Tout savoir sur Zero-day : ce qu'elles sont, comment elles fonctionnent et comment s'en protéger

Aperçu de la situation

En 2025, 90 zero-day ont été exploitées dans la nature, dont 48 % visaient les technologies d'entreprise — un record historique dû aux attaques contre les appareils périphériques et les équipements de sécurité (GTIG 2025).
Le délai entre l'exploitation d'une faille et l'application d'un correctif est critique. Les pirates exploitent les vulnérabilités en cinq jours en moyenne, mais les entreprises mettent entre 60 et 150 jours pour déployer les correctifs.
Les fournisseurs de services de surveillance commerciale dépassent désormais les groupes soutenus par des États en tant que principale source zero-day attribués, étant à l'origine de 18 des 42 exploits attribués en 2025.
La détection basée sur les signatures ne permet pas de contrer zero-day ». L'analyse comportementale, la détection réseau et zero trust » constituent les fondements d'une défense efficace.
L'IA redéfinit les deux aspects de l'équation : elle accélère la découverte des failles pour les pirates, tout en permettant une détection comportementale qui ne repose pas sur des indicateurs connus.

En 2025, le Threat Intelligence Group de Google a recensé 90 zero-day exploitées dans la nature, les technologies d'entreprise atteignant un record historique de 48 % de l'ensemble des cibles. Les terminaux périphériques, les appliances de sécurité et les infrastructures réseau ont été les plus touchés par ces attaques que les défenses basées sur les signatures n'ont tout simplement pas su anticiper.

Pour les équipes de sécurité, zero-day constituent le point faible par excellence. Il est impossible de créer une signature de détection pour quelque chose dont personne ne soupçonne l'existence. Et alors que le délai moyen nécessaire pour exploiter une vulnérabilité divulguée est tombé à cinq jours — alors que les entreprises mettent encore entre 60 et 150 jours pour appliquer les correctifs —, l'écart entre la rapidité des attaquants et la réactivité des défenseurs n'a jamais été aussi grand.

Ce guide explique en détail le fonctionnement zero-day , qui les achète et les vend, ce que les attaques récentes révèlent sur l'évolution du paysage des menaces, et comment mettre en place des défenses qui ne reposent pas sur la connaissance préalable de la menace.

Qu'est-ce qu'une vulnérabilité zero-day ?

Une zero-day est une faille de sécurité logicielle dont le fournisseur n'a pas connaissance et pour laquelle il n'existe aucun correctif, ce qui ne laisse aux défenseurs aucun délai d'alerte avant que les attaquants ne puissent l'exploiter. Le terme «zero-day » fait référence au fait que l'éditeur du logiciel n'a eu aucun délai pour corriger le problème lorsque l'exploitation a commencé. L'Institut national des normes et des technologies (NIST) définit officiellement une zero-day comme une attaque qui exploite une vulnérabilité jusque-là inconnue.

Pour bien comprendre zero-day , il faut distinguer trois concepts liés mais distincts. La zero-day désigne la faille elle-même, c'est-à-dire un bug inconnu présent dans un logiciel, un matériel ou un micrologiciel. zero-day correspond à la technique ou au code utilisé par un pirate pour tirer parti de cette faille. Enfin, zero-day désigne l'incident réel qui résulte de l'utilisation de cet exploit contre une cible.

Cette distinction est importante, car une faille de sécurité peut exister pendant des années avant d'être découverte. Elle ne devient une zero-day que lorsqu'un pirate (ou un chercheur) l'identifie et l'exploite.

Terminologie clé

Zero-day : faille inconnue dans un logiciel, un matériel ou un micrologiciel qui crée une faille de sécurité.
Zero-day : code ou technique d'attaque qui exploite une faille inconnue pour obtenir un accès non autorisé ou exécuter des commandes. Découvrez-en davantage sur les exploits et leur utilisation dans les chaînes d'attaque.
Zero-day : incident au cours duquel un pirate informatique exploite une faille de sécurité contre un système ou une organisation cible.
Zero-day malware: Malware qui exploite une vulnérabilité jusque-là inconnue pour diffuser des charges utiles malveillantes, échappant ainsi aux antivirus classiques car aucune signature n'existe pour l'exploit ou la charge utile.

L'ampleur du problème est considérable. Le Threat Intelligence Group de Google a recensé 90 zero-day exploitées dans la nature en 2025, dont 48 % visaient des technologies d'entreprise. Pour la cinquième année consécutive, les exploits ont constitué le principal vecteur d'accès initial, à l'origine de 33 % de toutes les intrusions examinées par Mandiant.

