_Auteur : Saeed Abbasi, Senior Manager, Threat Research Unit, Qualys_ **Avec un délai d'exploitation désormais de moins sept jours et des agents IA autonomes accélérant les menaces, les données ne soutiennent plus l'amélioration incrémentale. L'architecture de défense doit changer.** ## La dure réalité de la gestion des vulnérabilités L'analyse des vulnérabilités connues et exploitées (KEV) de la **CISA** au cours des quatre dernières années révèle une tendance inquiétante : les vulnérabilités critiques non corrigées au Jour 7 sont passées de 56 % à 63 %, malgré une augmentation de 6,5 fois du nombre de tickets clos par les équipes de sécurité. Cela suggère que le simple fait d'ajouter plus de ressources au problème n'est pas une solution viable. Sur les 52 vulnérabilités exploitées suivies dans l'étude **Qualys**, un nombre stupéfiant de 88 % ont été corrigées plus lentement qu'elles n'ont été exploitées. De manière alarmante, la moitié d'entre elles ont été exploitées avant même qu'un correctif n'existe. Le problème fondamental, selon le rapport, n'est pas un manque de vitesse ou d'effort, mais plutôt le modèle opérationnel lui-même. ## Exposition cumulée : la véritable métrique de risque Le rapport souligne que les décomptes de **CVE** ne sont plus suffisants pour mesurer le risque. Au lieu de cela, les équipes de sécurité doivent se concentrer sur l'exposition cumulée, qui prend en compte la durée pendant laquelle une vulnérabilité reste non corrigée. **Qualys** introduit le concept de "Masse de Risque", définie comme les actifs vulnérables multipliés par les jours d'exposition, pour capturer l'exposition cumulée que les décomptes de **CVE** masquent souvent. Une métrique complémentaire, la Fenêtre Moyenne d'Exposition (AWE), mesure la durée complète de l'exploitation à la correction dans l'environnement. ## La "Taxe Manuelle" et son impact La recherche identifie une "Taxe Manuelle", un effet multiplicateur où les actifs de longue traîne, souvent manqués par les processus manuels, prolongent considérablement les temps d'exposition. Par exemple, le temps moyen de correction pour **Spring4Shell** était 5,4 fois supérieur à la médiane, illustrant l'impact de ces actifs difficiles à atteindre. Pour les systèmes d'infrastructure, la situation est encore plus désastreuse. Dans le cas de la vulnérabilité **Cisco IOS XE**, même le temps de correction médian était de 232 jours, soulignant les graves limitations des processus manuels pour traiter les vulnérabilités complexes et généralisées. ## L'écart croissant : attaques alimentées par l'IA contre des défenseurs humains Le rapport avertit que la sophistication croissante des attaques alimentées par l'IA élargira encore l'écart entre les attaquants et les défenseurs. Les agents offensifs IA peuvent découvrir, exploiter et exécuter des attaques beaucoup plus rapidement que les opérations humaines ne peuvent y répondre. La période de transition, où les attaquants alimentés par l'IA font face à des défenseurs à la vitesse humaine, représente la fenêtre la plus dangereuse de l'industrie. Ceci est aggravé par des vulnérabilités structurelles existantes, telles que des surfaces d'attaque élargies, une prolifération d'identités et des flux de travail de correction manuels. ## L'essor du Centre des Opérations de Risque Pour relever ces défis, **Qualys** préconise l'adoption d'un Centre des Opérations de Risque de bout en bout. Cette approche exploite l'intelligence embarquée, la confirmation active des vulnérabilités et l'action autonome pour compresser les temps de réponse afin de correspondre à la vitesse des menaces modernes. L'objectif n'est pas d'éliminer le jugement humain, mais de l'élever, en faisant passer les praticiens de l'exécution tactique à la gouvernance des politiques qui dirigent les systèmes autonomes. Les organisations qui parviennent à combler l'écart de risque le font en supprimant la latence humaine du chemin critique. ## Composants clés d'un Centre des Opérations de Risque : * **Intelligence embarquée :** Logique de décision lisible par machine pour prioriser et guider les efforts de correction. * **Confirmation active :** Validation de l'exploitabilité réelle d'une vulnérabilité dans un environnement spécifique. * **Action autonome :** Automatisation des tâches de correction pour compresser les temps de réponse. ## Conclusion : Adopter l'automatisation ou prendre du retard **Qualys** souligne que le modèle réactif, basé sur le scan et le rapport, n'est plus suffisant face à l'évolution rapide des menaces et à la réduction des délais d'exploitation. Les organisations doivent adopter l'automatisation et l'IA pour construire des opérations de risque autonomes en boucle fermée capables de se défendre efficacement contre les attaques modernes. La question est de savoir si les organisations adapteront leur architecture pour correspondre aux mathématiques du paysage actuel des menaces avant que la fenêtre entre la défense à l'échelle humaine et l'offensive à l'échelle autonome ne se ferme définitivement. **[Contactez Qualys](https://www.qualys.com/) pour des informations sur la manière dont les entreprises gèrent la correction à grande échelle avec l'automatisation et l'IA, et sur la façon dont vous pouvez faire cette différence dès maintenant.** _Commandité et rédigé par [Qualys](https://www.qualys.com/)._