Trois heures et quarante-quatre minutes. C'est le temps qu'il a fallu, le 11 mai 2026, pour qu'une CVE PraisonAI fraîchement publiée soit scannée à l'échelle planétaire. Ce chiffre n'est pas un record isolé : c'est la nouvelle normalité. Et il rend obsolète à peu près tous les plans de patching que j'audite encore en 2026.

CYBERSÉCURITÉ GÉNÉRALE Exploitation en 4 heures : votre fenêtre de patching est 📌 Le mythe des 90 jours est mort… 🔹 Pourquoi c'est allé si vite 🔸 Ce que ça change pour la défense 🔺 Le cas particulier des framework… ayinedjimi-consultants.fr

Le mythe des 90 jours est mort. Celui des 30 jours aussi.

Pendant une décennie, le standard implicite du patching a été de 30 jours pour les vulnérabilités critiques, parfois 90 pour les autres. Beaucoup de référentiels — y compris ceux que je vois encore dans les politiques de sécurité chez mes clients — codifient toujours ces fenêtres. Elles étaient bâties sur l'hypothèse que la "weaponisation" d'une CVE, c'est-à-dire le temps entre la publication d'un advisory et l'apparition d'un exploit fonctionnel utilisable à grande échelle, prenait au moins quelques semaines.

En 2026, cette hypothèse n'a plus aucun sens. Les chiffres compilés par les équipes threat intel le confirment, et les exemples des deux dernières semaines sont presque caricaturaux : PraisonAI scannée en 3h44, Ivanti EPMM exploitée en quelques heures, Cisco Catalyst SD-WAN livrée avec un acteur étatique déjà à l'œuvre avant même la publication du correctif. Les attaquants ont industrialisé la chaîne entre advisory et exploitation. Les défenseurs, eux, restent calés sur des cycles trimestriels.

Pourquoi c'est allé si vite

Trois facteurs convergent. D'abord, l'écosystème offensif a internalisé l'IA. Là où il fallait un développeur expérimenté pour transformer un advisory technique en sonde fonctionnelle, on a aujourd'hui des chaînes automatiques où un LLM lit le diff GitHub, génère un PoC plausible et le branche sur un orchestrateur de scan. Le tooling CVE-Detector/1.0 vu par Sysdig sur l'incident PraisonAI en est l'illustration : un nom, une signature, et probablement un pipeline qui se met à jour quasi en temps réel sur les flux GitHub Advisory.

Ensuite, la surface d'attaque a explosé en visibilité. Shodan, Censys, FOFA et leurs équivalents permettent aujourd'hui d'énumérer la totalité des instances d'un produit donné en quelques requêtes. Quand l'advisory tombe, l'attaquant n'a pas besoin de chercher : sa liste de cibles est déjà constituée. Il ne lui reste qu'à pousser le payload.

Enfin, la mondialisation des outils offensifs a réduit la barrière à l'entrée. Un acteur opportuniste avec accès à un kit d'exploit privé peut désormais couvrir un parc mondial avec la même infrastructure cloud qu'un service marketing. La logistique offensive est devenue commodité.

Ce que ça change pour la défense

Le patching ne peut plus être un processus mensuel délégué à l'IT et validé par le RSSI. C'est devenu un flux continu qui doit cohabiter avec une infrastructure de mitigation immédiate. J'identifie quatre changements à opérer dans les organisations que j'accompagne, et qui sont déjà acquis chez les structures les plus matures.

1. Découpler patch et exposition

Quand un patch n'est pas applicable en moins de 24 heures, il faut pouvoir réduire l'exposition autrement : retrait temporaire de l'interface concernée d'Internet, restriction par allowlist IP, mise sous WAF avec règle dédiée à la CVE. Ce sont des actions qui doivent être préapprouvées par le métier, documentées dans un runbook et exécutables par l'équipe SOC sans validation hiérarchique en urgence. Si chaque action requiert un comité de pilotage, vous êtes déjà compromis.

2. Investir dans la visibilité asset

La plupart des organisations que j'audite ne savent pas, à la minute près, quelles versions de quel produit tournent où dans leur SI. Sans cette visibilité, le délai de réaction à une CVE est dominé par la phase de découverte : trouver les serveurs vulnérables, identifier les responsables, obtenir les accès, coordonner. Un CMDB tenu à jour et un inventaire produit fiable valent dix outils EDR exotiques pour la réactivité réelle.

3. Repenser le scoring

CVSS reste utile mais ne capture plus la vélocité réelle d'exploitation. EPSS (Exploit Prediction Scoring System) et les flux KEV de CISA donnent une mesure plus pragmatique : "qu'est-ce qui est exploité réellement maintenant" l'emporte sur "qu'est-ce qui pourrait théoriquement l'être". Les politiques de patching doivent intégrer ces signaux et accélérer agressivement sur les CVE marquées KEV.

