Cette étude menée par I-TRACING et le CESIN révèle que moins de 8 % des entreprises réparent leurs failles critiques en une journée. Un retard inquiétant face à des cyberattaquants de plus en plus rapides.
Le Livre Blanc publié lors du Forum InCyber 2026 détaille les difficultés chroniques des RSSI face à l’explosion des vulnérabilités numériques. Malgré des outils de détection sophistiqués, le manque de personnel et l’absence de processus unifiés freinent la correction des brèches logicielles. Cette enquête de grande ampleur souligne l’urgence de structurer des centres d’opérations dédiés pour réduire l’exposition au risque.
Des équipes sous l’eau face à la masse de données
Le constat chiffré donne le tournis. Plus de la moitié des responsables de la sécurité admettent manquer de bras pour traiter le flux incessant d’alertes. Sur l’ensemble des failles identifiées, une sur deux possède un niveau de dangerosité tel qu’elle ne peut rester sans réponse. Pourtant, le compte n’y est pas. Si les vulnérabilités classiques sont plutôt bien identifiées, tout ce qui touche au développement logiciel et aux conteneurs passe trop souvent entre les mailles du filet.
Laurent Besset, Directeur Général Adjoint et Cyberdéfense chez I-TRACING, note d’ailleurs que le manque de spécialistes combiné à la multiplication des assauts force aujourd’hui les structures à revoir leur copie. Selon lui, la simple hiérarchisation des menaces ne suffit plus. Il faut désormais organiser le travail différemment pour préserver des équipes proches de l’épuisement professionnel.
L’impuissance des délais de remédiation
Le cœur du problème réside dans une statistique frappante ! A peine 7,6 % des entreprises corrigent leurs vulnérabilités critiques en moins de 24 heures. La plupart visent un rétablissement sous sept jours, un objectif fixé par les politiques internes mais rarement atteint dans les faits. Ce retard chronique s’explique par une organisation encore balbutiante.
La gestion de ces failles souffre d’un éparpillement des méthodes. Entre ceux qui utilisent des fichiers partagés, ceux qui se fient à leurs logiciels de détection et une part non négligeable de structures sans aucun tableau de bord, l’efficacité globale s’effondre. Cette hétérogénéité empêche d’industrialiser les réponses et laisse les mains libres aux attaquants qui, eux, automatisent leurs procédures.
Miser sur une organisation unifiée du risque
Pour sortir de cette impasse, le concept de « Vulnerability Operations Center » (VOC) tente de s’imposer. L’idée consiste à ne plus traiter la cybersécurité comme une suite d’outils isolés, mais comme une chaîne de production fluide. Fabrice Bru, qui préside le CESIN, rappelle avec justesse que le salut ne viendra pas d’un logiciel miracle supplémentaire, mais d’une vision transversale capable de lier enfin la détection à l’action réelle.
L’intelligence artificielle pointe le bout de son nez pour aider à synthétiser les rapports ou clarifier les alertes, mais son usage reste marginal pour l’instant. Le véritable point de progression semble résider dans la maturité des processus humains. En clair, le défi de 2026 n’est plus de voir la menace, mais d’avoir la force de frappe nécessaire pour refermer la porte avant qu’il ne soit trop tard.
Article basé sur un communiqué de presse reçu par la rédaction.
