Verizon DBIR 2026 : failles exploitées, nouveau vecteur N°1

L'exploitation des vulnérabilités dépasse les credentials volés pour la première fois

Publié chaque année depuis 2008 et fondé sur l'analyse de dizaines de milliers d'incidents, le Verizon Data Breach Investigations Report (DBIR) est l'une des références les plus citées de l'industrie de la cybersécurité. L'édition 2026, construite à partir de plus de 22 000 incidents de sécurité et 12 000 violations confirmées de données, marque un tournant historique : pour la première fois, l'exploitation directe de vulnérabilités logicielles dépasse le vol ou la compromission d'identifiants comme principal vecteur d'entrée dans les systèmes ciblés.

Selon le rapport, 31 % des brèches étudiées impliquent l'exploitation directe d'une faille — dans une application web, un équipement réseau, un système d'exploitation ou un logiciel tiers. L'exploitation de credentials compromis, qui dominait les classements précédents, représente désormais 27 % des cas. Ce déplacement n'est pas anodin : il indique que les attaquants ont trouvé dans les vulnérabilités non corrigées un chemin d'entrée plus fiable et plus scalable que les campagnes de credential stuffing ou de phishing, qui nécessitent davantage d'interactions humaines ou de tentatives avant d'aboutir.

Le chiffre le plus préoccupant du DBIR 2026 concerne la dégradation du délai médian de correction des vulnérabilités. En 2024, ce délai était de 32 jours ; en 2025, il est passé à 43 jours — soit une augmentation de 34 %. Dans le même temps, l'exploitation des failles critiques par les attaquants est devenue plus rapide que jamais. Les acteurs malveillants, en particulier les groupes ransomware et les APT étatiques, ont réduit leur délai d'exploitation des CVE publiés de plusieurs mois à quelques heures dans certains cas documentés. Le différentiel entre la vitesse de l'attaque et la lenteur de la correction s'est donc creusé de façon alarmante.

Ce constat est renforcé par un autre indicateur du rapport : seulement 26 % des vulnérabilités figurant dans le catalogue CISA Known Exploited Vulnerabilities (KEV) ont été intégralement corrigées par les organisations étudiées en 2025, contre 38 % l'année précédente. Le catalogue KEV recense uniquement les failles activement exploitées en conditions réelles — les plus critiques, celles pour lesquelles la menace est documentée et immédiate. Moins d'un tiers d'entre elles font l'objet d'un patch effectif dans les délais attendus. Ce déficit de remédiation explique pourquoi les attaquants peuvent s'appuyer sur des failles connues et patchées depuis des mois pour compromettre des systèmes supposément maintenus à jour.

L'intelligence artificielle fait son entrée dans les statistiques du DBIR comme accélérateur de menaces. Selon Verizon, l'IA générative permet désormais aux attaquants de concevoir et de lancer des campagnes de phishing personnalisées, de générer des variantes de malwares polymorphiques et d'automatiser des étapes de reconnaissance qui prenaient auparavant plusieurs semaines. Le taux de succès du social engineering sur mobile a progressé de 40 % sur un an, en partie attribué à la qualité améliorée des leurres générés par des LLM capables d'imiter le style d'écriture d'un collègue ou d'un fournisseur connu. En parallèle, l'adoption incontrôlée d'outils d'IA par les employés — le shadow AI — a triplé pour atteindre 45 % des organisations étudiées, augmentant significativement le risque de fuite de données confidentielles vers des services tiers non approuvés.

La question de la chaîne d'approvisionnement ressort comme l'une des tendances les plus marquantes de cette édition. Les brèches impliquant un tiers — prestataire IT, sous-traitant, éditeur de logiciels ou fournisseur SaaS — ont progressé de 60 % et représentent maintenant 48 % de l'ensemble des incidents analysés. Ce chiffre illustre la difficulté croissante des organisations à maîtriser leur risque dans un écosystème numérique de plus en plus interconnecté. Des incidents emblématiques comme les campagnes exploitant des plateformes SaaS partagées par des dizaines d'entreprises ont concrètement illustré ce phénomène au cours des dix-huit derniers mois.

