Alors que nous terminons l’année 2024, le paysage de la cybersécurité a connu une augmentation significative du volume et de la complexité des vulnérabilités informatiques. Plus de 38 000 vulnérabilités ont été signalées cette année, soit une forte augmentation par rapport aux 29 000 de 2023 et aux 25 000 de 2022. Cette augmentation n’est pas seulement une statistique, mais un signal : les cybercriminels deviennent plus rapides, plus intelligents et plus déterminés.
La crise qui a touché la NVD (National Vulnerability Database) et l’écosystème CVE au sens large a aggravé le problème. Pour la première fois, les vulnérabilités se sont accumulées plus vite qu’elles n’ont pu être analysées, créant un arriéré de 20 000 entrées et laissant les organisations dans l’ignorance. À l’approche de 2025, cet arriéré et la croissance inexorable des vulnérabilités signifient une chose : les entreprises doivent agir maintenant pour se préparer à ce qui les attend.
Récapitulatif : le paysage des cyber-vulnérabilités en 2024
L’année 2024 a mis en lumière des défis structurels majeurs dans la manière dont les vulnérabilités sont identifiées, suivies et hiérarchisées. Le Common Vulnerability Enumeration (CVE), un système conceptualisé en 1999 pour normaliser et documenter les failles de sécurité, a été dépassé en 2024.
Créé à l’origine pour numéroter et identifier de manière unique les vulnérabilités, maintenir la neutralité et l’ouverture et servir de source unique et fiable, le système CVE est aujourd’hui confronté à une pression croissante. Avec plus de 38 000 nouveaux CVE attendus cette année, le processus a cédé sous son poids. Les organisations ayant le statut CNA (CVE Numbering Authority) sont à l’origine de cette augmentation rapide, soumettant des vulnérabilités à un rythme sans précédent, parfois même en téléchargeant en masse des fichiers de suivi des bogues entiers.
Résultat ? Le NVD a pris un retard considérable. En novembre 2024, le NIST a officiellement reconnu qu’il ne parviendrait pas à rattraper son retard avant la fin de l’exercice. Pour la communauté de la cybersécurité, cela soulève des questions difficiles sur la fiabilité et la rapidité des données sur les vulnérabilités à l’avenir.
Pourquoi les organisations devraient-elles commencer à se préparer dès maintenant aux vulnérabilités de 2025 ?
Plusieurs vulnérabilités majeures ont marqué l’année et ont souligné l’importance d’une mise à jour rapide des correctifs et d’une défense proactive :
-
- Exécution de code à distance PHP (CVE-2024-4577) : Exploitée par des groupes de ransomware comme TellYouThePass, cette faille a compromis plus de 1 000 serveurs exposés publiquement, entraînant un cryptage de fichiers et des perturbations généralisées.
- Contournement de l’authentification TeamCity (CVE-2024-27198) : plus de 1 400 instances ont été compromises, permettant la création d’utilisateurs non autorisés et l’accès à des environnements de développement sensibles.
- Usurpation de Windows NTLM (CVE-2024-43451) : une vulnérabilité à faible interaction activement exploitée pour voler les informations d’identification des utilisateurs et obtenir un accès non autorisé.
- Injection de commande sécurisée Ivanti Connect (CVE-2024-21887) : Exploitée sur 1 700 appareils dans le monde, cette vulnérabilité a permis aux attaquants de pénétrer dans les organisations et de se déplacer latéralement.
- Exécution de code à distance PAN-OS (CVE-2024-3400) : une faille grave qui permettait des shells inversés et des mouvements latéraux sur des réseaux critiques.
Ces incidents ont entraîné des pertes financières massives, une atteinte à la réputation et une érosion de la confiance. Avec plus de 70 vulnérabilités critiques exploitées rien qu’en 2024 et le coût moyen d’une violation de données aux États-Unis de 9 millions de dollars, les enjeux sont clairs : attendre n’est plus une option.