Comment fonctionnent zero-day »

zero-day suit un cycle de vie qui génère plusieurs phases de risque pour les entreprises. Comprendre chacune de ces étapes aide les équipes de sécurité à déterminer à quels moments elles doivent mettre en place leurs défenses.

Le cycle de vie zero-day » se déroule en six étapes :

Introduction — Une erreur de codage ou un défaut de conception survient au cours du développement d'un logiciel.
Découverte — La vulnérabilité est détectée par des chercheurs en sécurité, cybercriminels ou des outils automatisés.
Exploitation — Si les pirates informatiques découvrent la faille en premier, ils développent et déploient un exploit avant que quiconque ne sache que cette faille existe.
Divulgation — La vulnérabilité est signalée au fournisseur (divulgation responsable) ou rendue publique.
Publication d'un correctif — Le fournisseur développe et publie une mise à jour de sécurité.
Mise en œuvre du correctif — Les entreprises testent et déploient le correctif dans l'ensemble de leurs environnements.

La fenêtre de vulnérabilité — c'est-à-dire la période qui s'écoule entre l'apparition d'une faille et le déploiement généralisé d'un correctif — dure en moyenne 312 jours. Pendant ce laps de temps, les pirates peuvent agir en toute liberté contre les systèmes non protégés.

Ce qui rend le contexte actuel particulièrement dangereux, c'est la réduction considérable du délai d'exploitation. Le délai moyen nécessaire pour exploiter une vulnérabilité divulguée est tombé à cinq jours en 2023, contre 63 jours en 2018-2019. Parallèlement, les entreprises mettent encore en moyenne entre 60 et 150 jours pour déployer des correctifs. Ce décalage crée un fossé dangereux : les attaquants agissent à la vitesse de la machine, tandis que les défenseurs avancent au rythme des comités.

Des processus de gestion des vulnérabilités bien conçus peuvent réduire cet écart, mais ils ne peuvent pas le combler totalement dans zero-day véritables zero-day pour lesquelles aucun correctif n'existe.

Le dilemme de la divulgation

La manière et le moment où les vulnérabilités sont divulguées constituent l'un des débats les plus importants en matière de cybersécurité. Google Project Zero applique un délai de divulgation standard de 90 jours, assorti d'un délai de grâce de 30 jours pour les correctifs complexes. Toutefois, pour les vulnérabilités faisant l'objet d'une exploitation active, l'équipe applique une politique plus stricte de sept jours, estimant que lorsque des pirates exploitent déjà une faille, attendre 90 jours expose les défenseurs à un risque inacceptable.

Zero Day Trend Zero Day (ZDI) et le CERT/CC appliquent leurs propres délais de divulgation. Le secteur s'est largement mis d'accord sur une approche à plusieurs niveaux : sept jours en cas d'exploitation active, et 90 jours avec possibilité de prolongation pour la divulgation standard. Malgré cela, le débat reste ouvert quant à savoir si ce délai de 90 jours n'est pas trop généreux alors que les délais d'exploitation ne cessent de se raccourcir.

Vulnérabilités « Zero-day « n-day »

Si zero-day font la une des journaux, les vulnérabilités « n-day » — c'est-à-dire des failles connues pour lesquelles des correctifs sont disponibles mais n'ont pas été déployés — causent en réalité des dégâts bien plus étendus. Comprendre cette distinction modifie la manière dont les organisations doivent hiérarchiser leurs mesures de défense.

Tableau : Principales différences entre les vulnérabilités « zero-day », « n-day » et « one-day ».

Caractéristique	Zero-day	J-N	D'une journée
Connaissance des fournisseurs	Inconnu du fournisseur	Connu et divulgué	Connu, communiqué dans les 24 heures
Disponibilité des correctifs	Il n'existe aucun correctif	Un correctif est disponible, mais il n'est pas encore largement déployé	Le correctif peut exister ou non
Difficulté de détection	Très élevé — aucune signature disponible	Modéré — des signatures existent, mais la mise en œuvre tarde à se concrétiser	Élevé — délai de réponse très court
Attaquant type	États-nations, prestataires de services de surveillance commerciale, groupes sophistiqués	Un large éventail, allant des groupes criminels aux agresseurs opportunistes	Des acteurs malveillants sophistiqués surveillant les flux d'informations
Fréquence relative	60 à 100 par an (suivi GTIG)	Des milliers de personnes sont victimes d'exploitation chaque année	Sous-ensemble de n jours, exploité dans les 24 heures suivant la divulgation

Les conséquences concrètes sont évidentes. Le délai moyen de cinq jours nécessaire pour exploiter une faille dépasse largement le cycle moyen de correction, qui s'étend de 60 à 150 jours. Chaque vulnérabilité divulguée donne immédiatement lieu à une course entre les défenseurs, qui déploient des correctifs, et les attaquants, qui s'empressent d'exploiter la faille. Pour la plupart des organisations, ce sont les attaquants qui remportent cette course.