4. Préparer l'arrêt

Pour certains produits — pensez aux équipements de bordure et aux plans de management critiques — il faut accepter que la seule réponse à une CVE critique non patchable immédiatement, c'est l'arrêt temporaire du service. Préparer l'organisation à ce que cette décision soit prenable en cellule de crise, avec un impact métier identifié à l'avance, c'est une discipline opérationnelle. Pas une discussion technique.

Le cas particulier des frameworks IA open-source

Une catégorie de cibles est particulièrement exposée à ce changement de tempo : les frameworks AI/agentic récents. Leur croissance fulgurante attire les attaquants, leur jeunesse logicielle multiplie les défauts, et leur exposition cloud-first les rend triviales à scanner. PraisonAI cette semaine, Ollama il y a quelques jours, LangChain et consorts dans les mois précédents. Le pattern est constant : produit jeune et populaire, API ouverte par défaut, clés d'API LLM dans l'environnement, factures à cinq chiffres qui apparaissent en 24 heures après compromission.

Les organisations qui déploient des POC IA doivent intégrer dans leur cycle de provisionnement les contrôles élémentaires que l'on impose depuis vingt ans aux serveurs web : pas d'exposition Internet par défaut, pas de secrets en environnement clair, monitoring de la consommation de tokens. Le réflexe "c'est juste un POC" est devenu un risque cyber et financier réel.

Mon avis d'expert

La majorité des plans de patching que je revois en audit en 2026 sont encore calés sur des fenêtres pensées pour le monde de 2019. Quand je demande aux RSSI ce qu'ils feraient si une CVE critique tombait à 17h un vendredi sur un de leurs produits critiques, j'obtiens dans 80% des cas une réponse molle : "on regarderait lundi". Lundi, c'est trois jours après votre compromission. Le tempo a changé, et les politiques doivent suivre — pas dans six mois, maintenant.

Conclusion

L'incident PraisonAI du 11 mai 2026 n'est pas une anomalie. C'est la nouvelle normalité, et chaque CVE critique des semaines à venir le confirmera. La fenêtre de patching utile est passée de quelques semaines à quelques heures, et les organisations qui n'opèrent pas leur transition payeront cash. Patcher reste indispensable. Mais patcher seul ne suffit plus : il faut savoir réduire l'exposition, isoler les actifs critiques, et accepter que certaines décisions d'arrêt préventif fassent partie de l'arsenal défensif normal.

Vos processus de patching tiennent-ils la cadence ?

Si vos politiques de patch parlent encore en jours plutôt qu'en heures, parlons-en. J'aide les équipes sécurité à industrialiser leur réponse aux CVE critiques avec un focus sur la réduction d'exposition immédiate.

Prendre contact

📎 Articles complémentaires

La fenêtre de patching de 4 heures : comment l'organisation peut répondre

Trois heures quarante-quatre minutes pour passer de la publication d'une CVE à l'exploitation active à l'échelle planétaire. Ce chiffre rend obsolète toute politique de patching mensuel héritée d'une autre époque. Mais il ne condamne pas les organisations qui ne peuvent pas patcher en 4 heures — il redéfinit ce que "réponse efficace" signifie dans ce contexte.

Pourquoi le Patch Tuesday mensuel est structurellement insuffisant

Le cycle Patch Tuesday de Microsoft a été conçu dans les années 2000, quand l'exploitation d'une CVE prenait des semaines ou des mois. Les hypothèses fondatrices de ce modèle ont toutes évolué dans le mauvais sens :

  • Délai de publication des PoC : GitHub héberge des proof-of-concept publics pour des CVE critiques dans les heures suivant leur publication. La communauté de sécurité offensive a industrialisé la production de PoC.
  • Automatisation des scans : des outils comme Nuclei permettent de créer des templates de détection d'une CVE en quelques heures et de les déployer sur des millions de cibles simultanément. Shodan et Censys fournissent les listes de cibles en temps réel.
  • Économie des accès initiaux : les brokers d'accès initiaux (Initial Access Brokers) paient entre 1 000 et 50 000 dollars pour un accès validé à un réseau d'entreprise. Ce marché crée une incitation économique directe à l'exploitation rapide des nouvelles CVE.
  • IA et LLM offensifs : les modèles de langage accélèrent la production d'exploits en réduisant la compétence technique requise. Un attaquant avec des connaissances de base peut désormais adapter un PoC public à une cible spécifique en quelques heures.

