DBIR 2026 : les failles devancent le vol d'identifiants

L'exploitation de failles devient le premier vecteur d'intrusion

Verizon a publié le 19 mai 2026 la 19e édition de son Data Breach Investigations Report (DBIR), la référence mondiale annuelle en matière d'analyse des violations de données. Basé sur des données collectées entre le 1er novembre 2024 et le 31 octobre 2025, portant sur plus de 22 000 incidents analysés dont plus de 12 000 brèches confirmées dans 139 pays et 67 secteurs industriels, ce rapport marque un tournant historique : pour la première fois depuis la création du rapport en 2008, l'exploitation de vulnérabilités logicielles s'impose comme le premier vecteur d'accès initial aux brèches de sécurité, détrônant le vol ou l'abus d'identifiants qui occupait cette première position depuis de nombreuses années.

Les chiffres sont sans ambiguïté : selon le DBIR 2026, l'exploitation de vulnérabilités est impliquée dans 31 % de l'ensemble des brèches confirmées, et dans 36 % des incidents d'accès initial. Ces statistiques marquent une progression spectaculaire, reflétant deux dynamiques convergentes : d'un côté, l'accélération significative de la vitesse d'exploitation des failles nouvellement publiées par les attaquants ; de l'autre, le ralentissement paradoxal des cycles de remédiation dans les organisations. Le délai médian entre la publication d'une vulnérabilité et sa correction complète en production a atteint 43 jours en 2025, en progression de plus d'un tiers par rapport aux 32 jours observés lors de la période précédente. Cette fenêtre de 43 jours, dans un contexte où les exploits peuvent être disponibles en quelques heures grâce aux outils d'IA, représente une exposition structurelle difficile à compenser par les seules approches défensives réactives.

Le phénomène le plus frappant de cette édition concerne l'explosion des attaques ciblant les équipements en bordure de réseau. Les pare-feux d'entreprise, solutions VPN, passerelles de messagerie, équilibreurs de charge et équipements d'accès distant représentent désormais 22 % des brèches liées à l'exploitation de vulnérabilités, contre seulement 3 % lors de la période précédente — une multiplication par sept en l'espace d'une seule année. Cette progression s'explique par la convergence de plusieurs facteurs structurels : ces équipements sont exposés directement et en permanence sur Internet, exécutent souvent des systèmes propriétaires aux cycles de mise à jour contraints (les maintenances nécessitant des interruptions de service), hébergent des credentials à haute valeur, et leur compromission ouvre un accès direct aux réseaux internes sans déclencher les alertes habituellement associées aux intrusions via des endpoints utilisateurs.

L'intelligence artificielle s'impose dans ce rapport comme un facteur aggravant de première importance côté offensif. Le DBIR 2026 constate que les acteurs de la menace utilisent des outils d'IA générative pour accélérer dramatiquement le développement d'exploits pour les vulnérabilités fraîchement publiées, compressant la fenêtre d'exploitation de plusieurs semaines à quelques heures. Cette accélération réduit à néant l'efficacité pratique du patching par priorité de criticité classique : une vulnérabilité jugée de priorité modérée peut devenir activement exploitée avant même que la décision de la traiter soit prise, et bien avant que le correctif soit testé et déployé en production. Le rapport recommande expressément de cibler en priorité les vulnérabilités référencées dans le catalogue CISA KEV (Known Exploited Vulnerabilities), dont le volume a lui-même progressé significativement.

Le phénomène dit du shadow AI — l'usage non contrôlé d'outils d'IA générative par les collaborateurs en dehors des processus de validation de la DSI — est identifié pour la première fois dans le DBIR comme un vecteur de risque significatif. Les données analysées font état d'une progression marquée des incidents liés à l'exfiltration non intentionnelle de données sensibles via des services d'IA publics, ainsi que de cas d'introduction de code vulnérable dans des applications de production à partir de suggestions de systèmes d'IA générative non validées. Ce risque, encore difficile à quantifier précisément avec les méthodologies traditionnelles, est appelé à prendre une importance croissante dans les prochaines éditions.

La progression des compromissions impliquant des tiers constitue l'autre grande révélation de cette édition. Les brèches faisant intervenir un prestataire, sous-traitant, fournisseur de logiciels ou partenaire commercial représentent désormais 48 % de l'ensemble des incidents, soit une progression de 60 % par rapport à la période précédente. Cette statistique reflète l'impact durable des grandes affaires de supply chain de 2024 et 2025, et signale un changement de paradigme : les acteurs de la menace ciblent délibérément les tiers comme vecteurs d'accès vers des organisations autrement difficiles à compromettre directement. La surface d'attaque d'une organisation englobe désormais l'intégralité de son écosystème de fournisseurs et partenaires numériques.