Cela signifie que même après zero-day et zero-day d'une zero-day , celle-ci se transforme en une vulnérabilité « n-day » qui reste exploitable dans la plupart des environnements pendant des semaines, voire des mois. Les stratégies de défense doivent donc tenir compte à la fois de la zero-day (pas de signature, pas de correctif) et de la phase « n-day » (le correctif existe mais n'est pas encore déployé).

Types de zero-day »

Les cibles des zero-day ont radicalement changé. Selon l'analyse 2025 du GTIG, les technologies d'entreprise ont atteint un niveau record de 48 % de l'ensemble zero-day — une tendance qui a des implications importantes pour la stratégie de sécurité des réseaux.

Sur les 90 vulnérabilités « zero-day » recensées en 2025, 47 visaient des plateformes destinées aux utilisateurs finaux (navigateurs, systèmes d'exploitation mobiles, systèmes d'exploitation pour ordinateurs de bureau), tandis que 43 visaient des technologies d'entreprise. Dans la catégorie des technologies d'entreprise, les produits de sécurité et de réseau représentaient 21 des 43 vulnérabilités « zero-day » ciblant les entreprises, et au moins 14 visaient des périphériques de périphérie, notamment des routeurs, des commutateurs et des appliances de sécurité.

Tableau : Fournisseurs les plus ciblés par zero-day » en 2025 (GTIG).

Fournisseur	Zero-days (2025)	Cibles principales
Microsoft	25	Windows, Office, Exchange
Google	11	Chrome, Android
Apple	8	iOS, Safari, macOS
Cisco	4	SD-WAN, infrastructure réseau

Cette évolution revêt une importance particulière pour les responsables de la sécurité, car les périphériques en périphérie et les appliances de sécurité ne bénéficient généralement pas d'une couverture EDR ( endpoint et réponseendpoint ). Les outils traditionnels endpoint ne sont pas en mesure de surveiller le micrologiciel ou les systèmes d'exploitation embarqués qui équipent les routeurs, les pare-feu et les contrôleurs SD-WAN. Lorsque ces appareils sont compromis par zero-day , l'attaque peut passer inaperçue, à moins que les entreprises ne disposent d'une visibilité au niveau du réseau sur les schémas comportementaux qui suivent l'exploitation.

L'économie du marché Zero-day »

Il existe un écosystème de marché florissant autour zero-day , dont les prix reflètent la valeur extraordinaire que les pirates attribuent aux vulnérabilités inconnues. Comprendre ce marché aide les organisations à évaluer l'ampleur des menaces auxquelles elles sont confrontées.

Les catégories d'acheteurs se répartissent en quatre segments :

Les gouvernements et les services de renseignement achètent des vulnérabilités « zero-day » pour mener des opérations cyberoffensives et des activités de surveillance
Les fournisseurs de solutions de surveillance commerciale (CSV) développent et vendent des logiciels espions intégrant zero-day à des clients gouvernementaux
Les organisations criminelles achètent des exploits sur les marchés du dark web à des fins lucratives
Les programmes de prime aux bogues offrent des alternatives légales, même si les récompenses ne représentent généralement qu'une fraction des prix pratiqués par les courtiers en exploits

Tableau : Prix zero-day » signalés, par type de cible (2024-2026).

Cible	Fourchette de prix	Type d'acheteur	Source
Chaîne complète sur mobile, sans clic	Jusqu'à 9 millions de dollars et plus	Gouvernements, organisations du secteur associatif	TechCrunch, 2024
Vulnérabilité « zero-day » sur iPhone	Jusqu'à 2 millions de dollars (Zerodium)	Gouvernements, organisations du secteur associatif	TechCrunch, 2024
Vulnérabilité « zero-day » de Windows	220 000 $ (annonce sur le dark web)	Groupes criminels	TechSpot, 2026
RCE dans Chrome	250 000 $ – 500 000 $	Gouvernements, courtiers	Rapports sectoriels

Les prix augmentent à mesure que les fournisseurs renforcent la sécurité de leurs produits, ce qui rend les nouvelles vulnérabilités « zero-day » plus difficiles à détecter et leur confère une plus grande valeur lorsqu'elles sont découvertes.