À quoi s’attendre : les principales prévisions en matière de vulnérabilités informatiques pour 2025
Les cybercriminels évoluent et utilisent des tactiques avancées comme l’intelligence artificielle (IA) et l’apprentissage automatique (ML) pour automatiser et affiner leurs attaques. Cependant, les grandes tendances restent les mêmes :
-
- Les vulnérabilités zero-day dans les logiciels les plus répandus
resteront une priorité pour les attaquants. Les systèmes d’exploitation, les logiciels d’entreprise et les navigateurs Web continueront d’être ciblés, ce qui permettra aux pirates de pénétrer dans les systèmes avant que les correctifs ne soient disponibles. - Attaques de la chaîne d’approvisionnement
Les vulnérabilités de la chaîne d’approvisionnement constituent une menace croissante. L’incident zx utils en 2024, où un attaquant a inséré une porte dérobée dans une bibliothèque de confiance, a démontré les risques catastrophiques des compromissions par des tiers. Attendez-vous à des attaques similaires ciblant les mises à jour et composants de logiciels largement utilisés. - Appareils IoT et IIoT
Les appareils IoT mal sécurisés sont de plus en plus utilisés comme armes pour les services DDoS à louer, comme le montre la résurgence du botnet Mirai dirigé par le groupe « Matrix ». L’essor de l’IoT industriel (IIoT) ne fait qu’accroître ce risque. - Les ransomwares exploitent les vulnérabilités connues
Les groupes de ransomwares comme Lockbit continuent d’exploiter les vulnérabilités non corrigées. Par exemple, Windows CLFS (CVE-2024-49138) reste une cible privilégiée pour les campagnes de ransomware, ce qui reflète la faible adoption des correctifs dans les entreprises. - Exploits mobiles et logiciels espions
Les systèmes d’exploitation et applications mobiles demeurent des cibles lucratives. Des outils comme Pegasus resteront les principales solutions de lutte contre les logiciels espions, tandis que la rétro-ingénierie des vulnérabilités alimentera les campagnes de fraude. - Risques liés à l’IA et à l’apprentissage automatique
Bien que les vulnérabilités de l’IA, telles que l’empoisonnement des données et les attaques adverses, fassent la une des journaux, nous prévoyons un nombre limité d’incidents réels en 2025. - Applications de transfert de fichiers
Les solutions de transfert de fichiers resteront un point central, en particulier après la faille zero-day de transfert de fichiers Cleo (CVE-2024-50623), exploitée pour le vol de données et le mouvement latéral par des gangs de ransomware. - Les
pare-feu, les routeurs et les appareils VPN restent des cibles de choix. Des fournisseurs comme Fortinet, Cisco et Palo Alto ont constaté l’exploitation d’importantes vulnérabilités en 2024, et cette tendance va sans aucun doute se poursuivre.
- Les vulnérabilités zero-day dans les logiciels les plus répandus
Stratégies d’atténuation des vulnérabilités en 2025
Les organisations doivent adopter une approche proactive et fondée sur les risques pour gérer les vulnérabilités. Voici comment procéder :
-
- Créez et maintenez un inventaire des actifs . Cataloguez tout le matériel, les logiciels, les appareils IoT et les actifs cloud pour identifier les systèmes critiques et hiérarchiser les mises à jour de sécurité.
- Mettre en œuvre des évaluations continues des vulnérabilités . Utiliser des outils automatisés pour une analyse et une numérisation continues. Associez-les à des analyses approfondies périodiques pour une couverture complète.
- Priorisez en fonction du risque . Combinez les scores CVSS, la disponibilité des exploits et l’impact sur l’entreprise pour hiérarchiser efficacement les efforts de correction.
- Optimisez la gestion des correctifs . Automatisez le processus de mise à jour des correctifs et assurez des mises à jour en temps opportun pour minimiser l’exposition.
- Réduisez la surface d’attaque . Appliquez le principe du moindre privilège, fermez les ports inutilisés, désactivez les services inutiles et supprimez les logiciels redondants.
- Améliorez la sécurité des applications . Intégrez la sécurité dans les flux de travail de développement (DevSecOps), effectuez des analyses statiques/dynamiques et effectuez des révisions de code régulières.
- Renforcez la chaîne d’approvisionnement des logiciels . Tenez les fournisseurs responsables des pratiques de sécurité et incluez des clauses d’atténuation des risques dans les contrats.
- Engagez des hackers éthiques . Tirez parti des tests de pénétration, des exercices d’équipe rouge et des programmes de chasse aux bugs pour identifier et atténuer les faiblesses avant que les attaquants ne puissent les exploiter.
- Augmentez la complexité des attaques . Rendez les systèmes plus difficiles à pirater en isolant l’infrastructure, en segmentant les réseaux, en chiffrant les données et en déployant des systèmes trompeurs pour ralentir les attaquants et augmenter les chances de détection.
À mesure que les vulnérabilités se multiplient et se complexifient, la préparation en matière de cybersécurité doit évoluer en conséquence. En adoptant une approche proactive basée sur les risques (par une évaluation continue, une hiérarchisation et une réduction de la surface d’attaque), les organisations peuvent réduire efficacement leur exposition en 2025.
Dans un contexte de menaces qui ne montre aucun signe de ralentissement, le message est simple : agissez maintenant, sinon vous risquez de prendre du retard.
À propos d’Action1
Action1 réinvente la gestion des correctifs avec une plateforme cloud native, hautement sécurisée et évolutive à l’infini, configurable en 5 minutes. Elle fonctionne parfaitement et est toujours gratuite pour les 100 premiers points de terminaison, sans aucune limite fonctionnelle. Dotée d’un système d’exploitation unifié et de correctifs tiers avec distribution de correctifs peer-to-peer et évaluations de vulnérabilité en temps réel sans VPN, elle permet une gestion autonome des points de terminaison qui prévient les risques de ransomware et de sécurité, tout en éliminant les tâches de routine coûteuses. Action1, à laquelle font confiance des milliers d’entreprises gérant des millions de points de terminaison dans le monde, est certifiée SOC 2 et ISO 27001.
La société est dirigée par les vétérans du secteur Alex Vovk et Mike Walters, qui ont fondé Netwrix, qui est devenue une entreprise de cybersécurité de plusieurs milliards de dollars, leader du secteur.