quelques heures, notamment sous l'effet d'une IA toujours plus puissante. Les cycles de correctifs mensuels ne suffisent donc plus : la rapidité de correction, de détection et de signalement devient déterminante, et vos collaborateurs y jouent un rôle plus important que vous ne le pensez.
Découvrez comment 2LRN4 traduit cela en un programme de sensibilisation à la sécurité mesurable, aux résultats démontrables.
Voir la page du programmeQu'est-ce que le time-to-exploit et pourquoi se réduit-il ?
Le time-to-exploit est le temps qui s'écoule entre le moment où une vulnérabilité devient connue et le moment où elle est exploitée de manière démontrable pour la première fois. La Zero Day Clock suit cet indicateur sur plus de 83 000 vulnérabilités, à partir de sources telles que la liste CISA des vulnérabilités activement exploitées (Known Exploited Vulnerabilities), ExploitDB et Metasploit. Le constat est sans appel : là où les attaquants avaient encore besoin de près d'un an en 2021, ce délai est aujourd'hui tombé à environ une journée et demie.
Les créateurs de la Zero Day Clock s'attendent à ce que cette baisse se poursuive, vers quelques heures et, à terme, même quelques minutes. Le principal moteur est l'essor de modèles d'IA toujours plus puissants, qui accélèrent l'écriture de code d'exploitation fonctionnel. Cette partie relève d'une prévision et non d'un fait établi, mais la tendance est claire. Un second signal va dans le même sens : plus de 70 pour cent des vulnérabilités exploitées sont désormais des zero-days, ce qui signifie que l'abus commence souvent avant même qu'un correctif soit disponible.
- Vulnérabilité : un point faible dans un logiciel par lequel un attaquant peut s'introduire.
- Application d'un correctif : une mise à jour logicielle qui comble un tel point faible.
- Exploit : le code ou la technique avec lesquels un attaquant exploite un point faible.
- Zero-day : une vulnérabilité qui est déjà exploitée avant qu'une mise à jour n'existe.
- Correctif virtuel : un filtre supplémentaire qui bloque l'attaque sans modifier le logiciel vulnérable lui-même, ce qui vous fait gagner du temps jusqu'à l'arrivée de la véritable mise à jour.
- Segmentation du réseau : diviser votre réseau en parties, afin qu'une attaque ne puisse pas se propager librement.
- MFA : se connecter avec plus qu'un simple mot de passe, par exemple aussi un code ou une confirmation sur votre téléphone.
Ce que cela signifie pour votre organisation IT
La conséquence la plus importante est que le rythme classique de correction n'est plus tenable. Un processus qui prévoit l'application des correctifs en trente jours, voire en une semaine, est tout simplement dépassé par les faits lorsque l'abus commence dans la journée et demie. Cela exige une autre manière de travailler.
En pratique, cela signifie que vous priorisez en fonction de ce qui est réellement exploité, par exemple en vous appuyant sur la liste CISA KEV, plutôt que de traiter aveuglément tous les scores CVE. Cela signifie aussi que vous ne pouvez gérer vos vulnérabilités que si vous savez ce que vous possédez : un inventaire à jour de vos systèmes et logiciels n'est plus un luxe. Et là où vous ne pouvez pas appliquer les correctifs assez vite, vous gagnez du temps avec des solutions intermédiaires telles que le correctif virtuel, la segmentation du réseau et l'isolement temporaire des services exposés. Enfin, le centre de gravité se déplace de la prévention vers la détection et la réaction rapides, car vous ne pourrez pas devancer une partie des attaques.
Ce que cela signifie pour votre organisation dans son ensemble
Un time-to-exploit qui se réduit n'est pas un problème qui concerne uniquement le service IT. Il touche la continuité de toute votre organisation, car une attaque réussie paralyse des processus, affecte les clients et coûte de l'argent et de la confiance. Cela en fait un sujet pour la direction, et pas seulement en raison de la technique. Avec la transposition nationale de NIS2 — en France la loi de transposition NIS2, en Belgique la loi NIS2 du 26 avril 2024 — la gestion démontrable des risques relève après tout de la responsabilité des dirigeants.
