L’IA multiplie les alertes de sécurité, mais elles ne sont pas toutes urgentes

La sécurité dans les infrastructures critiques

Les équipes de cybersécurité vivent une paradoxale d’inconfort : elles disposent de plus de visibilité que jamais, de plus d’outils, d’une automatisation accrue et de davantage de signaux, mais elles sont aussi submergées par le bruit. L’intelligence artificielle et l’automatisation ne servent pas uniquement à renforcer la défense. Elles permettent aussi aux attaquants de tester des systèmes exposés, des identifiants filtrés, des sites de phishing et des vulnérabilités connues à une vitesse que le tri manuel ne peut plus suivre.

Le nouveau rapport Under Pressure : The 2026 Exposure Gap Report, publié par Check Point, quantifie cette problématique. La proportion d’expositions critiques liées à des vulnérabilités a plus que doublé en un an, passant de 18,7 % en 2025 à 42,6 % en 2026. Pourtant, seulement 7,8 % des alertes de vulnérabilité analysées ont été jugées prioritaires ou critiques après validation de leur exploitabilité. En d’autres termes : les vulnérabilités ont un poids plus grand que jamais, mais plus de 90 % des alertes ne nécessitaient pas le même degré d’urgence.

C’est le cœur du fossé d’exposition : la distance entre percevoir un risque, déterminer s’il est réellement critique et agir pour le corriger sans interrompre la production. Dans un environnement où les attaquants peuvent automatiser des tests à grande échelle, la vieille méthode consistant à « patcher selon la gravité théorique » commence à montrer ses limites. La priorité n’est plus seulement de détecter davantage d’alertes, mais d’identifier au plus vite ces quelques vulnérabilités pouvant devenir des incidents.

Le problème n’est plus le manque de visibilité, mais la priorisation

Le rapport de Check Point indique que le risque critique se concentre principalement dans quelques catégories. Les vulnérabilités et les informations internes exposées représentent ensemble 76 % de toutes les expositions critiques. Les vulnérabilités dominent avec 42,6 %, suivies de près par l’exposition d’informations internes à 33,3 %. Les sites de phishing représentent désormais 10,5 %, contre 1,0 % l’année précédente.

Cette évolution est significative, car elle marque un changement dans le profil de l’exposition dominante. En 2025, les informations internes exposées et les fichiers malveillants pesaient davantage. En 2026, l’attention se déplace vers les vulnérabilités et le phishing. Cela ne signifie pas que les autres risques disparaissent, mais que les attaquants exploitent davantage d’opportunités via des failles exploitables ou des campagnes de substitution d’identité.

Le chiffre clé demeure : 7,8 %. Check Point explique que, après validation de leur exploitabilité, seule cette petite fraction des alertes de vulnérabilité méritait une attention critique ou élevée. Dans ce groupe, 6,8 % correspondaient à des vulnérabilités de gravité élevée et 1 % à des vulnérabilités critiques. Cela confirme une idée que de nombreuses équipes perçoivent déjà : si tout est prioritaire, rien ne l’est vraiment.

La gestion moderne de l’exposition ne consiste pas simplement à accumuler des tableaux de bord, mais à combiner la découverte, le contexte métier, l’activité de menaces, la couverture des contrôles et la validation réelle de l’exploitabilité. Une vulnérabilité avec un score CVSS élevé peut ne pas être exploitable dans un environnement spécifique si des contrôles compensatoires sont en place, si l’actif n’est pas directement exposé ou si aucune voie d’attaque viable n’existe. Une autre exposition moins visible, comme un identifiant filtré ou un sous-domaine vulnérable, peut ouvrir une porte réelle.

Chaque secteur possède un profil d’exposition spécifique

L’un des apports précieux du rapport est qu’il évite de traiter toutes les organisations de manière identique. La santé, la finance, l’administration publique et les services publics n’ont pas la même surface de risque ni la même capacité à répondre.

Dans les services publics, les vulnérabilités représentent 78,2 % des expositions critiques. C’est le profil le plus concentré du rapport. Cela s’explique : il s’agit souvent d’environnements avec des technologies opérationnelles, des infrastructures distribuées et des systèmes où appliquer un patch demande plus de planification. Néanmoins, ce secteur affiche le meilleur délai médian de remédiation, avec 12,6 heures, et le pourcentage le plus élevé d’organisations qui clôturent une exposition critique en moins d’une heure : 30 %.

Dans le secteur public, les vulnérabilités restent majoritaires, avec 56,4 % des expositions critiques. Le rapport souligne un changement notable par rapport à 2025, où les fichiers malveillants représentaient la principale catégorie. Le secteur public opère souvent dans des environnements étendus, décentralisés et avec des technologies héritées, une situation qui complique la réduction rapide des expositions.

Dans le domaine de la santé, la tendance est différente. Les informations internes exposées constituent 63,6 % des expositions critiques, largement devant les vulnérabilités ou les fichiers malveillants. Ce secteur afficha également la durée de remédiation la plus longue, avec une médiane de 158,8 heures. Check Point évoque des facteurs connus dans ce contexte : systèmes hérités, dispositifs médicaux, nécessité de disponibilité clinique, recours à des tiers et contrôles de changement plus rigoureux.