Une évolution majeure s'est produite en 2025 : pour la première fois, les fournisseurs de solutions de surveillance commerciales ont dépassé les groupes soutenus par des États en termes zero-day attribués. Les fournisseurs de solutions de surveillance commerciales ont été identifiés comme responsables de 18 des 42 exploits attribués, contre 12 pour les groupes soutenus par des États. Cela signifie que le marché des logiciels espions commerciaux — c'est-à-dire les entreprises qui vendent des outils de surveillance à des clients gouvernementaux dans le monde entier — est désormais à l'origine zero-day plus grand nombre zero-day que les opérations de piratage traditionnelles menées par des États-nations.

Zero-day » dans la pratique

Les récentes tendances zero-day révèlent une tendance claire : les attaquants ciblent de plus en plus les composants d'infrastructure sur lesquels s'appuient les défenseurs. Ces exemples pour la période 2025-2026 illustrent des schémas d'attaque bien distincts que les organisations devraient étudier.

Cisco Catalyst SD-WAN (CVE-2026-20127) — Une faille critique permettant de contourner l'authentification sur la plateforme SD-WAN de Cisco a été exploitée par l'acteur malveillant UAT-8616 depuis au moins 2023. Les attaquants ont compromis des contrôleurs et ajouté des nœuds malveillants aux réseaux ciblés. Les contrôleurs SD-WAN n'étant pas couverts par les solutions EDR traditionnelles, cette exploitation a pu perdurer pendant des années avant d'être découverte.

Dell RecoverPoint (CVE-2026-22769) — Mandiant a découvert cette zero-day une enquête sur des systèmes Dell RecoverPoint compromis qui communiquaient avec des serveurs de commande et de contrôle associés aux portes dérobées BRICKSTORM et GRIMBOLT. Liée à cybercriminels alignés sur la Chine, cette exploitation était en cours depuis mi-2024 — démontrant ainsi comment zero-day peuvent persister sans être détectées pendant plus d'un an en l'absence d'une surveillance adéquate du réseau.

Mise à jour de février 2026 de Microsoft — Microsoft a corrigé environ 60 vulnérabilités au cours d'un seul cycle de mise à jour, dont six failles « zero-day » activement exploitées. Le nombre de failles « zero-day » simultanées provenant d'un seul éditeur souligne la nécessité de mettre en place des processus de triage rigoureux lorsque plusieurs correctifs critiques sont publiés en même temps.

Contournement de l'authentification unique (SSO) de FortiCloud (CVE-2026-24858) — Une faille critique permettant de contourner l'authentification dans le produit cloud d'un grand fournisseur de solutions de sécurité a été activement exploitée avant sa divulgation. Ce cas est particulièrement instructif car il visait l'infrastructure de sécurité elle-même, compromettant ainsi un outil sur lequel les organisations comptaient pour assurer leur défense.

Tableau : Principales zero-day et correctifs au premier trimestre 2026.

Date	CVE	Cible	Impact	Source
janvier 2026	CVE-2026-20127	Cisco Catalyst SD-WAN	Contournement de l'authentification, compromission du réseau	SecurityWeek
février 2026	CVE-2026-22769	Dell RecoverPoint	Porte dérobée C2 (BRICKSTORM/GRIMBOLT)	Help Net Security
février 2026	6 vulnérabilités CVE	Microsoft Windows/Office	Plusieurs vecteurs d'exploitation	SecurityWeek
Q1 2026	CVE-2026-24858	FortiCloud SSO	Contournement de l'authentification	Lecture sombre

La leçon à tirer de ces cas est claire : les appareils périphériques et les équipements de sécurité ne bénéficient pas endpoint , et les entreprises ont besoin de plans d'intervention en cas d'incident qui tiennent compte de la possibilité que leurs propres outils de sécurité soient compromis. Les données du GTIG montrent que le nombre zero-day s'est stabilisé à des niveaux élevés — 100 en 2023, 78 en 2024, 90 en 2025 —, ce qui signifie que les entreprises sont confrontées à plusieurs nouvelles zero-day chaque mois.

Le double rôle de l'IA dans zero-day et la défense contre les vulnérabilités « zero-day »

L'IA transforme en profondeur les deux facettes de zero-day ». Côté attaque, l'IA accélère la découverte des vulnérabilités et le développement d'exploits. Côté défense, l'IA permet de mettre en place des méthodes de détection qui ne reposent pas sur une connaissance préalable de la menace. Le Threat Intelligence Group de Google estime que l'IA « va accélérer la course effrénée entre attaquants et défenseurs » jusqu'en 2026 et au-delà.

