Plusieurs rapports majeurs publiés entre juillet 2025 et mars 2026 convergent vers le même constat : les délais d’attaque se sont effondrés, et les approches défensives manuelles ne peuvent plus suivre le rythme. 

La vitesse des attaques a changé de nature

En 2024, le temps moyen qu’un attaquant mettait à se déplacer latéralement dans un réseau après son intrusion initiale était de 48 minutes. C’est le chiffre que beaucoup d’articles ont retenu. Mais en 2025, selon le rapport annuel de ReliaQuest publié en février 2026, cette moyenne est tombée à 34 minutes. Et les attaques les plus rapides atteignent désormais 4 minutes, soit une accélération de 85 % par rapport à l’incident le plus rapide observé en 2024.

Ce que ce chiffre illustre concrètement :

Une fois qu’un poste est compromis, la fenêtre pendant laquelle une équipe de sécurité peut isoler le problème avant qu’il ne se propage est désormais inférieure à la durée d’une réunion de triage. Le modèle de réponse manuelle, qui repose sur la détection humaine puis l’escalade vers une équipe, est structurellement dépassé dans ces scénarios.

Le shadow AI : un angle mort documenté par IBM

98 % des entreprises ont aujourd’hui des salariés qui utilisent des outils d’IA non approuvés par leur service informatique. Ce chiffre, repris dans de nombreuses analyses sectorielles, est confirmé par les données de l’IBM Cost of a Data Breach Report 2025. Le même rapport documente la conséquence directe : parmi les organisations ayant subi une violation liée à l’IA, 97 % déclaraient ne pas avoir de contrôles d’accès adéquats pour leurs modèles et applications IA.

Ces outils arrivent via des extensions de navigateur, des comptes personnels, des abonnements souscrits hors du périmètre IT. Les données qui y transitent, parfois sensibles, sont largement invisibles pour les équipes sécurité. IBM quantifie également l’impact financier : les organisations avec un niveau élevé d’utilisation de shadow AI payent en moyenne 670 000 dollars de plus par violation que celles qui l’ont sous contrôle.

Lire Aussi : Shadow AI : qu’est-ce que c’est et pourquoi ça pose problème en entreprise ?

La chaîne d’approvisionnement : le vecteur le plus coûteux et le plus lent à détecter

Toujours selon IBM, les violations via des tiers et la chaîne d’approvisionnement représentent le deuxième vecteur d’attaque le plus fréquent (15 % des incidents) et le deuxième plus coûteux (à 4,91 millions de dollars en moyenne). Ce qui aggrave la situation, c’est que ces incidents sont aussi les plus longs à détecter et à contenir, avec un délai moyen de 267 jours, soit près de 9 mois.

La raison est simple. Les scripts tiers, API partenaires et intégrations SaaS créent des chaînes de confiance que les outils de surveillance classiques ne couvrent pas. Un seul prestataire compromis peut ouvrir un accès direct à l’environnement de centaines de ses clients, comme l’a illustré l’incident GRUB1 documenté par Cloudflare dans son Threat Report 2026.

Un fournisseur compromis peut provoquer une réaction en chaîne qui touche des centaines d’entreprises clientes via des accès légitimes. C’est l’un des scénarios les plus difficiles à détecter et à contenir.

Vulnérabilités zero-day : près de 29 % exploitées le jour de leur divulgation

VulnCheck, dans son rapport State of Exploitation publié en janvier 2026, documente une progression préoccupante : la part des vulnérabilités exploitées avant ou le jour même de la publication de leur identifiant CVE est passée de 23,6 % en 2024 à 28,96 % en 2025. En d’autres termes, pour presque trois vulnérabilités critiques sur dix, le correctif n’existe pas encore au moment où l’exploitation commence.

Pour les entreprises qui gèrent des systèmes legacy ou des infrastructures soumises à des cycles de validation longs avant tout déploiement de patch, ce délai est intenable. Le virtual patching au niveau réseau, qui bloque l’exploitation d’une faille avant qu’elle n’atteigne l’infrastructure applicative, est l’une des réponses techniques à ce problème.

Lire Aussi : 2026 : L’année des arnaques dopées à l’IA

370 millions de dollars : le coût annuel des systèmes legacy

Une étude de Pegasystems, conduite par le cabinet Savanta auprès de plus de 500 décideurs IT dans le monde, chiffre les pertes annuelles liées aux inefficacités des systèmes legacy à environ 370 millions de dollars. Ce montant agrège plusieurs postes : les projets de transformation qui échouent ou s’enlisent à cause de systèmes obsolètes, les coûts de maintenance et d’intégration, et le temps consacré à des contournements qui retardent les projets à valeur ajoutée.

78 % des répondants qualifient la gestion de la dette technique de gaspillage de temps, d’effort et d’argent. Pourtant, seulement 9 % des entreprises déclarent avoir réussi à retirer ou remplacer une part significative de leurs applications legacy.

L’automatisation comme réponse mesurable : 1,9 million de dollars et 80 jours gagnés

Le même rapport IBM quantifie précisément l’écart entre les organisations qui automatisent leur sécurité et celles qui fonctionnent encore manuellement. Les entreprises qui déploient intensivement des outils d’IA et d’automatisation dans leur cycle de réponse aux incidents réduisent leur cycle de violation de 80 jours en moyenne et économisent 1,9 million de dollars par incident comparé aux organisations sans automatisation.

Pour mettre ces chiffres en perspective : sans automatisation, le coût moyen d’une violation atteint 5,52 millions de dollars. Avec une automatisation intensive, il tombe à 3,62 millions. L’écart de 1,9 million correspond essentiellement au différentiel de vitesse de détection et de confinement.

Ce que Cloudflare documente côté infrastructure

Le Cloudflare Threat Report 2026, publié le 3 mars 2026 par l’unité de recherche Cloudforce One, apporte la dimension volume à ce tableau. Le réseau Cloudflare, qui traite environ 20 % du trafic web mondial depuis plus de 330 points de présence, bloque en moyenne 230 milliards de menaces par jour. Ce chiffre donne une idée de l’industrialisation des attaques : elles ne sont plus menées par des acteurs isolés, mais par des systèmes automatisés opérant à grande échelle.

Le rapport documente aussi un changement de tactique majeur : les attaquants ne cherchent plus à “entrer par effraction”, mais à “se connecter” en utilisant des identifiants volés, des tokens de session actifs ou des intégrations SaaS légitimes détournées. 63 % de toutes les tentatives de connexion observées sur le réseau Cloudflare impliquaient des identifiants déjà compromis ailleurs.

Lire Aussi : 4 pratiques essentielles de cybersécurité pour les entreprises

Conclusion

Ces rapports ne décrivent pas des menaces nouvelles. Ils documentent une accélération. Les vecteurs d’attaque connus (shadow AI, supply chain, exploitation de vulnérabilités, vol de credentials…) sont les mêmes qu’il y a trois ans. Ce qui a changé, c’est le rythme auquel ils sont exploités et la vitesse à laquelle les dommages se propagent une fois que l’attaquant est à l’intérieur du réseau.

La leçon pratique que tirent IBM, Cloudflare et ReliaQuest est identique : à cette vitesse, la réponse manuelle ne suffit plus. L’écart de 80 jours et de 1,9 million de dollars entre organisations automatisées et non automatisées n’est pas une projection théorique. C’est la mesure de ce que coûte aujourd’hui le fait de ne pas avoir automatisé sa détection et sa réponse aux incidents.