Les équipes chargées de la cybersécurité doivent s’attendre à une augmentation historique du nombre de CVE signalés en 2026
En 2026, la cybersécurité ne figure pas seulement sur la liste des tâches de votre directeur technique. Elle devrait être au centre de toutes les conversations des dirigeants. Le Forum of Incident Response and Security Teams (FIRST) prévoit un changement majeur dans la façon dont nous percevons les vulnérabilités. Pour la première fois, nous devrions franchir la barre des 50 000 vulnérabilités et expositions communes (CVE) publiées. Les prévisions médianes se situent autour de 59 000. La limite supérieure potentielle ? Près de 118 000. Ce n’est pas du bruit. C’est un signal que votre équipe de sécurité ne peut ignorer.
Le volume à lui seul modifie la façon dont vous devez envisager vos opérations de sécurité. Il ne s’agit pas d’une augmentation linéaire, mais d’une augmentation systémique. Cela signifie plus de triage, plus de points de décision et plus de charge sur des systèmes qui n’ont jamais été conçus pour ces chiffres. Si vous utilisez encore un processus de gestion des vulnérabilités très manuel, il est temps de repenser le champ d’application, le personnel, l’automatisation et les seuils internes avant de prendre du retard.
Vous n’avez pas besoin de traiter chaque CVE comme une mission critique. Mais votre équipe doit être calibrée pour répondre rapidement et clairement à celles qui sont importantes. Toutes les vulnérabilités ne sont pas des exploits réels. Le défi consiste à trouver le signal dans le volume et à le faire de manière cohérente.
Ce changement marque une nouvelle ère dans la planification opérationnelle. Ce n’est pas le genre de prise de conscience que vous pouvez vous permettre de faire descendre dans la chaîne. C’est aux dirigeants qu’il incombe de prendre l’initiative, de structurer les budgets, d’aligner les priorités et de poser la question fondamentale : Notre personnel, nos outils et nos processus sont-ils prêts à s’adapter à cette vague montante ?
Les volumes élevés de CVE devraient persister et potentiellement augmenter au cours des trois prochaines années.
Il ne s’agit pas d’un pic d’une année, mais d’une tendance. Le FIRST prévoit plus de 51 000 CVE en 2027 et plus de 53 000 en 2028. Mais ce qui devrait vraiment attirer votre attention, c’est la fourchette supérieure prévue. Pour 2028, ces prévisions s’élèvent à près de 193 000 vulnérabilités signalées. Il ne s’agit pas de chiffres théoriques. Ils sont basés sur des changements structurels réels dans la manière dont l’écosystème numérique fonctionne aujourd’hui.
L’implication est claire. À mesure que la pile logicielle s’approfondit et que la chaîne de dépendance s’élargit, l’infrastructure cloud, les API tierces et les bases de code open-source, nous ne cesserons de déceler davantage de risques. Plus de surface signifie plus d’exposition. Et pour les organisations qui n’ont pas réorganisé leurs opérations de sécurité pour les adapter à l’échelle, ce temps de retard sera coûteux.
Le problème le plus important n’est pas seulement celui des chiffres. C’est que de nombreuses entreprises prennent encore des décisions d’une année sur l’autre sur la base de modèles opérationnels antérieurs. Ce raisonnement n’est plus valable. Si les prévisions les plus optimistes se concrétisent, l’écart entre les entreprises qui ont anticipé et celles qui ne l’ont pas fait se creusera rapidement.
Le moment est venu de procéder à un réétalonnage stratégique. Cela signifie qu’il faut investir dans des systèmes qui apprennent, des équipes qui s’adaptent et des dirigeants qui comprennent que la sécurité est désormais un élément permanent. Il ne s’agit pas d’une solution réactive. Pas un projet spécial. Le budget et la planification opérationnelle doivent refléter cette réalité.
Ces informations ne disparaîtront pas. Il n’y a pas de voie de retour vers des volumes plus faibles. Nous nous trouvons dans un avenir où la sécurité n’est pas une fonction de back-office, mais où elle définit l’exécution numérique à tous les niveaux. Agissez donc en conséquence.
L’évolution des pratiques de développement et de divulgation dans l’ensemble de l’industrie entraîne une augmentation du nombre de CVE.
