Mandiant : les attaquants exploitent les vulnérabilités cloud en moyenne 7 jours avant que les correctifs n'existent
Le rapport M-Trends 2026 de Mandiant, fondé sur 500 000 heures de réponse à incident, révèle que le délai moyen d'exploitation des vulnérabilités atteint moins 7 jours. Les outils de fichiers hébergés dans le cloud reposent sur une infrastructure compromise avant même qu'un correctif soit disponible.
VaultTools · 25 mars 2026
Photo sur Unsplash
Table des matières
- Ce que le rapport révèle
- L’exploitation avant les correctifs : le constat des moins 7 jours
- 22 secondes : la fenêtre qui n’existe plus
- Vol de documents assisté par IA en opérations réelles
- Ce que cela signifie pour les outils de fichiers en ligne
- Sources
Ce Que Le Rapport Révèle
Le 24 mars 2026, Mandiant a publié M-Trends 2026, son analyse annuelle du paysage mondial des menaces, construite à partir de plus de 500 000 heures d’investigations de réponse à incident menées tout au long de 2025. Le rapport couvre la vitesse des attaques, les chronologies d’exploitation des vulnérabilités, les schémas de compromission spécifiques au cloud et le recours croissant à l’IA par les acteurs de la menace.
Le constat central pour les organisations qui s’appuient sur l’infrastructure cloud est sans ambiguïté : le modèle traditionnel consistant à corriger les vulnérabilités pour prévenir leur exploitation n’est plus viable aux vitesses d’attaque actuelles.
L’exploitation Avant Les Correctifs : Le Constat Des Moins 7 Jours
Le rapport suit le délai moyen d’exploitation (Mean Time to Exploit, TTE), c’est-à-dire l’écart moyen entre la divulgation publique d’une vulnérabilité et la première exploitation observée dans la nature. La tendance est sans équivoque.
En 2018, le TTE moyen était de 63 jours, laissant aux défenseurs près de deux mois pour évaluer et appliquer les correctifs après la divulgation d’une vulnérabilité. En 2024, ce chiffre s’était effondré à moins 1 jour, signifiant que l’exploitation se produisait déjà le jour précédant la divulgation publique. En 2025, le chiffre a atteint moins 7 jours.
Un TTE négatif signifie que les adversaires compromettent systématiquement des systèmes via des vulnérabilités qui n’ont pas encore été divulguées publiquement, et encore moins corrigées. Les organisations qui s’enorgueillissent de cycles de correction rapides se protègent contre un problème que les attaquants ont résolu une semaine auparavant. Les exploits sont restés le vecteur d’infection initiale dominant dans les données de Mandiant pour la sixième année consécutive, représentant 32 % des intrusions étudiées en 2025.
22 Secondes : La Fenêtre Qui N’existe Plus
Un deuxième constat du rapport porte sur ce qui se passe après l’obtention d’un accès initial. En 2022, le délai médian entre l’obtention d’un accès initial par un attaquant et la transmission de cet accès à un acteur secondaire était de plus de huit heures. En 2025, cette médiane est tombée à 22 secondes.
Cet effondrement va au-delà de sa valeur choc. En 2022, un défenseur qui détectait une activité suspecte dans les minutes suivant un accès initial avait des chances réalistes de stopper l’intrusion avant que des acteurs secondaires ne puissent agir. À 22 secondes, cette fenêtre est effectivement nulle. Le temps qu’une alerte se déclenche et qu’un humain l’examine, l’accès a déjà été transmis, et un deuxième groupe, souvent des spécialistes du vol de données ou du déploiement de rançongiciels, est déjà actif dans l’environnement.
Mandiant attribue cela à une coordination opérationnelle étroite entre les courtiers d’accès initiaux et les groupes de menaces en aval, notant que dans certains cas observés, des maliciels ont été déployés directement pour le compte de groupes secondaires au moment de la compromission.
Vol De Documents Assisté Par IA En Opérations Réelles
Le rapport identifie une nouvelle famille de maliciels, désignée PROMPTSTEAL et attribuée au groupe russe sponsorisé par l’État APT28, comme le premier outil confirmé d’origine étatique à interroger des grands modèles de langage pendant son exécution dans le but de voler des documents. Le maliciel a été observé dans des opérations ciblant l’Ukraine.
Une famille distincte, PROMPTFLUX, réécrit son propre code source VBScript chaque heure en interrogeant l’API Gemini, une capacité conçue pour contourner la détection basée sur les signatures.
L’évaluation de Mandiant est que 2025 n’a pas été l’année où l’IA a directement causé des violations majeures. Ce que le rapport documente en revanche, c’est l’intégration de l’IA dans les chaînes d’outils d’attaque pour gérer des tâches qui nécessitaient auparavant des opérateurs humains : adaptation à la détection, identification de documents de valeur et accélération de la phase post-compromission.
Le délai médian mondial de séjour, c’est-à-dire la période entre l’intrusion initiale et la détection, est passé à 14 jours en 2025, contre 11 jours en 2024. Dans les cas d’espionnage et les opérations impliquant des travailleurs informatiques nord-coréens, la médiane a atteint 122 jours.
Ce Que Cela Signifie Pour Les Outils De Fichiers En Ligne
Les données M-Trends ont une implication structurelle directe pour tout service qui traite des fichiers dans le cloud.
Lorsqu’un utilisateur téléverse un document vers un convertisseur en ligne, un outil PDF, un éditeur d’images ou un flux de travail assisté par IA, ce fichier est traité sur une infrastructure cloud. Cette infrastructure fait tourner des logiciels. En 2025, la vulnérabilité moyenne dans ces logiciels était exploitée sept jours avant qu’un correctif n’existe. La correction rapide, la surveillance de sécurité et la réponse à incident opèrent toutes en aval de ce délai de sept jours. Aucun cycle de correction ne traite une vulnérabilité qui n’a pas encore été divulguée.
La seule réponse architecturale qui supprime cette surface d’attaque consiste à déplacer entièrement le traitement hors du cloud. Un fichier traité dans le navigateur via WebAssembly ne touche jamais un serveur distant. Il n’y a aucune infrastructure à compromettre, aucune chronologie de vulnérabilité contre laquelle courir, et aucune fenêtre de 22 secondes dans laquelle un attaquant peut passer de l’accès initial au vol de données. Le fichier est traité localement et le résultat reste sur l’appareil. Les conclusions de M-Trends formulent l’argument du traitement local en termes de réponse à incident : le risque n’est pas théorique, il se mesure en jours négatifs.
Sources
- M-Trends 2026: Data, Insights, and Strategies From the Frontlines (Google Cloud Blog)
- Attackers are handing off access in 22 seconds, Mandiant finds (Help Net Security)
- Twenty-Two Seconds to Hand-Off: Inside Mandiant’s M-Trends 2026 Findings (Complex Discovery)
- M-Trends 2026 Report (Google Cloud)
- Mandiant M-Trends 2026 Report: Threat Actors Using AI in Attacks (National Law Review)
- M-Trends 2026: Attackers Split Between Speed and Stealth (Cybersecurity Asia)