En janvier 2018, le délai moyen entre la publication d’une CVE et sa première exploitation dans la nature était de 771 jours. En 2023, ce chiffre était tombé à 63 jours. En mars 2026, CVE-2026-33017 sur Langflow a été exploitée 20 heures après sa divulgation publique. CVE-2026-20131 sur Cisco FMC a été exploitée 36 jours avant même sa divulgation. Nous avons franchi un seuil. Le concept de fenêtre de réponse — ce laps de temps entre la publication d’une vulnérabilité et le début de son exploitation — sur lequel repose toute la stratégie de patch management traditionnelle, est en train de disparaître. Pour les équipes de sécurité, cela signifie que les processus de remédiation construits autour de cycles de validation mensuels sont devenus structurellement incompatibles avec la réalité du threat landscape actuel. Ce n’est pas un problème de moyens, c’est un problème d’architecture de la réponse.

  • Identification des vecteurs d'attaque et de la surface d'exposition
  • Stratégies de détection et de réponse aux incidents
  • Recommandations de durcissement et bonnes pratiques opérationnelles
  • Impact sur la conformité réglementaire (NIS2, DORA, RGPD)

Ce qui a changé : l’industrialisation de l’exploitation

La réduction du time-to-exploit n’est pas un phénomène naturel. Elle est le résultat direct de l’industrialisation des capacités offensives. Trois facteurs se combinent aujourd’hui pour comprimer ce délai à des niveaux inédits. Premier facteur : les IA génératives permettent à des attaquants non spécialisés de développer des PoC exploitables en quelques heures à partir d’une description de vulnérabilité. Ce que cela prenait des semaines de reverse engineering peut désormais être prototype en quelques heures. Deuxième facteur : les groupes cybercriminels ont industrialisé leurs pipelines de surveillance des divulgations CVE — des bots automatiques parcourent les flux NVD, GitHub et les publications de chercheurs pour détecter et analyser les nouvelles vulnérabilités en quasi-temps-réel. Troisième facteur : les équipements de sécurité périmétrique (firewalls, VPN, load balancers) sont devenus la cible prioritaire, car leur exploitation donne accès direct aux réseaux d’entreprise. Notre analyse de CVE-2026-20131 sur Cisco FMC est un cas d’école : 36 jours d’exploitation avant la divulgation publique, sur l’équipement censé protéger le périmètre.

Le patch management traditionnel est mort

J’entends encore des RSSI qui planifient leurs cycles de patch sur des fenêtres de maintenance mensuelles. Je comprends la contrainte opérationnelle : patcher en production sans tester, c’est risquer des régressions et des interruptions de service. Mais ce raisonnement suppose qu’on dispose d’un mois pour réagir. Ce n’est plus vrai pour les CVE critiques sur les équipements exposés. Voici les faits bruts de ce mois : CVE-2026-33017 sur Langflow — 20 heures entre la divulgation et l’exploitation active. CVE-2025-32975 sur Quest KACE SMA — couvert dans notre analyse dédiée — exploité en moins de 48 heures. CVE-2026-22557 sur Ubiquiti UniFi — couvert dans notre article sur ce CVSS 10.0 — ciblé activement dès le lendemain de la divulgation. La fenêtre de remédiation sur les CVE critiques exposées est maintenant mesurée en heures. Le catalogue CISA KEV constitue la liste minimale des vulnérabilités à traiter en urgence.

Ce que ça implique concrètement pour les équipes défensives

La réponse ne peut pas être "patcher plus vite" — c’est nécessaire mais insuffisant. Trois axes concrets. D’abord, la réduction de la surface d’exposition : chaque équipement dont l’interface de management est accessible depuis Internet sans nécessité absolue est une cible potentielle. L’isolation des plans de management sur des réseaux d’administration dédiés, les bastions d’accès avec authentification forte, la suppression des accès directs non essentiels — ces mesures réduisent l’impact d’un zero-day indépendamment du patch. Ensuite, la détection comportementale en temps réel : si vous ne pouvez pas patcher en quelques heures, vous devez au minimum détecter l’exploitation en cours via des règles sur les comportements post-exploitation (exécution de processus enfants depuis des services web, connexions sortantes anormales, création de fichiers dans des répertoires système) plutôt que de simples signatures de CVE connues. Enfin, la segmentation réseau : la compromission d’un équipement périmétrique ne doit pas équivaloir à la compromission du réseau entier. Pour une mise en œuvre pratique, notre guide sur les vulnérabilités OWASP Top 10 offre un cadre applicable au renforcement de la posture défensive.

Le cas particulier des pipelines IA

CVE-2026-33017 sur Langflow n’est pas un incident isolé. Il illustre une tendance lourde : les composants d’infrastructure IA (frameworks d’agents, plateformes RAG, orchestrateurs LLM) sont devenus des cibles de premier rang, précisément parce qu’ils sont intégrés rapidement en production sans la maturité de sécurité des logiciels d’entreprise traditionnels. Notre analyse des risques de sécurité dans les pipelines IA identifiait déjà ce risque systémique. Le time-to-exploit sur ces composants sera structurellement court : les chercheurs offensifs ciblent en priorité les nouvelles surfaces d’attaque, et les pipelines IA en sont actuellement la plus dynamique.

