Accueil
Actualités
DBIR 2026 : pour la première fois, l'exploitation de vulnérabilités devance les identifiants volés


#CYBERSÉCURITÉ

DBIR 2026 : pour la première fois, l'exploitation de vulnérabilités devance les identifiants volés



Le rapport annuel Data Breach Investigations Report de Verizon, publié le 19 mai 2026, marque une bascule sans précédent dans son histoire. Depuis 2008, la même hiérarchie s'imposait : les identifiants volés étaient le vecteur d'accès initial dominant des cyberattaques, devant le phishing et l'exploitation de vulnérabilités. En 19 éditions, cette hiérarchie n'avait jamais été bousculée. Elle vient de l'être.

Dans l'édition 2026, qui analyse plus de 22 000 violations de données confirmées à travers 145 pays entre novembre 2024 et octobre 2025, l'exploitation de vulnérabilités devient le premier vecteur d'accès initial avec 31 % des violations, tandis que l'abus d'identifiants chute à 13 %. La rupture est nette, et son ampleur dépasse la seule statistique. Elle traduit une transformation en profondeur de la manière dont les attaquants opèrent, portée par l'accélération de l'usage des outils d'intelligence artificielle générative dans les phases d'exploitation.

Pour les RSSI et directions IT des grandes organisations françaises, cette bascule appelle une relecture attentive de leurs priorités opérationnelles.

Les chiffres

Le rapport du DBIR 2026 documente trois évolutions majeures qui se renforcent mutuellement.

D'abord, le passage de témoin entre identifiants volés et vulnérabilités logicielles. Le graphique historique du rapport montre que la trajectoire ascendante des vulnérabilités s'est accélérée, passant progressivement au-dessus des identifiants avant de les dépasser cette année.

Ensuite, une dégradation nette des capacités de remédiation. Seulement 26 % des vulnérabilités critiques, c'est-à-dire celles inscrites au catalogue KEV (Known Exploited Vulnerabilities) de la CISA, ont été totalement corrigées par les organisations en 2025. Ce taux était de 38 % l'année précédente. Le délai médian de remédiation complète est passé de 32 à 43 jours, soit près de deux semaines supplémentaires. Et dans le cas médian, les organisations ont eu à traiter 50 % de vulnérabilités critiques en plus par rapport à l'année précédente.

Enfin, une explosion du risque tiers. Les violations impliquant un tiers ont augmenté de 60 % en un an et représentent désormais 48 % de l'ensemble des violations. Presque une sur deux. Le rapport documente également que seulement 23 % des tiers concernés ont totalement remédié les problèmes d'authentification multifacteur manquante ou mal configurée sur leurs comptes cloud, et que le délai médian pour résoudre 50 % des configurations défaillantes de mots de passe et de permissions atteint presque huit mois.

Ces trois évolutions dessinent un environnement où la surface d'exposition s'élargit, où les correctifs traînent, et où les attaquants disposent d'outils qui accélèrent leur capacité à convertir une vulnérabilité en compromission effective.

Le rôle spécifique de l'IA générative

Le DBIR consacre pour la première fois une section dédiée à l'influence de l'intelligence artificielle générative sur le paysage de la menace, et les constats sont documentés avec précision.

Les acteurs de la menace utilisent désormais l'IA générative à plusieurs stades de leur chaîne d'attaque :

  • sélection des cibles,
  • obtention d'un accès initial,
  • développement de logiciels malveillants et d'outils d'attaque.

La moitié des acteurs de la menace observés utilisent désormais l'assistance d'une IA sur au moins 15 techniques différentes, et certains l'utilisent sur 40 ou 50 techniques distinctes. Le rapport précise toutefois que la grande majorité du développement de logiciels malveillants assisté par IA reste associée à des techniques d'attaque bien connues et documentées : dans plus de 97 % des cas observés, il existe déjà des exemples de logiciels malveillants qui remplissent les mêmes fonctions.

Autrement dit, l'IA générative n'invente pas de nouvelles techniques d'attaque à grande échelle. Elle accélère la production, la variation et le déploiement des techniques existantes. C'est un effet de vitesse et de volume, non de nature. Mais cet effet suffit à déséquilibrer les professionnels de la cybersécurité : quand la découverte et l'exploitation d'une vulnérabilité passent de plusieurs semaines à quelques heures, les fenêtres de correction dont disposent les organisations se referment brutalement.

Le rapport identifie également un enjeu miroir côté RSSI : la montée du Shadow AI. 45% des employés sont désormais des utilisateurs réguliers d'IA sur leurs appareils professionnels, contre 15% l'année précédente. Parmi eux, 67% utilisent des comptes non professionnels pour accéder à ces services. Le type de données le plus fréquemment soumis à des systèmes d'IA non autorisés est le code source, suivi des images et d'autres données structurées. Dans 3,2% des violations de politique de DLP observées, ce sont des documents techniques et des travaux de recherche qui ont été téléversés vers des IA non maîtrisées.

Cette dynamique interne représente un risque de fuite de propriété intellectuelle qui n'est ni un fantasme ni une hypothèse : il est mesuré, et il croît fortement.

Focus sur la zone EMEA

Le DBIR isole les données de la région EMEA (Europe, Moyen-Orient, Afrique), qui inclut la France et son environnement de contribution européen. Les indicateurs y sont particulièrement marqués.