L’augmentation de la divulgation des vulnérabilités n’est pas accidentelle, elle est systémique. Les chercheurs en sécurité, les fournisseurs et les équipes de développement élargissent leur champ d’action. Ils testent et établissent des rapports sur un plus grand nombre de produits, de plates-formes et de bases de code que par le passé. Si l’on ajoute à cela l’utilisation généralisée des logiciels libres et une plus grande visibilité de la chaîne d’approvisionnement, vous verrez de plus en plus de problèmes faire surface.
Ces CVE n’apparaissent pas parce que la sécurité se dégrade. Ils apparaissent parce que la visibilité s’améliore. Les technologies sont plus connectées, plus modulaires et plus dépendantes des tiers que jamais. Dans ce contexte, les outils de découverte évoluent. Il en va de même pour la surveillance.
Tenir compte du rôle des autorités de numérotation CVE. La manière dont les vulnérabilités sont suivies et traitées a changé. Les autorités sont plus nombreuses à fournir des données et les normes sont plus strictes. Cela augmente la précision, mais aussi le volume. Vous ne pouvez pas vous débarrasser de ce problème en vous contentant d’une politique, il exige une réponse évolutive.
Pour les dirigeants, cela signifie comprendre comment les logiciels internes et externes sont construits, testés et sécurisés. Votre exposition n’est pas seulement une question de technologie de l’information. Il est directement lié à la continuité opérationnelle, au risque juridique et à la confiance des clients. Si vos systèmes dépendent fortement de composants open-source ou d’intégrations SaaS, votre profil de risque n’est pas basé sur la qualité de vos développeurs internes, mais sur tout ce à quoi vous vous connectez.
La planification doit tenir compte du fait que la surface d’attaque est dynamique. La découverte des vulnérabilités suit l’évolution de l’infrastructure. Si vous n’en tenez pas compte, vous laisserez des zones d’ombre dans les principaux systèmes de l’entreprise.
Les organisations doivent passer d’une approche réactive à une gestion stratégique de la vulnérabilité.
Réagir à chaque vulnérabilité sur la seule base d’un score de gravité n’est pas possible et ne fonctionne pas. Dans un environnement à fort volume, vous devez établir des priorités intelligentes, en vous concentrant sur la pertinence pour l’entreprise. La vraie question est de savoir si une vulnérabilité spécifique met en danger vos actifs, vos données ou vos processus critiques. C’est dans cette optique que les équipes de sécurité doivent aller de l’avant.
Comme l’a dit Éireann Leverett de FIRST, l’objectif est d’arrêter de courir après chaque CVE et de commencer à faire des choix stratégiques sur la destination de votre attention et de votre temps. Le triage consiste désormais à séparer ce qui est exploitable et important d’un point de vue opérationnel de ce qui n’est que du bruit.
Pour ce faire, vous devez disposer d’une visibilité totale sur l’emplacement de vos actifs et sur la manière dont ils sont interconnectés. Sans cela, vos équipes ne font que deviner et perdent du temps sur des choses qui ne font pas avancer l’aiguille. Le risque n’est pas seulement une question de chiffre, c’est aussi une question de contexte. Le même CVE n’a pas la même signification sur un serveur connecté à Internet que dans un environnement de laboratoire isolé.
Pour les dirigeants, ce changement n’est pas facultatif. Il est essentiel de passer de flux de travail réactifs à une stratégie de hiérarchisation en couches qui combine la criticité des actifs internes et le contexte des menaces externes. Cela signifie qu’il faut intégrer les systèmes de renseignement sur les menaces en temps réel, d’analyse des vulnérabilités et d’inventaire des actifs de manière à obtenir des informations exploitables, et non des rapports abstraits.
C’est là que des outils plus intelligents et des processus plus pointus créent un effet de levier. Sans eux, vos équipes prennent du retard. Avec eux, vous gardez le contrôle, vous identifiez les vrais problèmes à temps, vous affectez les ressources efficacement et vous réduisez les délais de la fenêtre d’exploitation avant qu’ils ne s’envolent.
Une meilleure collaboration entre les organisations est essentielle pour une gestion efficace de la vulnérabilité.
Si vous gérez la sécurité de manière isolée, vous augmentez les risques. Les organisations qui se remettent plus rapidement des cyberincidents sont celles qui sont déjà connectées à d’autres par le biais de réseaux de confiance établis. C’est là que les renseignements sur les menaces sont échangés en temps réel et que des réponses coordonnées sont apportées avant que la situation ne devienne incontrôlable.