Mon avis d’expert

Le time-to-exploit à 20 heures devrait être un signal d’alarme pour toute l’industrie. Mais je constate que la plupart des organisations continuent de gérer les CVE critiques avec les mêmes processus conçus pour un contexte où on avait des semaines pour réagir. La priorité numéro un n’est pas d’accélérer les cycles de patch — c’est de réduire la surface d’exposition et d’investir dans la détection comportementale. Un équipement de management non exposé sur Internet n’est pas affecté par CVE-2026-20131, même non patché. La meilleure défense contre une CVE critique, c’est de ne pas être exposé quand elle tombe.

Sources et références : CERT-FR · MITRE ATT&CK

Conclusion

Le time-to-exploit continuera de baisser. L’automatisation de l’analyse de vulnérabilités par les IA offensives va s’améliorer. Les attaquants les plus sophistiqués exploitent avant divulgation — c’est désormais documenté. Les stratégies défensives doivent évoluer d’une logique réactive (patch les CVE publiées) vers une logique préventive (réduire la surface exposée, détecter comportementalement, limiter l’impact par la segmentation). Ce n’est pas une question de budget, c’est une question de priorités architecturales. Et ces priorités doivent être réévaluées maintenant.

À retenir

Le time-to-exploit moyen sur les CVE critiques est passé de 771 jours en 2018 à quelques heures en 2026. Les processus de patch management mensuels sont inadaptés. La réponse : réduire la surface d’exposition, détecter comportementalement, segmenter le réseau pour limiter l’impact post-exploitation.

Comment prioriser les patchs quand le time-to-exploit est aussi court ?

Utiliser le score EPSS (Exploit Prediction Scoring System) en complément du CVSS. L’EPSS prédit la probabilité d’exploitation dans les 30 prochains jours — un CVE CVSS 10.0 avec EPSS élevé doit être traité en urgence dans les 24 heures sur les systèmes exposés. Créer deux files de traitement distinctes : la file d’urgence (CVSS >= 9.0 + exposition Internet + EPSS élevé) avec un SLA de 24-48 heures, et la file normale pour le reste. Pour les équipements impossibles à patcher rapidement, compenser par l’isolation réseau ou la mise hors ligne temporaire de l’interface exposée.

Qu’est-ce que l’EPSS et pourquoi l’utiliser en complément du CVSS ?

L’EPSS (Exploit Prediction Scoring System) est un modèle de machine learning publié par le FIRST qui prédit la probabilité qu’une vulnérabilité soit exploitée dans la nature dans les 30 prochains jours, sur une échelle de 0 à 1. Contrairement au CVSS qui mesure la sévérité théorique, l’EPSS mesure la probabilité d’exploitation réelle. Un CVE CVSS 10.0 avec EPSS 0.01 est moins urgent qu’un CVE CVSS 7.0 avec EPSS 0.85. La combinaison des deux indices permet de concentrer les efforts de patch sur les vulnérabilités réellement exploitées.

Quelles CVE 2026 ont eu le time-to-exploit le plus court ?

En 2026, les records de vitesse d’exploitation incluent : CVE-2026-33017 (Langflow) exploitée 20 heures après disclosure, CVE-2026-20131 (Cisco FMC) exploitée 36 jours avant disclosure (zero-day), CVE-2025-32975 (Quest KACE SMA) en moins de 48 heures. Le pattern commun : ces vulnérabilités touchent des équipements ou logiciels très répandus, sont des RCE non authentifiées, et étaient donc des cibles de choix pour les groupes offensifs équipés d’outils d’analyse automatisée.

Article suivant recommandé

Pipelines IA en production : vos agents LLM sont des cibles →

Les outils d'orchestration IA (Langflow, Flowise, n8n) sont déployés en production avec la sécurité d'une application we

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.

Les techniques décrites dans cet article sont présentées à des fins éducatives et défensives uniquement. Toute utilisation non autorisée sur des systèmes tiers constitue une infraction pénale.

Ayi NEDJIMI

Renforcez votre posture de sécurité

Audit, pentest, formation, conseil — une approche sur-mesure adaptée à votre contexte.

📎 Articles complémentaires

Zero-day exploitation en 2026 : le marché et l'économie de l'exploitation

Le passage de 771 jours en 2018 à des exploitations en heures en 2026 n'est pas seulement une évolution technique. C'est le reflet d'un marché de l'exploitation qui a maturé, professionnalisé ses acteurs et réduit ses coûts de production de façon spectaculaire. Comprendre cette économie est indispensable pour calibrer les investissements défensifs.

