Quand une faille de sécurité est découverte dans un logiciel, il y a une course contre la montre. D'un côté, l'éditeur du logiciel travaille à publier un correctif. De l'autre, des pirates cherchent à exploiter la faille avant qu'elle ne soit colmatée.
Pendant longtemps, les défenseurs avaient de l'avance. Ce n'est plus le cas.
Un projet lancé par des experts en cybersécurité de premier plan, le Zero Day Clock, documente cette bascule avec des chiffres qui parlent d'eux-mêmes.
De 2 ans à quelques heures : l'effondrement du temps de réaction
Le Zero Day Clock mesure le temps médian entre la publication d'une faille et son exploitation par des pirates. Autrement dit : combien de temps avez-vous pour vous protéger après qu'une vulnérabilité est rendue publique ?
| Année | Temps médian avant exploitation | Source |
|---|---|---|
| 2018 | 771 jours (plus de 2 ans) | Zero Day Clock |
| 2021 | 84 jours (environ 3 mois) | Zero Day Clock |
| 2023 | 5 jours | Google Mandiant |
| 2024 | 4 heures | Zero Day Clock |
| 2026 | Avant même la publication du correctif | Zero Day Clock |
Relisez la dernière ligne. En 2026, 67 % des failles exploitées le sont avant que le correctif n'existe. Vous ne pouvez pas appliquer une mise à jour de sécurité qui n'a pas encore été publiée.
Qu'est-ce que le Zero Day Clock ?
Le projet Zero Day Clock a été créé par Sergej Epp, directeur de la sécurité chez Sysdig, et soutenu par des figures majeures du secteur : Bruce Schneier (référence mondiale en cryptographie), Jeff Moss (fondateur de Black Hat et DEF CON), John Kindervag (créateur du concept Zero Trust), ou encore Heather Adkins (Google). Plus de 100 experts ont signé le manifeste.
Leur constat est simple : le modèle actuel de la cybersécurité ne fonctionne plus. On découvre une faille, on publie un correctif, les entreprises l'installent. Ce cycle a fonctionné pendant 20 ans. Il est aujourd'hui dépassé.
Pourquoi les pirates vont-ils si vite ?
Le correctif est devenu une carte au trésor
Quand un éditeur publie un correctif, il révèle indirectement où se trouve la faille. Les pirates analysent la mise à jour, comprennent ce qui a changé, et en déduisent comment attaquer les systèmes qui n'ont pas encore été mis à jour.
C'est ce que les experts appellent le paradoxe du correctif : l'acte de corriger une faille accélère son exploitation. La défense crée l'attaque.
L'intelligence artificielle change la donne
Les chiffres sont édifiants. Le chercheur Daniel Kang a démontré que le modèle GPT-4 pouvait exploiter automatiquement des failles connues avec un taux de réussite de 87 %, pour un coût de moins de 9 dollars par attaque. Dans la même étude, tous les autres modèles d'IA et tous les scanners de sécurité commerciaux ont obtenu un score de zéro. En 2026, des agents IA ont généré 40 programmes d'attaque fonctionnels pour une seule faille pour 50 dollars, et découvert plus de 100 vulnérabilités exploitables chez des constructeurs matériels pour 600 dollars au total.
Concrètement, ce qui nécessitait des semaines de travail pour un pirate expérimenté peut désormais être automatisé en quelques minutes. Comme le résume le chercheur Sean Heelan : "Le facteur limitant n'est plus le nombre de hackers, c'est la puissance de calcul."
Les éditeurs ne corrigent pas assez vite
Selon les données de Google Mandiant, les failles dans les équipements réseau (VPN, pare-feux, routeurs) sont les plus ciblées. Ce sont aussi ceux dont les mises à jour sont les plus compliquées à déployer en entreprise. Résultat : un décalage dangereux entre la vitesse d'attaque et la vitesse de correction.
Les chiffres qui montrent l'ampleur du problème
Google a recensé 75 failles zero-day (des failles exploitées avant même qu'un correctif n'existe) dans la nature en 2024. 44 % ciblaient des produits d'entreprise, et plus de la moitié étaient attribuées à des groupes étatiques ou à des vendeurs de logiciels espions.
