La sécurité des applications évolue rapidement vers un terrain plus complexe pour les entreprises : celui où les logiciels sont déjà en production. Pendant des années, une grande partie de la stratégie de cybersécurité s’est concentrée sur la détection des vulnérabilités avant leur déploiement, à travers des outils d’analyse de code, de scan de dépendances et de contrôles « shift-left ». Si cette approche reste essentielle, elle ne suffit plus à elle seule.
Le rapport 2026 State of Modern Application & AI Security, publié par la Cloud Security Alliance et commandé par Miggo Security, met en lumière une fracture évidente entre la détection des vulnérabilités et la prévention qu’elles ne deviennent de véritables incidents. Basée sur une enquête auprès de plus de 900 responsables de la cybersécurité, cette étude conclut que nombre d’organisations savent repérer les failles avant leur mise en production, mais peinent à les corriger rapidement dans un contexte où l’intelligence artificielle accélère considérablement l’exploitation des failles.
Le problème n’est plus seulement de repérer les failles, mais d’agir à temps
Un des chiffres clés du rapport indique que près de la moitié des organisations ayant subi un incident en production constatent que celui-ci est lié à une vulnérabilité déjà identifiée par leurs équipes de sécurité avant le lancement. Autrement dit, le défi ne réside pas toujours dans la détection, mais dans le délai entre la prise de conscience du risque et la mitigation effective.
La fenêtre de correctif est devenue l’une des principales faiblesses opérationnelles. Selon l’étude, seulement 9 % des organisations corrigent les vulnérabilités critiques ou à haute gravité en moins de 24 heures en production. La majorité (74 %) nécessite entre un et sept jours. Dans un contexte traditionnel, ces délais pouvaient sembler raisonnables, mais face à une exploitation accélérée par l’IA, ils paraissent désormais trop longs.
La différence est notable. Les entreprises qui mettent entre quatre et sept jours pour appliquer un correctif voient 97 % d’incidents liés à des vulnérabilités connues, contre 77 % pour celles capables de le faire en moins de 24 heures. Même les plus réactives restent exposées, mais la corrélation montre que chaque jour de retard augmente significativement le risque.
| Indicateur du rapport | donnée clé | Implication pour les entreprises |
|---|---|---|
| Nombre d’organisations interrogées | Plus de 900 responsables cybersécurité | Une vision large et représentative du secteur |
| Vulnérabilités critiques corrigées en moins de 24h | 9 % | La correction rapide demeure minoritaire |
| Organisation corrigeant en 1 à 7 jours | 74 % | Une fenêtre d’exposition toujours significative |
| Incidents liés à des vulnérabilités connues dans cycle de correction de 4 à 7 jours | 97 % | Les délais longs augmentent considérablement le risque opérationnel |
| % d’organisations avec composants IA en production | 70 % | L’intégration de l’IA est bien avancée dans les applications |
| Organisation sans visibilité en temps réel du comportement IA en runtime | 82 % | La sécurité de l’IA en production reste souvent en retrait du déploiement |
| Intérêt pour le virtual patching comme solution fiable | 73 % | Une tendance croissante pour des mitigations rapides sans attendre un patch complet |
| Plan d’investissement accru en sécurité en runtime | 42 % | Le budget migre vers la protection en environnement de production |
Sécurité en runtime : la couche manquante entre alerte et correctif
L’étude remet en question une idée très répandue ces dernières années : que renforcer la sécurité en début de cycle de développement, par le biais du « shift-left », suffit à réduire le risque. Si cette approche a amélioré la détection, elle n’a pas comblé le fossé entre la détection initiale et l’exploitation. Les applications modernes utilisent des bibliothèques open source, des frameworks, des API, des services tiers ou des composants d’intelligence artificielle qui évoluent encore après le déploiement du code propriétaire.
C’est pourquoi le concept de sécurité en runtime, ou sécurité en temps réel, prend de plus en plus d’importance. Il consiste à surveiller et à protéger l’application durant son fonctionnement, pas seulement avant sa mise en service. Cette couche permet d’identifier les vulnérabilités réellement exploitables, d’analyser les chemins d’exécution actifs, d’évaluer l’exposition des composants et d’appliquer rapidement des mitigations pendant que l’équipe prépare un patch définitif.
Dans cette optique, le virtual patching, ou correction virtuelle, est une technique qui permet de bloquer ou d’atténuer l’exploitation d’une vulnérabilité sans modifier immédiatement le code vulnérable. Bien qu’il ne remplace pas le patch officiel, il réduit temporairement l’exposition, notamment lors de la validation de la correction, de la mise à jour d’une dépendance ou du déploiement sécurisé. Selon le rapport, 73 % des responsables seraient prêts à adopter le virtual patching s’ils pouvaient neutraliser les exploits en production avec peu de faux positifs.