Attaque : exploitation accélérée par l'IA

Le fuzzing et l'analyse de code assistés par l'IA permettent de détecter des vulnérabilités à une échelle et à une vitesse que les chercheurs humains ne peuvent égaler. Les grands modèles linguistiques entraînés sur des bases de code peuvent identifier des bogues de corruption de mémoire, des failles logiques et des contournements d'authentification qu'il faudrait des semaines à des analystes humains pour détecter. Cela signifie que le nombre de vulnérabilités « zero-day » détectables augmente, même si les éditeurs améliorent leurs pratiques en matière de sécurité.

Les conséquences sont graves. À mesure que les outils d'IA gagnent en efficacité, il devient de plus en plus facile de découvrir des failles exploitables. cybercriminels , auparavant, ne disposaient pas des compétences techniques nécessaires pour repérer les failles « zero-day », peuvent désormais renforcer leurs capacités grâce à des outils de détection basés sur l'IA.

Défensive : détection comportementale sans signatures

Le principal défi de zero-day réside dans ce que certains chercheurs appellent le « cercle vicieux » de la cybersécurité : on ne peut pas créer de signature pour quelque chose dont on ignore l'existence. C'est précisément là que la détection des menaces par l'IA et l'analyse comportementale deviennent indispensables.

La détection des menaces basée sur l'IA identifie les schémas comportementaux qui suivent une exploitation — déplacement latéral, élévation de privilèges, communications de commande et de contrôle, préparation des données et exfiltration — quelle que soit la vulnérabilité ou l'exploit utilisé. En se concentrant sur ce que font les attaquants après avoir obtenu l'accès plutôt que sur la manière dont ils y parviennent, la détection comportementale offre une protection contre zero-day sans nécessiter de connaissance préalable de la faille spécifique.

Cette approche revêt une importance cruciale pour les technologies d'entreprise telles que les terminaux périphériques et les appliances de sécurité, qui ont constitué la majorité des zero-day d'attaques zero-day en 2025 et qui ne bénéficient généralement pas d'une protection endpoint.

Détection et protection contre zero-day

zero-day étant, par définition, inconnues, leur prévention nécessite des stratégies qui ne reposent pas sur une connaissance préalable de la menace en question. Les antivirus traditionnels et les outils basés sur les signatures ne peuvent pas détecter zero-day : ils ont besoin d'indicateurs connus pour fonctionner, et les vulnérabilités « zero-day » n'en fournissent aucun.

zero-day efficace contre les attaques « zero-day » repose sur plusieurs niveaux :

Mettez en place un système de détection des menaces comportementales pour identifier les schémas d'activité anormaux
Mettre en œuvre détection et réponse aux incidents pour une visibilité sur les appareils non gérés
Adopter zero trust » pour limiter les mouvements latéraux après l'accès initial
Donnez la priorité à l'application rapide des correctifs en vous référant au catalogue des vulnérabilités exploitées de la CISA
Surveillez les appareils périphériques et les équipements de sécurité grâce à des analyses au niveau du réseau
Mener une recherche proactive des menaces axée sur les indicateurs comportementaux
Segmenter les réseaux afin de limiter la portée d'une éventuelle compromission

Tableau : Comparaison des méthodes zero-day ».

Approche	Comment cela fonctionne-t-il ?	Points forts	Limitations
Analyse comportementale	Identifie les schémas anormaux dans le comportement des utilisateurs et des entités	Détecte les menaces inconnues sans recourir à des signatures	Nécessite un réglage initial ; risque de faux positifs
Analyse du trafic réseau	Surveille les flux réseau à la recherche de schémas de communication suspects	Couvre les appareils non gérés/périphériques ne disposant pas d'une solution EDR	Le trafic chiffré peut réduire la visibilité
Threat hunting	Les analystes recherchent de manière proactive les indicateurs de compromission	L'intuition humaine repère ce que l'automatisation laisse passer	Nécessite beaucoup de ressources et du personnel qualifié
Gestion des correctifs	Déploiement rapide des mises à jour de sécurité des éditeurs	Élimine les vulnérabilités connues	Inutile pendant zero-day , avant la publication d'un correctif
Zero trust	Part du principe qu'une intrusion a eu lieu, applique le principe du privilège minimal et la microsegmentation	Limite la portée des répercussions d'une éventuelle compromission	Impossible d'empêcher l'exploitation initiale

Pourquoi la détection basée sur les signatures échoue

La détection basée sur les signatures compare les activités entrantes à des modèles malveillants connus — hachages de fichiers, signatures réseau ou règles comportementales. Par définition, zero-day ne possèdent aucune signature connue. Cela signifie que les antivirus classiques, les systèmes de détection d'intrusion basiques et les détections SIEM basées sur des règles statiques sont inefficaces contre zero-day ».