VulnCheck rapporte qu'au premier semestre 2025, 32 % des failles exploitées l'étaient le jour même ou avant leur publication officielle (contre 23,6 % en 2024). Autrement dit, les pirates avaient une longueur d'avance sur les défenseurs dans presque un cas sur trois.
Le catalogue des failles activement exploitées tenu par l'agence américaine CISA (KEV) a grossi de 20 % en un an, passant de 1 239 entrées fin 2024 à près de 1 500 fin 2025, avec 245 ajouts sur la seule année 2025. Les équipements réseau (pare-feux, VPN) sont la catégorie la plus ciblée.
En quoi ça vous concerne ?
Vous utilisez des logiciels tous les jours : messagerie, comptabilité, CRM, outils métier, site web. Chacun de ces logiciels contient potentiellement des failles. Et chacun dépend de dizaines, voire de centaines de composants logiciels qui contiennent eux-mêmes des failles.
Le problème n'est pas que votre entreprise soit spécifiquement ciblée. Le problème, c'est que les attaques sont désormais automatisées et massives. Les pirates ne choisissent plus leurs cibles une par une. Ils scannent Internet à la recherche de systèmes vulnérables et attaquent tout ce qu'ils trouvent.
Si votre VPN d'entreprise a une faille connue depuis 48 heures et que le correctif n'est pas encore installé, vous êtes potentiellement déjà compromis. Non pas parce qu'un pirate vous a choisi, mais parce qu'un robot vous a trouvé.
Vous ne savez pas si votre entreprise est prête à encaisser ce type de menace ? Nous pouvons faire un état des lieux en 30 minutes et vous proposer un accompagnement adapté. Découvrir notre accompagnement cybersécurité
Si les correctifs ne suffisent plus, que faire ?
Le message du Zero Day Clock n'est pas qu'il faut arrêter de faire les mises à jour. C'est qu'il faut arrêter de compter uniquement dessus. Plusieurs directions se dessinent.
Construire une architecture qui résiste aux failles
Le concept de Zero Trust (confiance zéro) part d'un principe simple : ne jamais faire confiance par défaut, même à l'intérieur de votre réseau. Chaque accès est vérifié, chaque connexion est contrôlée. Si un composant est compromis, l'attaquant ne peut pas se déplacer librement dans le reste du système.
Le NIST (l'institut national des standards technologiques américain) a publié en juin 2025 un guide complet pour mettre en place cette approche, développé avec 24 partenaires industriels. Ce n'est plus un concept théorique, c'est un standard en cours de déploiement.
Exiger des logiciels plus sûrs dès la conception
L'Union européenne a adopté le Cyber Resilience Act (CRA), entré en vigueur en décembre 2024. Ce règlement impose aux éditeurs de logiciels d'intégrer la sécurité dès la conception de leurs produits, de fournir des mises à jour de sécurité pendant toute la durée de vie du produit, et de signaler les failles activement exploitées sous 24 heures. Les sanctions peuvent atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial.
Aux États-Unis, la CISA a lancé un engagement volontaire "Secure by Design" signé par plus de 280 éditeurs, dont Microsoft et Google. L'idée est la même : la sécurité n'est pas un patch qu'on ajoute après coup, c'est un fondement qu'on intègre dès le départ.
Ce qu'il faut retenir
Le monde de la cybersécurité a changé de manière fondamentale. Le modèle "on découvre une faille, on publie un correctif, on l'installe" a fonctionné pendant deux décennies. Il est aujourd'hui structurellement dépassé par la vitesse d'exploitation des attaquants, accélérée par l'intelligence artificielle.
Ce n'est pas un problème d'outils. C'est un problème d'architecture et d'organisation. Les entreprises qui s'en sortiront sont celles qui auront anticipé : une architecture Zero Trust, des logiciels conçus pour être sûrs, une surveillance continue, et surtout une prise de conscience que la cybersécurité est un sujet de direction générale, pas uniquement de service informatique.
Le Zero Day Clock tourne. La question n'est pas de savoir si votre entreprise sera concernée, mais quand.
Sources : Zero Day Clock (Sergej Epp, 2025), Google Mandiant - Time-to-Exploit Trends 2023, Google GTIG - 2024 Zero-Day Trends, VulnCheck - State of Exploitation 2025, CISA KEV Catalog, EU Cyber Resilience Act, NIST SP 1800-35 - Zero Trust Architecture.