Sur le front du ransomware, le DBIR 2026 confirme que cette menace reste dominante dans les attaques à motivation financière. Le rapport observe cependant une évolution tactique notable : les groupes favorisent de plus en plus l'exfiltration de données et le chantage à la divulgation (double et triple extorsion) comme approche principale, parfois sans procéder au chiffrement des systèmes. Cette évolution réduit le bruit opérationnel lors de l'intrusion et maximise l'impact sur les victimes disposant de sauvegardes correctement isolées, illustrant la capacité d'adaptation continue des groupes cybercriminels.

Le rapport DBIR couvre des données provenant de 139 pays et 67 industries, consolidées avec les contributions de partenaires incluant des fournisseurs de sécurité, des agences gouvernementales et des opérateurs de télécommunications. Cette base statistique étendue confère au rapport une légitimité unique dans le paysage des publications sur les menaces, et ses conclusions constituent une référence de premier plan pour les décisions de prioritisation des investissements sécurité, les exercices de risk assessment et les présentations aux comités de direction dans les organisations mondiales.

Ce que le DBIR révèle sur la maturité des pratiques de sécurité

La montée en puissance de l'exploitation de vulnérabilités comme premier vecteur d'attaque traduit un déséquilibre structurel entre la vélocité offensive et la réactivité défensive. La progression du délai de patching de 32 à 43 jours, face à des exploits disponibles en quelques heures grâce à l'IA, crée une fenêtre d'exposition qui ne peut être comblée avec les processus actuels. Cette réalité remet en question l'efficacité des approches basées sur le seul score CVSS, qui ne reflète pas l'exploitation réelle dans la nature. Un score CVSS de 7.5 sur une CVE activement armée par dix groupes est infiniment plus urgent qu'un CVSS de 9.8 sur une vulnérabilité sans exploit public. Le catalogue CISA KEV, référençant les vulnérabilités avec preuve d'exploitation active, constitue l'outil de priorisation le plus pertinent disponible.

L'explosion des attaques sur les équipements réseau périphériques représente une transformation structurelle que les stratégies de sécurité doivent intégrer d'urgence. Historiquement, les organisations ont concentré leurs efforts de détection sur les endpoints utilisateurs et les serveurs de production. Les équipements réseau — souvent administrés par des équipes opérationnelles distinctes des équipes sécurité, dotés de capacités de journalisation limitées et mis à jour selon des cycles trimestriels — constituaient des angles morts relatifs. La multiplication par sept des brèches les impliquant en un an est un signal difficile à minimiser. Les frameworks de sécurisation de l'ANSSI et les lignes directrices CISA-NSA pour les équipements en bordure prennent, à la lumière de ces statistiques, une urgence nouvelle.

La progression à 48 % des brèches impliquant des tiers illustre les limites des approches périmètriques dans un contexte de chaînes de valeur numériques interdépendantes. Cette statistique devrait inciter les responsables sécurité à renforcer leurs programmes de gestion du risque fournisseur : évaluation régulière de la posture des tiers critiques, limitation des accès accordés aux prestataires au strict nécessaire, surveillance continue via des solutions PAM (Privileged Access Management), et inclusion de clauses contractuelles de notification d'incident. Sur le plan réglementaire, NIS2 et DORA imposent déjà une évaluation formelle du risque tiers — le DBIR 2026 fournit la justification empirique pour ces investissements.

Les implications de l'émergence du shadow AI comme vecteur de risque dépassent les questions de fuite de données. L'introduction non contrôlée de code généré par IA dans les pipelines de développement crée des surfaces d'attaque difficiles à caractériser avec les méthodes d'audit traditionnelles. Les programmes de secure coding doivent évoluer pour inclure des guidelines spécifiques à l'usage des assistants IA, et les solutions SAST/DAST doivent être renforcées pour détecter les patterns de vulnérabilités caractéristiques du code auto-généré. La gouvernance de l'IA en entreprise n'est plus uniquement une question de conformité — c'est désormais un enjeu de cybersécurité opérationnelle.

Ce qu'il faut retenir

• Pour la première fois en 19 ans, l'exploitation de vulnérabilités (31 % des brèches) dépasse le vol d'identifiants comme premier vecteur d'attaque selon le DBIR 2026 de Verizon, publié le 19 mai.
• Les équipements réseau périphériques (pare-feux, VPN) passent de 3 % à 22 % des exploits en un an — une cible prioritaire à sécuriser, surveiller et patcher en urgence.
• Avec un délai de patch médian de 43 jours face à des exploits disponibles en quelques heures grâce à l'IA, la priorisation via CISA KEV, l'accélération des correctifs sur les équipements exposés et le renforcement du contrôle des tiers sont les trois actions immédiates à engager.