Suite à la fuite de données de l’ANTS, une étude I-TRACING et CESIN révèle les graves lacunes des entreprises en gestion des vulnérabilités.

La récente fuite de données qui a touché l’Agence Nationale des Titres Sécurisés (ANTS), causée par une vulnérabilité de type IDOR (Insecure Direct Object Reference) permettant un accès non autorisé à des informations usagers, a mis en lumière la fragilité persistante des systèmes d’information. Cet incident, loin d’être un cas isolé, est le symptôme d’un problème systémique dans la manière dont les organisations gèrent leurs failles de sécurité.

« La faille exploitée est un basique de la sécurité, listée par l’OWASP comme le premier risque en 2025. Le CERT d’I-TRACING est déjà intervenu sur plusieurs incidents impliquant ce type de vulnérabilité, qui peut permettre à un attaquant d’exfiltrer des données confidentielles ou des données personnelles », souligne Louis Milcent, Manager CERT et Responsable cyberdéfense chez I‑TRACING.

Cet événement fait écho aux conclusions alarmantes d’une nouvelle étude sur la gestion des vulnérabilités, menée par I-TRACING, premier pure player européen de la cybersécurité, en partenariat avec le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN). Les résultats, détaillés dans le Livre Blanc “Gestion des vulnérabilités”, dessinent le portrait d’organisations sous tension, peinant à aligner leurs capacités de défense avec le rythme effréné des menaces.

Un décalage structurel entre menace et réaction

L’étude, menée auprès de plus de 250 Responsables de la Sécurité des Systèmes d’Information (RSSI) membres du CESIN, révèle un décalage critique. Alors que les attaquants exploitent les failles les plus graves en 24 à 48 heures, seules 7,6 % des organisations parviennent à les corriger dans un délai de 24 heures. La moitié des entreprises déclarent un délai de correction inférieur à sept jours, un objectif souvent imposé par les politiques internes mais rarement atteint en pratique.

Ce retard s’explique en grande partie par une surcharge des équipes. Près de 56 % des RSSI interrogés estiment manquer de ressources humaines qualifiées pour traiter la masse de vulnérabilités, dont plus de la moitié sont jugées trop critiques pour être ignorées. « La pénurie de ressources humaines et l’augmentation des cyberattaques obligent les entreprises à repenser leur approche. Il ne s’agit plus seulement de prioriser les risques, mais aussi de mieux répartir la charge de travail pour éviter l’épuisement des équipes », analyse Laurent Besset, Directeur Général Adjoint et Cyberdéfense chez I-TRACING.

La fragmentation des outils et des processus en cause

Au-delà du facteur humain, l’enquête met en évidence une fragmentation des méthodes et des outils qui paralyse la remédiation. Si 85 % des entreprises utilisent au moins deux outils pour le suivi des vulnérabilités, 15 % en déploient cinq ou plus. Cette multiplication crée des silos d’information : près d’un quart des répondants gèrent encore les failles via des fichiers partagés (24 %) et 22 % n’ont aucun tableau de bord ni outil dédié, compliquant toute mesure d’efficacité.

Le constat est sans appel : seules deux entreprises sur cinq disposent d’un processus transverse capable d’agréger les données et de prioriser les actions de manière unifiée. « La gestion des vulnérabilités ne peut pas reposer sur des outils isolés ou des processus cloisonnés. Une approche unifiée et contextualisée est indispensable pour réduire efficacement les risques », insiste Fabrice Bru, Président du CESIN. Le défi n’est plus la détection, mais bien la capacité à agir dans le temps court imposé par les cybercriminels.

Des pistes concrètes pour renforcer la résilience

Face à ces défis, des solutions existent pour passer d’une posture réactive à une stratégie de réduction active du risque. L’étude souligne le potentiel de l’intelligence artificielle pour automatiser les tâches répétitives, synthétiser les rapports et générer des recommandations adaptées, même si son adoption reste encore prudente. La montée en maturité des organisations, par la structuration de leurs services cyber et la rationalisation de leurs outils, est également un levier essentiel.

Pour prévenir des incidents comme celui de l’ANTS, des mesures concrètes peuvent être déployées. « Pour s’en prémunir, il existe de nombreuses solutions : former les développeurs, automatiser les tests de sécurité, conduire des campagnes de tests d’intrusion ou de bug bounty, ou encore limiter le nombre de requêtes par personne. Mais cela ne suffit pas. Il est également indispensable de protéger les sites et applications web avec un WAF [pare-feu applicatif web] configuré en mode bloquant, de mettre en place des règles de détection adaptées et des procédures métier capables de réagir rapidement », conclut Louis Milcent.

L’étude complète et les analyses sont disponibles dans le Livre Blanc “Gestion des vulnérabilités : Comment réduire votre exposition aux cyberattaques ?”, publié conjointement par I-TRACING (www.i-tracing.com) et le CESIN (www.cesin.fr).