L'analyse comportementale et la détection des anomalies adoptent une approche fondamentalement différente. Au lieu de se demander « avons-nous déjà rencontré cette menace ? », elles se demandent « cette activité correspond-elle aux schémas habituels ? ». Lorsqu'un périphérique compromis commence à communiquer avec un serveur externe inconnu à des heures inhabituelles, ou lorsqu'un compte de service accède soudainement à des ressources auxquelles il n'avait jamais eu recours auparavant, la détection comportementale signale l'anomalie — que l'on ait déjà rencontré ou non cette faille spécifique.

En 2025, la CISA a ajouté plus de 190 nouvelles entrées au catalogue des vulnérabilités connues exploitées, ce qui souligne le nombre d'exploits récemment découverts nécessitant une réaction rapide de la part des organisations.

Zero-day » et conformité

Les organisations doivent aligner leurs capacités zero-day sur les cadres réglementaires applicables à leur secteur. Ne pas être en mesure de démontrer la mise en place de contrôles adéquats pour la gestion de ces vulnérabilités peut entraîner des conséquences graves.

Tableau : Zero-day en fonction des cadres de cybersécurité.

Le cadre	Contrôles pertinents	Zero-day »
NIST CSF	ID.RA (Évaluation des risques), PR.IP-12 (Gestion des vulnérabilités), DE.CM-8 (Analyses de vulnérabilité), DE.AE-1 (Opérations réseau de base), RS.MI-3 (Atténuation des vulnérabilités)	Inventaire des actifs, définition d'un état de référence, détection des anomalies et procédures d'intervention en cas de vulnérabilités inconnues
MITRE ATT&CK	`T1190` (Exploitation d'une application accessible au public), `T1203` (Exploitation pour l'exécution par le client), `T1068` (Exploitation visant à obtenir des privilèges supérieurs)	Mise en correspondance entre la couverture de détection et les techniques d'exploitation utilisées dans zero-day
CISA BOD 22-01	Calendrier de mise à jour du catalogue KEV	agences gouvernementales corriger les entrées du catalogue dans les délais impartis ; le secteur privé devrait s'en inspirer comme bonne pratique
CIS Controls v8	Mesure 7 (Gestion des vulnérabilités), Mesure 13 (Surveillance du réseau), Mesure 16 (Sécurité des applications)	Gestion continue des vulnérabilités et détection au niveau du réseau des menaces inconnues

Le respect des exigences de conformité ne se limite pas à l'application de correctifs. Les organisations doivent démontrer qu'elles disposent de capacités de détection des menaces inconnues, et pas seulement des vulnérabilités connues. Les cadres de sécurité tels que le NIST CSF préconisent explicitement la surveillance de base du comportement du réseau (DE.AE-1) — une mesure de contrôle directement liée à zero-day ».

Approches modernes de zero-day »

Le secteur passe d'une prévention basée sur les signatures à une détection comportementale, fondée sur l'intelligence artificielle, qui constitue désormais le pilier de zero-day ». Cette évolution reflète la prise de conscience suivante : alors que 48 % des attaques « zero-day » visent les technologies d'entreprise — dont beaucoup ne disposent pas de endpoint —, la visibilité au niveau du réseau devient la principale couche de détection.

Les organisations qui mettent en place zero-day modernes zero-day s'appuient sur trois principes. Premièrement, partir du principe que le système a été compromis et concevoir la détection en fonction des comportements des attaquants qui suivent l'exploitation, et non de l'exploitation elle-même. Deuxièmement, garantir une visibilité sur l'ensemble de la surface d'attaque, y compris les périphériques en périphérie, cloud et les systèmes d'identité que endpoint traditionnels endpoint ne peuvent pas couvrir. Troisièmement, investir dans détection et réponse aux incidents qui analysent en temps réel les schémas de trafic et les anomalies comportementales.

À l'avenir, la loi européenne sur la cyber-résilience (qui entrera en vigueur en 2027) imposera de nouvelles obligations aux éditeurs de logiciels en matière de divulgation des vulnérabilités, ce qui pourrait raccourcir le délai entre la découverte d'une faille et sa divulgation au public — et réduire encore davantage le temps dont disposent les défenseurs pour réagir.