L’enjeu réside dans la précision. Un système de mitigation trop agressif risque de perturber des applications légitimes, tandis qu’un système trop permissif laisse passer les attaques. Le rapport insiste donc sur le fait que la protection en runtime doit s’appuyer sur la preuve d’exploitabilité, et pas uniquement sur la vulnérabilité théorique.
L’IA en production : une visibilité encore insuffisante
L’intelligence artificielle accentue cette fracture. 70 % des organisations interrogées utilisent des composants IA en production, mais 82 % ne disposent pas d’une visibilité en temps réel sur leur comportement lors de l’exécution. Ce manque de visibilité est d’autant plus préoccupant que les applications dynamiques équipées d’IA peuvent changer de comportement de façon plus imprévisible que les logiciels traditionnels.
Les modèles, agents et autres composants intelligents peuvent accéder aux données, invoquer des outils, générer des réponses, interagir avec des API ou modifier des flux de travail en fonction du contexte. En l’absence de surveillance en temps réel, il devient plus difficile de détecter des abus, des comportements anormaux, des exploitations de dépendances ou des fuites de données, ou encore une utilisation abusive des capacités automatisées.
Par ailleurs, les attaquants utilisent aussi des modèles avancés pour analyser les vulnérabilités, accélérer la phase de test, générer des exploits, adapter des chargeurs ou automatiser la reconnaissance des cibles. Le rapport cite le contexte post-Mythos et l’exploitation à vitesse « machine » comme une nouvelle réalité : lorsque les attaquants réduisent le délai entre la divulgation et l’exploitation, il devient impossible pour les entreprises de suivre un cycle de correction traditionnel.
Le constat est clair : la question centrale ne concerne plus uniquement l’emplacement du risque, mais la durée pendant laquelle l’organisation reste exposée après la mise en production. Ce « temps d’exposition » devient une métrique critique, aussi importante que le nombre de vulnérabilités identifiées.
Une nouvelle priorisation pour les CISO
Les données du rapport indiquent un changement dans les priorités budgétaires. 42 % des entreprises envisagent d’investir davantage dans la sécurité en runtime dans les deux prochaines années. Ce segment devient essentiel, surtout si les contrôles traditionnels en amont ne parviennent pas à empêcher que des vulnérabilités connues atteignent la production. Il faut désormais une couche supplémentaire pour permettre une réaction rapide lorsque le patch ne peut être appliqué immédiatement.
Cela ne remet pas en cause le « shift-left ». L’analyse précoce du code, des dépendances et de l’infrastructure reste indispensable. La nouveauté réside dans l’intégration de la sécurité en production, via la détection de l’exploitabilité, l’observabilité, la priorisation contextuelle et la mitigation rapide.
Sur le plan organisationnel et technique, le défi est important : appliquer un patch en moins de 24 heures nécessite un inventaire précis, des pipelines fiables, des tests automatisés, une coordination entre sécurité et développement, la possibilité de rollback et une culture de la réponse rapide. Sans ces éléments, une vulnérabilité connue peut rester en suspens pendant plusieurs jours dans le backlog.
L’essor de l’IA oblige à revoir cette tolérance au délai. Les entreprises qui ignorent quelles applications sont exposées, quelles dépendances sont utilisées, quels composants IA sont en production ou quels risques sont réellement exploitables auront plus de difficulté à réagir efficacement. Le rapport de la CSA rappelle que, si le patch reste la solution ultime, en attendant, il faut assurer la protection de ce qui est déjà en fonction.
Questions fréquentes
Qu’est-ce que la sécurité en runtime ?
C’est la sécurité appliquée aux applications et systèmes durant leur fonctionnement en production. Elle permet d’observer le comportement réel, de détecter l’exploitabilité et d’appliquer des mitigations avant qu’une vulnérabilité ne se transforme en incident.
Pourquoi le « shift-left » ne suffit plus ?
Car détecter les vulnérabilités avant leur déploiement ne garantit pas leur correction dans un délai raisonnable. Beaucoup d’organisations en arrivent à produire des incidents malgré la détection précoce ou prennent plusieurs jours pour appliquer un patch, laissant ainsi une fenêtre d’exploitation exploitable par les attaquants.
Qu’est-ce que le virtual patching ?
Une mitigation temporaire qui bloque ou limite l’exploitation d’une vulnérabilité sans modifier immédiatement le code vulnérable. Il n’élimine pas la vulnérabilité définitivement, mais offre une protection durant la phase de correction ou d’attente d’un patch officiel.
Pourquoi l’IA intensifie-t-elle la pression sur le correctif ?
Parce qu’elle peut accélérer à la fois la détection et l’exploitation des vulnérabilités. Si les attaquants réduisent le délai entre la divulgation et la mise en œuvre effective, les entreprises doivent adopter des cycles de mitigation beaucoup plus rapides.
source : cloudsecurityalliance
