L’exploitation des vulnérabilités devant les identifiants volés ! Un signale fort pour une accélération offensive qui réduit brutalement le temps utile aux défenseurs.
Le Data Breach Investigations Report 2026 de Verizon décrit une rupture majeure dans les violations de données. Pour la première fois depuis 19 ans, l’exploitation de vulnérabilités devient le premier vecteur d’accès initial, devant les identifiants compromis. Un basculement lié à l’intelligence artificielle. L’IA qui permettrait d’exploiter des failles connues en quelques heures au lieu de plusieurs mois. 72 % des organisations ne détectent pas en temps réel les abus d’identifiants. Le risque se déplace vers une guerre de vitesse.
Un basculement dans l’accès initial
Le signal est net. Selon le DBIR 2026 de Verizon, l’exploitation des vulnérabilités a dépassé le vol d’identifiants comme porte d’entrée dominante dans les violations de données. Ce changement intervient après près de deux décennies où l’identité compromise structurait une large part des scénarios d’intrusion.
Le rapport confirme une transformation profonde dans la conduite des attaques. Les groupes offensifs ne se contentent plus d’attendre qu’un mot de passe réutilisé ou volé ouvre une session. Ils exploitent plus vite les failles déjà connues, avec une automatisation renforcée par l’IA.
Le calcul implicite est simple. Quand une vulnérabilité demandait plusieurs mois pour être industrialisée par des attaquants, les équipes sécurité disposaient d’un espace de correction. Si ce délai tombe à quelques heures, la marge de détection, de priorisation et de remédiation disparaît presque. Dans de nombreuses organisations, selon Guccione, la fenêtre défensive se ferme avant que les contrôles puissent agir.
Ce déplacement ne signifie pas que les identifiants volés perdent leur importance. Il indique plutôt que les attaquants combinent désormais deux dynamiques : la faille technique pour entrer, puis l’identité pour circuler. Une fois l’accès obtenu, les mouvements latéraux, l’élévation de privilèges et la persistance continuent de dépendre des droits disponibles dans l’environnement ciblé.
Des données de Keeper Security donnent la mesure du problème. Près de trois quarts des organisations déclarent ne pas repérer en temps réel les abus d’identifiants ou les accès privilégiés non autorisés. Le rapport précise que 72 % des répondants ne détectent pas les mauvais usages d’identifiants immédiatement, et que la plupart identifient les accès privilégiés illégitimes en heures plutôt qu’en minutes .
Cette latence est stratégique. Chaque minute non observée peut permettre à un acteur hostile de cartographier un réseau, d’identifier les comptes utiles, puis de viser les systèmes les plus sensibles. La compromission n’est plus seulement un événement. Elle devient une séquence courte, dense, parfois achevée avant la première alerte exploitable.
L’identité sous pression de l’IA fantôme
Le DBIR 2026 pointe aussi l’IA fantôme, c’est-à-dire l’usage d’outils d’intelligence artificielle non validés par l’organisation. Leur utilisation fréquente par les salariés aurait triplé en un an et concernerait désormais 45 % des effectifs. Le risque n’est pas théorique : des informations sensibles peuvent être copiées dans des services externes sans supervision, journalisation ni politique claire de conservation.
Les recherches convergent. Elles indiquent que 56 % des organisations considèrent l’exposition involontaire des données par les employés via l’IA comme leur principale faille de sécurité liée à cette technologie. La fuite d’informations provoquée par l’usage d’outils d’IA arrive également au troisième rang des préoccupations cyber associées à l’IA, avec 35 % des réponses.
Le risque dépasse pourtant l’erreur humaine. Les systèmes d’IA, les copilotes génératifs, les moteurs d’orchestration et les agents automatisés s’appuient eux aussi sur des permissions, des secrets, des comptes de service et des appels applicatifs. L’identité est devenue une infrastructure opérationnelle, utilisée par les humains comme par les identités non humaines.
Cette extension fragilise les modèles classiques. Le rapport indique que 89 % des responsables IT jugent difficile de gérer la croissance du nombre d’identités. Il ajoute que 96 % citent des outils de sécurité déconnectés ou mal intégrés comme source de failles exploitables. Autrement dit, la défense ne manque pas toujours de produits. Elle manque souvent de cohérence.
La chaîne d’approvisionnement élargit encore cette surface. D’après le DBIR 2026, les violations impliquant un tiers représenteraient désormais 48 % de l’ensemble des incidents, avec une hausse annuelle de 60 %. Là encore, la prise de conscience progresse sans garantir la maîtrise. Près d’un quart des organisations interrogées par Keeper désignent la supervision limitée des accès tiers et fournisseurs comme une lacune de cybersécurité.
Le privilège devient alors le point critique. 36 % seulement des organisations déclarent avoir pleinement déployé la gestion des accès privilégiés, tandis que 31 % parlent d’un déploiement partiel et 16 % d’une mise en œuvre en cours. Le calcul donne 64 % d’organisations sans gouvernance entièrement consolidée des accès à privilèges.
Le renseignement cyber devra désormais mesurer moins le nombre d’alertes que le délai réel entre faille exploitable, usage d’identité et action défensive.
