Phylapp
Détection des failles et correction continue

Pourquoi certaines failles critiques restent ouvertes pendant des mois

Points clés Les failles critiques restent ouvertes pour des raisons systémiques : dépendances applicatives, disponibilité des systèmes de production, ressources

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 17 lectures

Points clés

  • Les failles critiques restent ouvertes pour des raisons systémiques : dépendances applicatives, disponibilité des systèmes de production, ressources insuffisantes, et décisions implicites non gouvernées.
  • La durée moyenne d'exposition entre publication d'un CVE critique et correction en production dépasse 60 jours dans de nombreuses organisations.
  • Chaque jour de retard sur une faille activement exploitée est une fenêtre d'opportunité calculable pour un attaquant motivé.
  • La direction doit traiter les exceptions au SLA de correction comme des décisions de risque formelles, pas comme des retards opérationnels normaux.

La publication d'un CVE critique déclenche une course entre deux dynamiques opposées : d'un côté, les équipes défensives qui évaluent, planifient et appliquent le correctif ; de l'autre, les acteurs malveillants qui développent et déploient des exploits. Dans cette course, la fenêtre d'exposition — le temps entre la publication du CVE et son application effective — est la variable critique que la direction doit surveiller et gouverner.

Les raisons structurelles du retard

Plusieurs facteurs organisationnels et techniques contribuent à allonger les délais de correction sur les failles critiques. Les contraintes de disponibilité des systèmes de production sont souvent citées en premier : appliquer un correctif sur un serveur de paiement en activité 24/7 nécessite une fenêtre de maintenance que les équipes d'exploitation résistent à ouvrir. Les dépendances applicatives constituent un second facteur : un correctif sur une bibliothèque partagée peut nécessiter des tests de régression sur un ensemble d'applications qui peuvent prendre des semaines.

La fragmentation des responsabilités est un troisième facteur : lorsque l'équipe sécurité identifie la faille mais que l'équipe applicative est seule habilitée à déployer le correctif, et que cette dernière n'est pas évaluée sur ses délais de patch management, la correction entre en compétition avec d'autres priorités opérationnelles.

La temporalité de l'exploitation : une réalité mesurable

La recherche en cybersécurité a quantifié la temporalité de l'exploitation des CVE publiés. Des études menées par des organismes comme le Ponemon Institute et des fournisseurs de sécurité comme Qualys ont montré que pour les failles critiques figurant dans le catalogue KEV de la CISA, le délai médian entre publication et exploitation active dans des incidents réels est inférieur à 15 jours. Pour certaines failles très médiatisées (Log4Shell, ProxyLogon), l'exploitation massive a démarré dans les 24 à 72 heures suivant la divulgation publique.

Formaliser la décision de retard

Lorsqu'une faille critique ne peut être corrigée dans les délais requis, l'organisation doit formaliser cette situation comme une exception au SLA de correction, documentant les raisons du retard, les compensations techniques mises en place, et l'engagement sur un délai de correction révisé. Cette formalisation transforme un retard subi en décision gouvernée, traçable et défendable vis-à-vis des auditeurs et des régulateurs.

Cas documentés
États-Unis — Log4Shell (2021)
La vulnérabilité Log4Shell (CVE-2021-44228), publiée le 9 décembre 2021, a été exploitée massivement dans les 72 heures suivant sa divulgation. Des organisations dont le patch management était structuré ont pu déployer des mitigations dans les premières heures et des correctifs dans les premiers jours. La CISA a documenté que des organisations avec des délais de correction dépassant 30 jours ont connu des compromissions significatives. L'incident a mis en évidence que la vitesse de réponse à une faille critique est une capacité organisationnelle, pas seulement technique.
Europe — Microsoft Exchange ProxyLogon (2021)
Les vulnérabilités ProxyLogon (CVE-2021-26855 et suivantes) sur Microsoft Exchange ont été exploitées par plusieurs groupes APT avant même la publication officielle du correctif. L'ANSSI et le BSI ont émis des alertes d'urgence recommandant des correctifs immédiats. Des organisations européennes dont les délais de correction étaient supérieurs à 7 jours ont subi des compromissions de leurs serveurs de messagerie, conduisant dans plusieurs cas à des vols de données d'entreprise. La durée de la fenêtre d'exposition non corrigée a directement corrélé avec la sévérité des incidents.
Asie — Rapport MAS sur les délais de correction (2022)
Le MAS a publié des statistiques agrégées sur les délais de correction observés dans le secteur financier singapourien, révélant que le délai moyen de correction des failles critiques dépassait 45 jours dans certaines institutions. En réponse, le MAS a renforcé ses exigences sur les SLA de patch management dans les Technology Risk Management Guidelines révisées, imposant un délai maximum de 14 jours pour les failles critiques et 30 jours pour les failles élevées, avec obligation de rapport à la direction pour toute exception.

Articles similaires

Les failles connues restent la première cause des attaques réussies

Points clés Entre 80 et 90 % des attaques exploitent des vulnérabilités pour lesquelles un correctif existe déjà au moment de l'incident. Les failles connues fi

24 mai 2026 7 min

Pourquoi les vulnérabilités s’accumulent dans les systèmes d’information

Points clés Les vulnérabilités s'accumulent principalement dans les angles morts du patrimoine applicatif : applications legacy, composants tiers non inventorié

24 mai 2026 7 min

Les erreurs fréquentes dans la gestion des correctifs de sécurité

Points clés Les erreurs les plus courantes dans le patch management sont organisationnelles autant que techniques : absence de priorisation formelle, délais non

24 mai 2026 7 min
WhatsApp