Dans les services financiers, l’exposition est plus répartie. Les informations internes représentent 42,7 %, suivies par les fichiers malveillants avec 27,8 %. On trouve aussi des identifiants compromis, des vulnérabilités, des jetons exposés et du phishing. C’est le secteur avec le volume moyen le plus élevé de remédiations mensuelles par organisation, avec 10 155, et avec le pourcentage le plus élevé d’actions recommandées effectivement mises en œuvre : 91,7 %.

La conclusion est claire : il n’existe pas une liste universelle de priorités. Une utility doit d’abord cibler les vulnérabilités exploitables dans ses systèmes critiques. Un hôpital doit surveiller l’exposition des informations et la continuité des opérations. Une banque doit couvrir plusieurs vecteurs d’attaque simultanément : identité, malware, expositions de données, phishing et vulnérabilités.

Une remédiation en semaines ne suffit plus

Le rapport insiste fortement sur la rapidité de la réponse. Check Point affirme que les outils d’attaque pilotés par IA ont comprimé le temps entre l’accès initial et l’impact. Dans ce contexte, mesurer la remédiation en semaines risque d’exposer une organisation plus longtemps que nécessaire à l’assaillant.

Le rapport compare la évolution entre le temps moyen jusqu’à l’exploitation et celui de la remédiation. La lecture est alarmante : l’exploitation est sans cesse plus anticipée et, dans certains cas, survient avant même que le patch soit disponible. Lorsque le délai jusqu’à exploitation devient négatif, cela signifie que la correction arrive après que l’attaquant a déjà testé la voie d’attaque.

Cela oblige à repenser à plusieurs couches de réponse. Remédier ne signifie pas toujours appliquer un patch immédiatement. Cela peut inclure des antivirus virtuels, l’activation de systèmes IPS, des règles WAF, le blocage via des indicateurs de compromission, la suppression d’infrastructures malveillantes, un isolement temporaire ou des ajustements de configuration. La correction définitive demeure essentielle, mais les contrôles intermédiaires peuvent réduire l’exposition en attendant.

Check Point indique que ses clients ont mis en œuvre en moyenne 85,9 % des recommandations de correction dans les secteurs analysés. Il note également qu’une proportion importante d’organisations a pu résoudre une exposition critique en moins d’une heure, passant de 7,7 % dans la santé à 30 % dans les services publics. Tous les environnements ne peuvent pas aussi rapidement s’adapter, mais le rapport montre que la remédiation accélérée est possible avec une validation rigoureuse, une responsabilité claire et des processus opérationnels définis.

L’IA exige de repenser la gestion des vulnérabilités

Le message fondamental n’est pas d’ignorer les alertes. Au contraire : il faut les traiter de manière plus intelligente. L’IA augmente l’échelle du problème car elle permet de générer, d’enrichir et de tester des signaux à une vitesse alarmante. Si les défenseurs répondent par plus de tableaux de bord et de tickets sans hiérarchiser, ils risquent le surmenage.

La gestion de l’exposition vise à réduire cette surcharge en répondant à quatre questions : qu’ai-je exposé, qu’est-ce qui peut réellement être exploité, quels contrôles réduisent déjà le risque, et quelle action peut-on appliquer sans perturber l’activité. La réponse ne peut pas simplement dépendre d’un score CVSS, d’une étiquette critique ou d’une liste de patches en attente.

Pour les équipes de sécurité, le défi en 2026 ne sera pas d’avoir plus de données, mais de transformer ces données en un flux de travail maîtrisable. Moins de bruit, plus de preuves. Moins d’urgences générales, plus d’exploitation validée. Moins de tickets en attente, plus de réduction réelle de l’exposition.

L’IA a accéléré la vitesse des attaquants. La défense devra répondre non pas par la panique, mais par une priorisation intelligente et une remédiation sécurisée. Ce sera le véritable signe de maturité.

Questions fréquemment posées

Qu’est-ce que le fossé d’exposition (exposure gap) ?
C’est la distance entre la détection d’une exposition, sa priorisation correcte et sa correction en toute sécurité avant qu’elle ne devienne un réel impact.

Pourquoi le chiffre de 7,8 % dans le rapport est-il important ?
Parce qu’il montre qu’une petite partie seulement des alertes de vulnérabilité analysées méritait une attention critique ou élevée après validation de leur exploitabilité. Cela aide à différencier l’urgence réelle du bruit.

Quels types d’exposition ont connu le plus de croissance en 2026 ?
Les vulnérabilités sont passées de 18,7 % à 42,6 %, et les sites de phishing de 1,0 % à 10,5 %.

Quel secteur remédie le plus rapidement ?
Selon le rapport, les services publics ont le délai médian de remédiation le plus court pour les alertes critiques, avec 12,6 heures, et le plus haut pourcentage d’organisations qui résolvent en moins d’une heure.

La gestion de l’exposition remplace-t-elle le patching ?
Non. Elle le complète. Elle aide à prioriser, à valider l’exploitabilité et à appliquer des contrôles temporaires ou définitifs afin de réduire le risque sans interrompre les activités.

le dernier