L'exploitation de vulnérabilités atteint 42 % des vecteurs d'accès initial en EMEA, contre 31 % dans le corpus global. C'est le taux le plus élevé après l'Asie-Pacifique (47 %) et devant l'Amérique du Nord (30 %). Concrètement, dans la région où opèrent les organisations françaises, plus de quatre attaques sur dix passent désormais par l'exploitation d'une faille logicielle.

L'implication d'un tiers dans les violations concerne 69 % des cas en EMEA, contre 48 % dans le monde. C'est le taux le plus élevé de toutes les régions étudiées. Il traduit à la fois la maturité des dispositifs de détection en Europe (qui permet d'identifier plus précisément la chaîne d'attaque) et la réalité d'une économie où les prestataires TIC (ICT : third-party service provider) concentrent des risques structurels, ce que le règlement DORA a précisément cherché à encadrer pour le secteur financier.

Enfin, l'élément humain reste central : 71 % des violations en EMEA impliquent un facteur humain, contre 62 % dans le monde. Ingénierie sociale, phishing, mauvaise configuration, erreur d'expédition : le socle des vulnérabilités humaines reste puissant, et il s'ajoute désormais aux vulnérabilités techniques dont la remédiation dérape.

Les implications concrètes pour les RSSI

La lecture combinée de ces indicateurs oriente vers plusieurs axes de travail. Aucun n'est révolutionnaire ; tous demandent de la constance et une révision des priorités.

Repenser la gestion des vulnérabilités comme une discipline continue plutôt que comme un processus ponctuel. Le déficit de remédiation observé ne provient pas d'un manque de moyens techniques mais d'une inadéquation entre le rythme d'apparition des vulnérabilités et la cadence des cycles de patch traditionnels. Les organisations qui tiennent leur MTTR (Mean Time To Remediate) sur les vulnérabilités critiques sont celles qui ont industrialisé la priorisation en combinant CVSS, EPSS et catalogue KEV. Pour les organisations les plus mûres, la question de l'automatisation de la remédiation sur les périmètres bien maîtrisés commence à se poser sérieusement.

Intégrer la sécurité de l'IA dans les politiques d'entreprise plutôt que la traiter comme un sujet secondaire. La croissance de 15 % à 45 % en un an du nombre d'utilisateurs réguliers d'IA sur postes professionnels ne peut plus être ignorée. Trois axes se dégagent : cartographier les usages réels (y compris ceux qui ne sont pas déclarés), établir une politique claire distinguant les usages autorisés des usages non autorisés, et déployer les contrôles techniques permettant de détecter et de contenir les fuites de données vers des services d'IA externes.

Reconsidérer la posture face aux tiers. Avec 48 % des violations mondiales impliquant un tiers, et 69 % en EMEA, la question du risque fournisseur n'est plus un chapitre secondaire de la gestion des risques. Elle en devient une composante centrale. Pour les entités soumises à DORA, ce chantier est explicitement cadré. Pour les autres, il devient une question de bon sens opérationnel : inventaire des dépendances TIC, exigences contractuelles de sécurité, capacité à obtenir des indicateurs de posture cyber de la part de ses prestataires critiques.

Sortir du tout-email dans la sensibilisation : les SMS et appels frauduleux piègent plus efficacement. Le rapport documente que les taux de clic sur des attaques d'ingénierie sociale via voix ou SMS sont 40 % supérieurs à ceux observés sur les emails. Le "pretexting", cette technique d'ingénierie sociale qui déroule un scénario de confiance préalable, atteint 6 % des vecteurs d'accès initial. Les campagnes de sensibilisation calibrées exclusivement sur le phishing par email couvrent une part de plus en plus faible de la surface d'attaque réelle.

Ce que ces chiffres ne disent pas

Une précaution s'impose dans la lecture de ce type de rapport. Le DBIR analyse les violations dont les données sont partagées par une centaine de contributeurs — équipes de réponse à incident, cabinets forensiques, assureurs cyber, forces de l'ordre. Il ne prétend pas à l'exhaustivité et n'a pas vocation à extrapoler à l'ensemble du tissu économique mondial. Les tendances qu'il documente sont robustes, mais les valeurs absolues doivent être lues comme des indicateurs de tendance, non comme des vérités universelles.

Par ailleurs, la rupture observée cette année ne signifie pas que les identifiants volés ne sont plus un vecteur d'attaque significatif. Ils restent la deuxième porte d'entrée, à 13 % du total. Cette rupture signifie également que la dynamique s'est déplacée, et que les organisations qui ont investi massivement dans la protection des identifiants (MFA généralisée, gestion des comptes à privilèges, détection des anomalies d'accès) doivent maintenant réinvestir une partie de leur attention et de leurs ressources dans la correction des vulnérabilités logicielles.

La cybersécurité n'a jamais fonctionné en silos étanches. Le DBIR 2026 rappelle qu'elle fonctionne encore moins ainsi en 2026 qu'il y a cinq ans, et qu'une posture solide se construit désormais sur trois piliers d'égale importance :

  1. la gestion continue des vulnérabilités
  2. la maîtrise du risque humain (y compris dans son extension IA générative)
  3. et la vigilance sur la chaîne des tiers.

C'est un programme exigeant, mais c'est aussi, pour les organisations qui l'assument, la meilleure protection contre l'accélération à venir.