Vectra AI en matière de zero-day »

La solution Attack Signal Intelligence Vectra AI Attack Signal Intelligence les schémas cloud au niveau du réseau, des identités et cloud afin de détecter zero-day en cours. Plutôt que de s'appuyer sur des signatures pour les menaces connues, cette approche identifie les comportements des attaquants qui suivent l'exploitation — mouvement latéral, élévation de privilèges, communications de commande et de contrôle, et exfiltration de données — quelle que soit la méthode d'accès initiale. Cette philosophie du « compromis par défaut » correspond à la réalité selon laquelle les périphériques de périphérie et les appliances de sécurité — les principales zero-day des entreprises en 2025 — ne bénéficient généralement pas d'une couverture EDR, ce qui fait de l'analyse comportementale du réseau la couche de détection la plus efficace.

Conclusion

Zero-day restent le point faible le plus grave en matière de sécurité des entreprises. Avec 90 d'entre elles exploitées dans la nature en 2025, les fournisseurs de solutions de surveillance commerciale dépassant désormais les groupes étatiques en termes d'attribution, et les technologies d'entreprise absorbant près de la moitié de toutes zero-day , le paysage des menaces exige un changement radical de stratégie défensive.

Les données sont sans équivoque : les approches basées uniquement sur les signatures ne suffisent pas à protéger les organisations contre des menaces inédites. La fenêtre d'exploitation de cinq jours, le délai de 60 à 150 jours avant l'application des correctifs et l'importance croissante accordée aux périphériques en périphérie dépourvus endpoint mènent tous à la même conclusion. zero-day efficace zero-day nécessite une détection comportementale couvrant l'ensemble de la surface d'attaque, zero trust pour limiter l'ampleur des dégâts, et le constat que la compromission n'est pas une question de « si », mais de « quand ».

Les organisations qui fondent leur stratégie de sécurité sur l'identification des comportements des attaquants — mouvements latéraux, élévation de privilèges, commande et contrôle, et exfiltration — plutôt que sur la comparaison avec des signatures connues, se donnent les moyens de détecter zero-day , quelle que soit la vulnérabilité ou l'exploit spécifique en cause.

Découvrez comment Vectra AI les menaces qui contournent les contrôles de sécurité traditionnels.

Foire aux questions

Combien de temps zero-day une zero-day ?

La « fenêtre de vulnérabilité » — période comprise entre l'apparition d'une faille et le déploiement généralisé d'un correctif — s'étend en moyenne sur 312 jours, selon des études sur le cycle de vie. Toutefois, cette durée varie considérablement selon le stade. Une fois qu'une zero-day rendue publique, les éditeurs publient généralement un correctif dans un délai de sept à quatorze jours pour les vulnérabilités activement exploitées. Le véritable goulot d'étranglement réside dans l'adoption des correctifs : les entreprises mettent en moyenne entre 60 et 150 jours à déployer les mises à jour de sécurité dans l'ensemble de leurs environnements. Cela signifie que même après qu'une zero-day une vulnérabilité connue pour laquelle un correctif est disponible, la plupart des entreprises restent exposées pendant des semaines, voire des mois. Pendant la phase de pré-divulgation, zero-day peut persister pendant des années si personne ne détecte l'activité malveillante — comme l'illustre le cas de Dell RecoverPoint, où l'exploitation s'est poursuivie sans être détectée de mi-2024 à début 2026.

zero-day » sont-elles courantes ?

Le groupe Threat Intelligence de Google a recensé 90 zero-day exploitées en milieu réel en 2025, ce qui s'inscrit dans une fourchette observée sur quatre ans comprise entre 60 et 100 par an (100 en 2023, 78 en 2024). Si chaque zero-day en soi un atout rare et de grande valeur, leur volume cumulé signifie que les entreprises sont confrontées à zero-day multiples nouvelles zero-day chaque mois. La stabilisation apparente autour de 60 à 100 vulnérabilités « zero-day » par an représente probablement un seuil plancher plutôt qu'un plafond, car de nombreuses zero-day ne sont jamais découvertes ou attribuées publiquement. Les organismes de suivi tels que GTIG, Mandiant et ZDI peuvent rapporter des chiffres différents en fonction de leur méthodologie et de leur visibilité.

Qu'est-ce qu'un zero-day » ?

zero-day est une mise à jour de sécurité d'urgence publiée pour corriger une vulnérabilité qui était déjà exploitée avant que l'éditeur n'en ait eu connaissance. Comme la vulnérabilité fait l'objet d'attaques actives, les éditeurs publient généralement ces correctifs sous forme de mises à jour hors cycle (non programmées) plutôt que d'attendre leur cycle de mise à jour habituel. Le « Patch Tuesday » de février 2026 de Microsoft, par exemple, a corrigé six vulnérabilités « zero-day » activement exploitées en une seule publication. Les organisations doivent donner la priorité zero-day par rapport à toutes les autres mises à jour de sécurité et s'efforcer de les déployer dans un délai de 24 à 48 heures plutôt que de suivre les délais standard de gestion des changements. Le document BOD 22-01 de la CISA établit des délais de correction spécifiques pour agences gouvernementales zero-day sont publiés pour des vulnérabilités connues et exploitées.

