Imaginez une seconde : une faille inconnue de tous, découverte par personne sauf par un groupe de hackers déterminés, permet en quelques minutes de pénétrer au cœur d’un réseau d’entreprise ultra-protégé. Pas de mot de passe volé, pas de phishing savamment orchestré… juste une vulnérabilité zero-day exploitée en silence. En 2025, ce scénario n’est plus du domaine de la science-fiction : il est devenu presque banal pour les grandes organisations.

Le dernier rapport annuel de Google sur les menaces zero-day vient de tomber et les chiffres font froid dans le dos. Près de la moitié des vulnérabilités zero-day activement exploitées l’année dernière ont pris pour cible les technologies utilisées par les entreprises. Un record absolu qui marque un tournant inquiétant dans le paysage cybercriminel mondial.

Quand les remparts deviennent des portes dérobées

Les chiffres parlent d’eux-mêmes : 48 % des zero-days suivis par l’équipe Threat Analysis Group (TAG) de Google en 2025 concernaient directement des équipements et logiciels destinés aux environnements professionnels. Parmi eux, une proportion très importante touchait précisément les outils censés protéger les réseaux d’entreprise.

Firewalls, solutions VPN, concentrateurs d’accès sécurisés, plateformes de virtualisation… ces briques fondamentales de la sécurité moderne se sont retrouvées au cœur d’une vague d’exploitation sans précédent. Les noms qui reviennent le plus souvent dans le rapport ne sont pas anodins : Cisco, Fortinet, Ivanti, VMware. Des leaders incontestés du marché, pourtant régulièrement visés.

Les failles qui percent les murs

Comment est-ce possible ? Les chercheurs de Google expliquent que les vecteurs les plus fréquents restent des erreurs classiques mais particulièrement dangereuses dans un contexte d’exposition internet : mauvaise validation des entrées utilisateur, processus d’autorisation incomplets, mauvaise gestion des privilèges. Des faiblesses qui, isolément, peuvent sembler mineures, mais qui deviennent catastrophiques quand elles touchent une passerelle exposée à internet.

Une fois la barrière franchie, l’attaquant accède souvent à un positionnement privilégié : il se retrouve derrière le firewall, parfois même sur un segment de management. De là, le chemin vers les serveurs critiques, les annuaires d’entreprise ou les stations de travail devient beaucoup plus court.

« Les appliances de sécurité et de réseau représentent une cible de choix car elles offrent un accès privilégié une fois compromises. »

Google Threat Analysis Group – Rapport 2025

Cette citation résume parfaitement le danger. Compromettre un firewall ou un VPN, c’est souvent obtenir les clés du royaume sans avoir eu besoin de passer par la case phishing ou compromission de compte utilisateur.

Le cas Clop et Oracle E-Business Suite

Mais tous les zero-days d’entreprise ne visent pas les équipements réseau. Une autre catégorie a particulièrement marqué les esprits en 2025 : les failles dans les suites logicielles métiers très répandues.

Le gang Clop a notamment exploité une vulnérabilité zero-day dans Oracle E-Business Suite, permettant d’exfiltrer massivement des données RH sensibles. Des dizaines d’organisations ont été touchées, parmi lesquelles des noms très médiatiques : Harvard University, la compagnie aérienne Envoy (filiale d’American Airlines), ou encore le journal The Washington Post.

Ces attaques démontrent une évolution inquiétante : les cybercriminels ne se contentent plus de rançonner des PME mal protégées. Ils visent désormais des cibles de prestige, capables de payer des rançons très élevées ou dont la compromission crée un impact médiatique fort.

  • Exfiltration massive de données RH et de direction
  • Publication partielle des données pour forcer la négociation
  • Demande de rançons multimillionnaires
  • Impact réputationnel majeur pour les victimes

La montée en puissance des vendeurs de surveillance

Autre enseignement majeur du rapport : la part croissante des zero-days attribués à des vendeurs de surveillance plutôt qu’à des groupes étatiques traditionnels. Ces entreprises privées développent des exploits et des spywares sur commande, principalement pour des gouvernements.