Ce que les organisations peuvent réalistically mettre en place

Patcher en 4 heures n'est pas réaliste pour la plupart des organisations. Mais réduire le délai de patching de 30 jours à 7 jours pour les CVE critiques est atteignable avec la bonne organisation. Voici les leviers :

  1. Inventaire des actifs en temps réel : vous ne pouvez pas patcher ce que vous ne connaissez pas. Un CMDB à jour, alimenté par des outils d'inventaire automatiques (Lansweeper, Nmap, Tenable.io), est le prérequis absolu. Priorité aux actifs exposés sur Internet.
  2. Segmentation par criticité : définissez des SLA de patching différenciés : 24-48h pour les actifs exposés sur Internet avec CVE CVSS ≥ 9, 7 jours pour les serveurs internes avec CVE ≥ 7, 30 jours pour les postes de travail avec CVE ≥ 7. Cette segmentation est plus réaliste et plus efficace qu'une politique uniforme.
  3. Automatisation du déploiement : WSUS/MECM pour Windows, Ansible/Puppet pour Linux, Jamf/Intune pour les postes de travail. L'automatisation réduit le délai entre la validation d'un patch et son déploiement effectif de plusieurs jours à quelques heures.
  4. Virtual Patching : pour les systèmes qui ne peuvent pas être patchés immédiatement (systèmes legacy, applications métier critiques, OT/SCADA), le virtual patching via WAF, IPS ou règles réseau permet de bloquer l'exploitation d'une vulnérabilité sans modifier le système vulnérable.
  5. Veille CVE ciblée : abonnez-vous aux alertes CERT-FR, NVD (CVE CVSS ≥ 9) et aux bulletins des fournisseurs critiques. Filtrez les CVE pertinentes pour votre SI — il n'est pas utile de traquer les 25 000 CVE publiées chaque année, mais celles qui concernent vos technologies effectivement déployées.

Mesures compensatoires quand le patch n'est pas applicable immédiatement

Certains systèmes ne peuvent pas être patchés dans des délais courts : systèmes OT avec fenêtres de maintenance annuelles, applications métier dont l'éditeur n'a pas encore publié de patch, systèmes legacy sans support actif. Dans ces cas, des mesures compensatoires doivent être documentées et mises en œuvre :

  • Isolation réseau : segmentez le système vulnérable pour limiter sa connectivité au strict nécessaire. Un serveur vulnérable accessible uniquement depuis un segment réseau dédié avec des règles de pare-feu strictes est exponentiellement moins exposé qu'un serveur accessible depuis l'ensemble du réseau d'entreprise.
  • Désactivation des fonctionnalités vulnérables : si la vulnérabilité affecte un composant ou une fonctionnalité spécifique, désactivez-le en attendant le patch. Les CVE PrintNightmare ont été contenues en désactivant le service Spooler sur les serveurs non imprimantes.
  • Enhanced monitoring : déployez une surveillance renforcée sur les systèmes vulnérables non patchés : alertes sur les comportements anormaux, surveillance des logs d'accès, augmentation de la fréquence de rotation des identifiants d'accès.
  • Threat hunting proactif : pour les CVE critiques activement exploitées, lancez une campagne de threat hunting spécifique sur les indicateurs de compromission (IoC) publiés par les éditeurs et les CERTs. Une compromission détectée 24h après l'exploitation est encore récupérable ; une compromission détectée 30 jours plus tard est souvent catastrophique.

Foire aux questions — Patching d'urgence et CVE exploitation

Comment prioriser les CVE à patcher en urgence ?

Le score CVSS seul est insuffisant comme critère de priorisation — il mesure la gravité théorique, pas le risque réel pour votre organisation. Combinez-le avec trois critères complémentaires : l'exploitabilité (un PoC public existe-t-il ? La CVE est-elle listée dans le catalogue KEV de CISA ?), l'exposition (le composant vulnérable est-il accessible depuis Internet ou depuis un réseau non fiable ?), et l'impact potentiel (quels actifs sont concernés et quelle est leur criticité business ?). Une CVE CVSS 7 avec PoC public sur un serveur web exposé est plus urgente qu'une CVE CVSS 9.8 sur un service interne sans PoC disponible.

Le catalogue KEV de CISA est-il pertinent hors États-Unis ?

Oui. Le catalogue Known Exploited Vulnerabilities (KEV) de CISA est une référence mondiale, pas uniquement américaine. Les CVE qu'il liste sont celles pour lesquelles CISA a confirmé une exploitation active dans la nature, indépendamment de la géographie des victimes. En France, le CERT-FR publie des bulletins d'alerte comparables pour les CVE exploitées activement et les avis de sécurité. Combiner les deux sources donne une vue complète des CVE nécessitant un traitement urgent.