Il ne s’agit pas de créer quelques canaux Slack ou des listes de diffusion externes. Il s’agit d’investir dans des relations opérationnelles à long terme avec des fournisseurs, des partenaires et des consortiums industriels. Lorsqu’une vulnérabilité grave fait surface, le fait d’avoir des liens de communication préétablis signifie que votre équipe n’est pas en train de se démener pour trouver des contacts, mais qu’elle est en train de s’exécuter.
Chris Gibson, PDG de FIRST, l’a clairement exprimé : « Aucune entreprise ne peut résoudre les problèmes de vulnérabilité et de cybersécurité de manière isolée. Les organisations qui se rétablissent le plus rapidement sont celles qui disposent de réseaux de confiance déjà en place, qui échangent des informations sur les menaces et qui coordonnent leur réponse avant qu’une crise ne se produise. »
Les dirigeants devraient se demander si ces relations existent déjà au sein de leur entreprise. Si ce n’est pas le cas, ils sont en retard. La participation à des plates-formes de renseignements partagées, la contribution à des programmes coordonnés de divulgation et l’engagement avec des équipes d’intervention spécifiques à l’industrie devraient faire partie de l’agenda stratégique, et pas seulement de l’hygiène de l’équipe de sécurité.
Ce niveau de collaboration accroît l’agilité opérationnelle. Il améliore également la visibilité des menaces qui affectent les autres avant qu’elles n’atteignent vos systèmes. Plus votre posture de sécurité est connectée, plus votre réponse est proactive.
Le modèle de prévision de FIRST utilise une méthodologie flexible, basée sur des fourchettes, pour tenir compte de l’incertitude.
Il est risqué de planifier la sécurité sur la base d’hypothèses fixes. C’est pourquoi l’approche de FIRST est judicieuse : elle ne vous donne pas une prédiction en un seul point. Elle fournit une fourchette modélisée statistiquement, basée sur des données crédibles et affinée par une analyse structurelle des tendances. Elle est conçue pour les décideurs qui ont besoin de flexibilité et non de suppositions.
Leur modèle utilise des intervalles de confiance asymétriques pour tenir compte de la volatilité à la hausse, ce qui signifie qu’il y a une probabilité plus élevée que les CVE dépassent la médiane attendue. Il reflète également les changements structurels qui ont commencé en 2017 et 2018, tels que les changements dans les pratiques de publication des CVE et la visibilité accrue des actifs dans les chaînes d’approvisionnement numériques.
Du point de vue de la direction, cela se traduit par une planification mieux informée des scénarios. La planification autour d’une médiane de 59 000 cas prépare votre moteur opérationnel, mais la mise en place de procédures pour 100 000 cas garantit la résilience en cas de hausse soudaine du volume. Vous n’avez pas besoin d’une prédiction parfaite pour être efficace, vous devez simplement vous préparer avec un état d’esprit de gamme.
La précision est également importante. En 2025, les prévisions de FIRST présentaient un pourcentage d’erreur absolu moyen de 7,48 % sur l’année, et de 4,96 % pour le quatrième trimestre. Cela lui confère une solide expérience par rapport à d’autres outils de prévision en matière de sécurité. Il ne s’agit pas de théorie, mais d’une aide à la décision fondée sur des données.
Si vous faites des investissements à long terme dans l’automatisation, le personnel ou les capacités de réponse aux menaces, ce type de cadre prévisionnel vous donne une meilleure position pour agir, et pas seulement pour réagir. Et lorsque vous vous préparez en fonction de cette fourchette, vous pouvez augmenter ou réduire vos activités sans compromettre vos opérations de base.
La résilience opérationnelle dépend d’une automatisation évolutive et de stratégies de processus révisées.
La charge de travail en matière de cybersécurité augmente, non pas légèrement, mais considérablement. Se préparer à des dizaines de milliers de vulnérabilités est une chose. Opérer dans un monde qui en compte plus de 100 000 en est une autre. À ce volume, les flux de travail manuels s’effondrent. Ce dont vous avez besoin, c’est d’échelle, grâce à l’automatisation, à une logique de remédiation rationalisée et à une hiérarchisation précise des priorités.
Ce n’est pas facultatif. Si vos systèmes nécessitent une implication humaine à chaque étape, triage, classification, affectation, vous êtes déjà en retard. Lorsque le volume augmente, votre équipe s’épuise et les risques augmentent rapidement. Au lieu de cela, investissez dans l’automatisation qui trie, achemine et signale les problèmes en fonction du contexte réel, et pas seulement des scores de gravité.