De plus, le facteur humain ne disparaît pas parce que les exploits arrivent plus vite. De nombreuses attaques commencent toujours par un collaborateur qui clique sur un lien, ouvre une pièce jointe ou divulgue des identifiants, après quoi une vulnérabilité est utilisée pour aller plus loin. Des exploits plus rapides aggravent justement les conséquences de cette première erreur humaine, car il s'écoule de moins en moins de temps entre l'erreur et le dommage. Là où vous aviez autrefois encore des jours pour repérer une bévue et intervenir, un seul mauvais clic peut désormais conduire à un incident en une journée.
Sécurité en couches et pourquoi vos collaborateurs sont décisifs
Une bonne sécurité fonctionne par couches : la technique, les processus et les personnes interceptent ensemble ce qu'une seule mesure laisse passer. L'application des correctifs est l'une des couches les plus importantes, mais aucune couche n'est étanche. En cas de zero-day, aucun correctif n'existe encore, et si la correction n'aboutit pas à temps, cette couche disparaît temporairement. C'est précisément alors que la couche humaine entre en jeu.
Pourquoi les collaborateurs sont-ils alors décisifs ? Parce qu'une attaque, même lorsque la technique ne l'arrête pas, a souvent encore besoin d'une action humaine pour vraiment s'introduire : un clic sur un lien, l'ouverture d'une pièce jointe ou la divulgation d'identifiants. Et dès qu'une attaque est malgré tout en cours, un collaborateur attentif qui donne l'alerte à temps est souvent la seule couche qui gagne encore du temps. Plus le time-to-exploit est court, plus cette couche humaine pèse, car il s'écoule de moins en moins de temps entre l'intrusion et le dommage.
Ce que vous en faites dans votre programme de sensibilisation à la sécurité
Justement parce que les fenêtres temporelles se réduisent, le comportement devient plus important et non moins important. Quatre choses peuvent être intégrées directement à votre programme.
Faites du signalement rapide la norme. Plus le time-to-exploit est court, plus chaque minute a de la valeur entre le moment où un collaborateur voit quelque chose de suspect et le moment où cela arrive chez l'IT. Entraînez donc non seulement à reconnaître, mais surtout à signaler immédiatement. Apprenez aux collaborateurs ce qu'ils doivent faire ou non à ce moment-là : ne pas cliquer, ne pas transférer et ne pas nettoyer eux-mêmes l'appareil, mais transmettre aussitôt le courriel ou le signalement suspect au point de signalement. La rapidité compte alors davantage que la certitude, donc en cas de doute ils signalent plutôt trop que pas assez.
Réduisez la porte d'entrée humaine. Une grande partie des attaques commence par de l'hameçonnage ou des identifiants volés. Chaque tentative d'hameçonnage réussie que vous évitez est un exploit qui ne s'introduit même pas. La sensibilisation à l'hameçonnage, à la MFA et aux notifications de connexion suspectes diminue ainsi la probabilité que la courte fenêtre de correction joue un rôle.
Ancrez le comportement face aux correctifs dans la culture. La sensibilisation ne porte pas uniquement sur l'hameçonnage. Apprenez aux collaborateurs que les mises à jour sur leur ordinateur portable et leur téléphone ne sont pas une notification que l'on peut reporter, mais une défense immédiate, surtout maintenant que l'abus peut suivre en quelques jours ou quelques heures.
Utilisez le chiffre pour créer un sentiment d'urgence. La baisse d'un an à une journée et demie est un récit puissant à destination de la direction et de l'IT. Il rend concret pourquoi investir dans une correction rapide et dans la sensibilisation n'est pas un luxe, mais une nécessité. Présenté honnêtement, avec la source à l'appui, cela convainc mieux qu'une menace abstraite.