L'élément humain reste omniprésent : 62 % des violations de données impliquent une composante humaine, qu'il s'agisse d'erreurs, d'abus de privilèges ou de victimes de social engineering. Ce chiffre, stable par rapport aux éditions précédentes, souligne que les investissements technologiques ne peuvent se substituer à une culture de sécurité robuste et à des programmes de formation continus et adaptés aux menaces actuelles. La combinaison IA et phishing ciblé constitue aujourd'hui le scénario d'entrée le plus difficile à contrer sur le seul plan technique.

Du côté du ransomware, le paiement médian de rançon a légèrement diminué, passant à 139 875 dollars contre 150 000 dollars l'année précédente. Plus significativement, 69 % des organisations victimes de ransomware ont refusé de payer, une tendance à la hausse qui reflète à la fois une meilleure préparation aux incidents via les sauvegardes et les plans de réponse, et une prise de conscience croissante que le paiement ne garantit ni la récupération des données ni la non-publication des informations volées sur des sites de leak. Cette évolution modifie progressivement l'économie des groupes ransomware, qui doivent compenser la baisse des paiements par une augmentation du volume d'attaques.

Pourquoi ce rapport doit changer les priorités de sécurité des organisations

Le DBIR est davantage qu'un rapport de tendances : il constitue un baromètre que les RSSI et les équipes de sécurité utilisent pour calibrer leurs priorités budgétaires et opérationnelles. Le message de l'édition 2026 est clair : la gestion de la dette de patches est devenue la priorité absolue, avant même les investissements dans de nouveaux outils de détection ou de réponse. Une organisation incapable de corriger ses vulnérabilités critiques dans des délais raisonnables s'expose à un risque structurellement croissant face à des attaquants qui, eux, exploitent ces failles dans des délais toujours plus courts.

La montée en puissance de l'exploitation de vulnérabilités comme premier vecteur a des implications directes sur les architectures de défense. Les programmes de gestion des vulnérabilités basés sur le score CVSS seul sont insuffisants : un score CVSS élevé ne garantit pas l'exploitation active, et inversement, des failles de score modéré peuvent être massivement exploitées si elles ciblent des composants largement déployés. L'approche recommandée consiste à combiner le CVSS avec des indicateurs d'exploitation réelle — l'EPSS (Exploit Prediction Scoring System) et l'appartenance au catalogue CISA KEV — pour prioriser les efforts de remédiation sur les failles représentant un risque réel et immédiat.

La progression du risque tiers de 60 % appelle à une refonte de la gestion des fournisseurs. Au-delà des questionnaires de conformité annuels, les organisations doivent mettre en place des mécanismes de surveillance continue de la posture de sécurité de leurs prestataires critiques, des clauses contractuelles imposant des délais de notification des incidents, et une segmentation réseau limitant l'impact d'une compromission via un tiers. La directive NIS2, dont la transposition en droit français renforce précisément ces exigences, impose aux entités essentielles et importantes une gestion formalisée et documentée du risque fournisseur.

La question du shadow AI mérite une attention particulière. Son triplement (de 15 % à 45 % en un an) indique que la réponse ne peut pas être purement répressive : interdire l'usage de ChatGPT ou de GitHub Copilot sans alternative n'est plus réaliste dans un environnement de travail où ces outils apportent une productivité tangible. La stratégie la plus efficace consiste à fournir des alternatives approuvées, intégrées dans le périmètre de sécurité de l'entreprise avec des guardrails techniques, tout en définissant des politiques claires et compréhensibles sur les données qui peuvent ou ne peuvent pas être traitées par des outils d'IA externes.

Ce qu'il faut retenir

• L'exploitation de vulnérabilités est désormais le premier vecteur de brèche (31 %), avec un délai médian de patch dégradé à 43 jours : la fenêtre d'exposition s'élargit dangereusement.
• Les brèches via tiers ont bondi de 60 % (48 % du total) : la gestion du risque fournisseur est une exigence opérationnelle et réglementaire, non une option.
• Le shadow AI a triplé à 45 % : une politique IA claire avec des alternatives approuvées est plus efficace que l'interdiction, systématiquement contournée.