FIRST a clairement souligné cette différence. Passer d’une gestion de 30 000 problèmes à une gestion potentielle de 100 000 n’est pas seulement un problème opérationnel. C’est un problème stratégique. Il affecte la façon dont vous planifiez la remédiation, le temps d’arrêt que vos systèmes peuvent raisonnablement tolérer et les fournisseurs qui ralentissent vos cycles d’application de correctifs.
Pour rester résilient, vous devez vous adapter au niveau des personnes, des processus et de la technologie. Demandez-vous si vos délais de gestion des correctifs sont suffisamment courts. Demandez-vous si vos dépendances font l’objet d’un suivi suffisamment rigoureux au niveau de l’infrastructure et des progiciels. Et surtout, demandez-vous si vos équipes peuvent répondre à un pic de CVE exploitables sans rogner sur les moyens.
Si vous ne construisez pas dès maintenant en fonction de l’échelle, vous serez contraint de procéder à une mise à niveau en cas de crise active. Cela entraîne des retards et des risques de qualité au moment où vous pouvez le moins vous le permettre.
Des prévisions continues et des mises à jour trimestrielles permettront d’adapter les stratégies de sécurité.
La planification statique est obsolète. Le paysage des menaces peut changer en quelques mois, et les organisations qui ne peuvent pas s’adapter perdent rapidement leur visibilité et leur élan. C’est pourquoi les mises à jour trimestrielles de FIRST et l’expansion prévue des analyses vectorielles détaillées CVSS v3 font la différence. Il ne s’agit pas de fournir des rapports pour la tenue d’archives. Ils fournissent des données en temps réel pour le recalibrage stratégique.
Le modèle de prévision s’appuie sur des flux de données évolutifs provenant de la base de données nationale sur les vulnérabilités des États-Unis et du système CVE de MITRE. Au fur et à mesure que l’année se déroule, ces données affinent les distributions de probabilité entre les scénarios, ce qui permet aux équipes d’ajuster les domaines d’intervention, les budgets et les effectifs en fonction de l’évolution de la situation, et non après.
Les mises à jour trimestrielles correspondent à la manière dont vous devez aborder la cybersécurité aujourd’hui : de manière dynamique. Chaque CVE n’a pas le même impact opérationnel. Comprendre comment les techniques d’attaque, la sophistication des exploits et l’exposition des systèmes se combinent au fil du temps, c’est ce qui détermine une réponse de grande valeur.
Les dirigeants doivent traiter ces données comme un atout opérationnel. Appliquez-les à la gestion des fournisseurs. Utilisez-les dans la stratégie d’approvisionnement. Définissez les priorités en matière de personnel et de contrats à l’aide de ces données. La plupart des vulnérabilités n’arrivent pas à votre porte avec des voies d’escalade claires, alors construisez un système qui comprend les modèles, s’adapte rapidement et tient la direction informée.
En intégrant des prévisions à votre programme de sécurité, vous ne vous contentez pas de mieux réagir. Vous vous positionnez en amont de la courbe. C’est là que se trouve l’avantage.
Dernières réflexions
Les chiffres à l’horizon 2026 ne sont pas une anomalie, c’est un changement. Les volumes de vulnérabilités augmentent plus rapidement que ce que la plupart des processus internes peuvent gérer. Si votre réponse en matière de cybersécurité repose encore sur des flux de travail réactifs, des modèles de priorisation étroits ou un triage manuel, vous êtes déjà à la traîne.
Ce qu’il faut maintenant, c’est un leadership. Pas seulement de la part de l’équipe de sécurité, mais de la part de la direction. Des investissements stratégiques dans l’automatisation, une gestion plus intelligente des correctifs et une coordination interfonctionnelle doivent être réalisés avant que la pression du volume ne se transforme en dette opérationnelle. Le risque n’attend pas l’alignement.
Il ne s’agit pas d’en faire plus, mais de faire les bonnes choses plus rapidement. En commençant par une meilleure visibilité, un contrôle plus strict des fournisseurs et un cadre qui permet à vos équipes de se concentrer là où c’est vraiment important. Les prévisions de FIRST ne se contentent pas de prédire la charge de travail, elles précisent ce à quoi ressemble réellement la préparation.
La résilience ne se construit pas dans la crise. Elle se construit maintenant.