Un point de signalement unique que tout le monde connaît
Le signalement rapide ne réussit que si signaler est facile. Demandez-vous donc si votre organisation dispose d'un point de signalement unique que tout le monde connaît, et pas seulement le service IT. En pratique, cela fonctionne le mieux avec un seul itinéraire reconnaissable : un bouton de signalement dans l'environnement de messagerie, une adresse fixe telle que signalement@votreentreprise.fr, ou un numéro de téléphone toujours joignable. Moins un collaborateur doit réfléchir au où et au comment, plus le signalement arrive vite.
Deux conditions rendent un tel point de signalement vraiment accessible. Il doit être connu de tous, donc répétez-le lors de l'intégration, dans la communication interne et aux endroits où les gens travaillent, et pas une fois par an. Et il doit être sans recherche de coupable, car les collaborateurs ne signalent rapidement que s'ils savent qu'ils ne seront pas sanctionnés pour une erreur ou une fausse alerte. Dix faux signalements sont moins graves qu'une seule véritable attaque manquée. Dans un monde où l'abus commence dans la journée et demie, ce point de signalement connu et accessible est l'une de vos couches de défense les plus importantes.
Le fil conducteur
Le time-to-exploit se réduit plus vite que la plupart des organisations n'adaptent leurs processus. La technique seule ne suit pas ce rythme, car vous ne pourrez tout simplement pas devancer une partie des attaques. C'est pourquoi la combinaison est déterminante : corriger et détecter plus vite du côté technique, reconnaître et signaler plus vite du côté humain. Un programme de sensibilisation qui change réellement les comportements vous procure, dans cette fenêtre temporelle qui se réduit, les minutes les plus précieuses.
Sources pour aller plus loin
Vous voulez suivre les chiffres en direct ? Consultez la Zero Day Clock, qui suit le time-to-exploit sur plus de 83 000 vulnérabilités. Les données sous-jacentes proviennent notamment du catalogue CISA KEV et de la National Vulnerability Database (NVD).
Articles liés
Sécurité e-mail et ingénierie sociale · Comment fonctionnent les simulations de phishing · ROI de la sensibilisation
FAQ
Qu'est-ce que le time-to-exploit ?
Le time-to-exploit est le temps qui s'écoule entre le moment où une vulnérabilité devient connue et le premier abus démontrable par des attaquants. C'est une mesure de la rapidité avec laquelle les attaquants parviennent à utiliser une nouvelle faille. Selon la Zero Day Clock, ce délai est passé de près d'un an en 2021 à environ une journée et demie aujourd'hui.
Pourquoi le time-to-exploit se réduit-il si vite ?
Les attaquants automatisent de plus en plus la création de code d'exploitation, et l'on s'attend à ce que des modèles d'IA toujours plus puissants accélèrent encore ce phénomène. Par ailleurs, une part croissante des vulnérabilités exploitées sont des zero-days, où l'abus commence déjà avant l'existence d'un correctif.
Que faire lorsque l'application des correctifs ne peut pas être assez rapide ?
Priorisez en fonction de ce qui est réellement exploité, tenez un inventaire à jour de vos systèmes, et gagnez du temps avec des solutions intermédiaires telles que le correctif virtuel, la segmentation et l'isolement temporaire des services exposés. Déplacez en outre l'attention vers la détection et la réaction rapides.
Comment la sensibilisation à la sécurité aide-t-elle face à un time-to-exploit court ?
De nombreuses attaques commencent par une action humaine, comme cliquer sur un lien d'hameçonnage. La sensibilisation diminue la probabilité qu'une attaque s'introduise et fait en sorte que les collaborateurs signalent plus vite les signaux suspects. Dans une fenêtre temporelle qui se réduit, ce temps gagné est crucial.
Pourquoi avez-vous besoin d'un point de signalement unique et connu ?
Parce que le signalement rapide ne réussit que si signaler est facile. Un seul itinéraire reconnaissable et accessible que tout le monde connaît, par exemple un bouton de signalement ou une adresse fixe, raccourcit le temps entre le signal suspect et la réaction. Sans recherche de coupable, les gens signalent plus tôt et plus vite, et ce sont justement ces minutes qui comptent lorsque le time-to-exploit est court.