Le marché des zero-days : structure et acteurs en 2026

Le marché des zero-days s'est structuré en trois segments distincts avec des acteurs, des prix et des motivations différentes :

  • Le marché gris (bug bounty et programmes de divulgation responsable) : les programmes de bug bounty des grandes entreprises tech (Google VRP, Microsoft Bug Bounty, Apple Security Research) paient entre 5 000 et 1 million de dollars pour des zero-days selon la criticité. Ces programmes ont considérablement amélioré les incitations à la divulgation responsable, mais les montants restent inférieurs au marché noir pour les vulnérabilités les plus critiques.
  • Le marché blanc légal (courtiers d'exploits gouvernementaux) : des entreprises comme Zerodium, NSO Group ou Candiru achètent des zero-days pour des prix allant jusqu'à 2,5 millions de dollars (iOS zero-click, prix affiché Zerodium 2024) et les revendent à des gouvernements. Ce marché est légal dans la plupart des juridictions mais éthiquement contesté.
  • Le marché noir criminel : les groupes ransomware, les Initial Access Brokers et les acteurs de la cybercriminalité échangent des zero-days et des exploits contre des paiements en cryptomonnaies sur des forums underground. Les prix sont généralement inférieurs au marché blanc (10 000 à 200 000 dollars selon la criticité) mais les transactions ne nécessitent pas d'identification.

Pourquoi le time-to-exploit s'est effondré

La réduction spectaculaire du délai entre la publication d'une CVE et son exploitation active résulte de plusieurs évolutions convergentes sur la période 2020-2026 :

  • Publication automatique des PoC : des bots surveillent en permanence les nouvelles entrées NVD et les bulletins de sécurité des éditeurs. Quand une CVE est publiée avec suffisamment de détails techniques, des développeurs commencent immédiatement à produire des PoC. Nuclei et ses templates communautaires permettent de passer d'une description de CVE à un scanner fonctionnel en quelques heures.
  • IA assistée pour la production d'exploits : les LLM réduisent la compétence technique requise pour adapter un PoC à un exploit fonctionnel. Un attaquant qui comprend les bases de la programmation peut utiliser des LLM pour combler les lacunes techniques, réduisant le délai de production d'exploit de jours à heures.
  • Marchés d'accès initiaux : les Initial Access Brokers ont créé un marché liquide pour les accès initiaux. Cela crée une demande immédiate pour les nouveaux exploits dès leur publication.
  • Infrastructure d'exploitation as-a-service : des plateformes comme C2-as-a-service (Cobalt Strike as a service, Sliver as a service) réduisent l'infrastructure nécessaire à l'exploitation. Un attaquant peut louer une infrastructure C2 complète et se concentrer sur l'exploitation sans gérer la logistique post-compromission.

Les catégories de vulnérabilités exploitées en moins de 24h en 2026

Toutes les CVE ne sont pas exploitées aussi rapidement. L'analyse des incidents de 2025-2026 révèle que les exploitations ultra-rapides (moins de 24h) se concentrent sur des catégories spécifiques :

  • RCE non authentifié sur des services exposés Internet : Langflow (20h), cPanel, serveurs Exchange. Ces vulnérabilités permettent une exploitation directe sans credentials et sur des cibles accessibles depuis Internet.
  • Authentication bypass sur des portails d'entreprise : VPN, passerelles web, portails B2B. L'accès initial qu'ils fournissent est immédiatement monétisable via les IAB.
  • Escalade de privilèges dans les environnements cloud : des CVE sur les plateformes de gestion cloud (AWS, Azure, GCP) ou les outils d'orchestration (Kubernetes, Terraform) permettent une escalade latérale vers des ressources cloud critiques.
  • Vulnérabilités dans les solutions de sauvegarde et de management : Veeam, Veritas, Kaseya, SolarWinds — ces outils ont accès à des données critiques et sont des cibles prioritaires pour les opérateurs ransomware.

Foire aux questions — Time-to-exploit et zero-days

Comment prioriser la réponse face à un zero-day publié sans patch ?

Quand un zero-day est publié sans patch (full disclosure ou à l'expiration d'un délai de responsible disclosure), activez votre processus d'urgence : identifiez en moins de 2 heures tous les systèmes affectés dans votre SI, évaluez leur exposition réseau (Internet vs interne), et implémentez des mesures compensatoires immédiates (isolation réseau, désactivation du service vulnérable si possible, règles WAF). Contactez l'éditeur pour un ETA sur le patch. Souscrivez aux alertes CERT-FR et au catalogue KEV CISA pour les zero-days activement exploités — ces sources publient des IoC et des recommandations de mitigation quand elles sont disponibles.

Les assurances cyber couvrent-elles les pertes liées aux zero-days ?

La couverture dépend des termes spécifiques de chaque police. La plupart des assurances cyber couvrent les pertes résultant d'une compromission, y compris via des zero-days, à condition que l'organisation puisse démontrer qu'elle avait mis en œuvre des mesures de sécurité raisonnables. Certaines polices excluent les "known vulnerabilities" (CVE publiées) si un patch était disponible et n'a pas été appliqué dans un délai raisonnable. La définition de "délai raisonnable" est souvent floue et peut être sujette à litige après un incident. Consultez votre assureur pour clarifier ces termes avant un incident.