Qu'est-cemalware zero-day ?

malware Zero-day malware un logiciel malveillant qui exploite une vulnérabilité jusque-là inconnue pour déployer sa charge utile. Contrairement malware traditionnels, malware peuvent être détectés par les signatures antivirus,malware zero-day malware aux méthodes de détection classiques, car il n'existe aucune signature correspondant à l'exploit qu'ils utilisent. Cela les rend particulièrement dangereux pour les organisations qui s'appuient principalement sur des outils de sécurité basés sur les signatures.malware Zero-day apparaissentmalware dans le cadre d'attaques ciblées contre des organisations de grande valeur plutôt que dans des campagnes de masse, car les zero-day qui les rendent possibles sont coûteux et disponibles en quantité limitée. Une défense efficace contremalware zero-day malware des approches de détection comportementale qui identifient les schémas d'activité suspects — tels que l'exécution de processus inhabituels, les connexions réseau inattendues ou l'accès anormal à des fichiers — plutôt que de se contenter de rechercher des correspondances avec des signatures malveillantes connues.

En quoi consiste le cycle de vie zero-day » ?

Le cycle de vie se déroule en six étapes. Premièrement, une vulnérabilité apparaît au cours du développement logiciel, à la suite d’une erreur de codage ou d’un défaut de conception. Deuxièmement, la vulnérabilité est découverte — soit par des chercheurs en sécurité effectuant des audits, soit par cybercriminels de failles exploitables, soit, de plus en plus souvent, par des outils de fuzzing basés sur l’IA. Troisièmement, si des attaquants découvrent la vulnérabilité avant le fournisseur, ils développent et déploient des exploits. Quatrièmement, la vulnérabilité est divulguée, soit par le biais d'une divulgation responsable au fournisseur, soit par une exposition publique. Cinquièmement, le fournisseur développe et publie un correctif de sécurité. Sixièmement, les organisations testent et déploient le correctif dans leurs environnements. La période la plus risquée s'étend de l'exploitation jusqu'à l'adoption du correctif, période durant laquelle les attaquants exploitent activement la faille tandis que de nombreuses organisations n'ont pas encore appliqué le correctif.

Qu'est-ce qu'une zero-day » en termes simples ?

Une zero-day est une attaque qui exploite une faille logicielle dont l'éditeur n'a pas encore connaissance. Comme aucun correctif n'existe, les défenseurs n'ont que « zéro jour » pour se préparer avant que l'attaque ne puisse aboutir. On peut comparer cela à un cambrioleur qui trouve une porte déverrouillée dont le propriétaire ignorait l'existence : ce dernier ne peut pas fermer à clé une porte dont il ne connaît pas l'existence. En termes de cybersécurité, l'éditeur de logiciels ne peut pas corriger un bug qu'il n'a pas découvert, et les outils de sécurité ne peuvent pas bloquer une attaque qu'ils n'ont jamais vue auparavant. C'est ce qui rend zero-day si précieux pour les attaquants et si dangereux pour les organisations. Le prix des zero-day varie de plusieurs centaines de milliers de dollars à plus de 9 millions de dollars selon la cible, ce qui reflète l'avantage considérable qu'ils confèrent aux attaquants.

L'assurance cyber couvre-t-elle zero-day » ?

La couverture varie considérablement selon la police d'assurance et les circonstances de l'incident. De nombreuses polices d'assurance cyber comportent des exclusions relatives aux « actes de guerre » ou aux « attaques menées par des États », qui recoupent une grande partie des zero-day : les groupes soutenus par des États et les fournisseurs de solutions de surveillance commerciale sont à l'origine de la majorité des zero-day identifiées. Les organisations doivent examiner attentivement les termes de leur police concernant ces exclusions. De plus, certaines polices peuvent exiger que l'organisation assurée démontre que des « mesures de sécurité raisonnables » étaient en place, ce qui pourrait inclure le maintien des niveaux de correctifs à jour, le déploiement d'outils de détection comportementale et le respect de pratiques de sécurité conformes aux référentiels. Les organisations confrontées zero-day devraient travailler avec leurs courtiers d'assurance pour comprendre exactement quels scénarios sont couverts, quelles exigences de réponse aux incidents la police impose, et si la couverture s'étend aux zero-day attribuées à des acteurs étatiques.