AI Broke Vulnerability Management. Thats Why CISOs Are Moving Budget to BAS.

1 minute de lecture

Mis à jour : June 11, 2026

La fin de la gestion des vulnérabilités traditionnelle face à l’IA

La gestion traditionnelle des vulnérabilités, basée sur le tri par sévérité et des cycles de correctifs étendus, est devenue obsolète. L’IA a drastiquement réduit le temps entre la découverte d’une faille et son exploitation, le faisant passer de plusieurs mois à seulement 24 heures en moyenne. Cette accélération rend la stratégie classique de correction “par priorité de score” inefficace face au volume massif de vulnérabilités.

Points clés :

Industrialisation de l’attaque : L’IA permet désormais de découvrir des milliers de failles critiques en un mois et d’automatiser l’écriture d’exploits.
Inefficacité du patching : Le temps moyen de remédiation a augmenté (43 jours), tandis que le taux de correctifs appliqués diminue, créant un décalage dangereux avec la vitesse des attaquants.
Obsolescence du CVSS : Les scores de sévérité ne reflètent plus la réalité opérationnelle (exploitabilité réelle, contrôles en place, contexte métier).
Nécessité de l’automatisation : Face à une offensive autonome, la défense doit également s’automatiser pour rester pertinente.

Vulnérabilités mentionnées :

L’article cite des exploits automatisés sur des équipements FortiGate (via des identifiants faibles et des outils autonomes) et une faille dans OpenBSD restée non détectée pendant 27 ans, illustrant la capacité de l’IA à fouiller des bases de code complexes.

Recommandations et stratégie :

Adopter le “Breach and Attack Simulation” (BAS) : Utiliser des simulations d’attaques réelles pour tester l’efficacité réelle des outils de sécurité en place (WAF, EDR, IPS).
Validation de l’exposition adversariale : Privilégier le contexte réel plutôt que les scores théoriques pour prioriser les correctifs. Cela permet de se concentrer sur ce qui est réellement exploitable et de gérer les correctifs sans stresser les cycles de production.
Automatisation de la défense : Déployer des solutions de BAS de type “agentique” capables de transformer instantanément une nouvelle menace (ex: alertes CISA) en tests automatisés, permettant une réponse à la vitesse de la machine.
Décloisonnement : Utiliser les résultats des simulations pour valider que les mesures de mitigation spécifiques aux fournisseurs ont bien comblé les failles, plutôt que de se contenter d’ajouter des tickets dans une liste d’attente.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

AI Broke Vulnerability Management. Thats Why CISOs Are Moving Budget to BAS.

La fin de la gestion des vulnérabilités traditionnelle face à l’IA

Partager sur

Vous pourriez aimer

Ukrainian national pleads guilty to role in Conti ransomware operation

Condamnation d’un membre clé du groupe de ransomware Conti

ShinyHunters Exploits Oracle PeopleSoft Zero-Day (CVE-2026-35273) to Breach Universities

Exploitation massive de la vulnérabilité zero-day dans Oracle PeopleSoft par ShinyHunters

Rethinking MDR as Attackers and Defenders Embrace AI

L’Obsolescence du Modèle MDR face à l’ère de l’IA

phpBB forum fixes auth bypass bug lurking for a decade

Correction d’une faille critique d’authentification sur phpBB