Google observe un glissement clair : les États passent de plus en plus par des intermédiaires commerciaux pour obtenir des capacités d’intrusion sophistiquées, notamment contre les terminaux mobiles. iOS et Android ont ainsi vu leur part de zero-days augmenter significativement en 2025.

Ce phénomène soulève des questions éthiques et géopolitiques majeures sur le commerce des armes numériques et sur la responsabilité des entreprises qui vendent ces technologies à des régimes autoritaires.

Pourquoi les entreprises sont-elles devenues des cibles si attractives ?

Plusieurs facteurs expliquent cette concentration croissante sur les technologies d’entreprise :

  • Les patchs sont déployés plus lentement dans les environnements professionnels critiques
  • Les appliances réseau sont souvent exposées directement sur internet
  • Une seule compromission donne accès à des milliers voire des dizaines de milliers d’utilisateurs
  • Les données détenues par les grandes entreprises valent beaucoup plus cher sur le dark web
  • Les rançons demandées aux grandes structures sont exponentiellement plus élevées
  • Les attaquants trouvent un meilleur retour sur investissement en ciblant des technologies très répandues

Cette dernière raison est cruciale. Une faille zero-day dans un produit utilisé par des dizaines de milliers d’entreprises (comme un VPN Ivanti ou un firewall Fortinet) permet à un acteur malveillant d’attaquer de multiples cibles avec le même exploit. C’est l’équivalent cyber d’une arme à dispersion massive.

Les leçons à retenir pour les DSI et RSSI en 2026

Face à cette menace qui ne cesse de croître, plusieurs axes de défense deviennent prioritaires :

  1. Segmenter drastiquement les réseaux et isoler les interfaces de management
  2. Appliquer une politique de mise à jour extrêmement agressive sur les équipements exposés
  3. Privilégier les architectures zero-trust même entre les différentes couches d’infrastructure
  4. Mettre en place une détection d’anomalies comportementales sur les appliances critiques
  5. Investir dans des solutions EDR/XDR capables de détecter les mouvements latéraux post-compromission
  6. Effectuer des audits réguliers de l’exposition internet réelle de l’infrastructure
  7. Prévoir des scénarios de réponse spécifiques aux compromissions de VPN/firewall

Ces mesures ne sont plus réservées aux très grandes entreprises. Même des ETI et des PME de taille intermédiaire sont désormais directement visées dès lors qu’elles utilisent des technologies exposées sur internet.

Vers une prise de conscience collective ?

Le rapport Google de 2025 pourrait marquer un tournant dans la manière dont les entreprises perçoivent leur exposition aux menaces zero-day. Jusqu’ici, beaucoup considéraient ces attaques comme réservées aux États ou aux très grandes structures. Les chiffres montrent que la réalité est toute autre.

Les attaquants, qu’ils soient motivés par le profit ou par des objectifs géopolitiques, ont compris que les entreprises représentent une cible à la fois lucrative et relativement accessible comparée aux systèmes militaires ou gouvernementaux ultra-protégés.

Dans ce contexte, la cybersécurité ne peut plus être considérée comme un centre de coûts. Elle devient un facteur clé de résilience opérationnelle et de survie économique. Les organisations qui sauront le plus rapidement adapter leur posture de sécurité face à cette nouvelle vague de menaces zero-day seront celles qui traverseront le mieux cette décennie numérique à haut risque.

Et vous, votre entreprise a-t-elle déjà procédé à un audit complet de ses équipements réseau exposés ? Avez-vous simulé récemment une compromission de votre VPN ou de votre firewall principal ? Les réponses à ces questions pourraient bien déterminer votre niveau de vulnérabilité réel face à la menace zero-day 2026.

La guerre cybernétique ne fait que commencer, et les remparts d’hier sont en train de devenir les portes d’entrée préférées des attaquants d’aujourd’hui. Il est grand temps de revoir entièrement notre manière de concevoir la sécurité périmétrique à l’ère des zero-days massivement exploités.

avatar d’auteur/autrice
Steven Soarez
Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.
Voir la biographie complète

Tags:

, , , ,