Le nombre de vulnérabilités zero-day exploitées dans le monde reste élevé et se stabilise à un niveau historiquement important. En 2025, 90 failles zero-day ont été observées en exploitation active, c’est ce que révèle le dernier rapport annuel du Google Threat Intelligence Group (GTIG) consacré aux failles zero-day.
Le volume est comparable aux années précédentes et confirme une tendance durable que l’on connait déjà : la cybercriminalité s’industrialise et les surfaces d’attaque continuent de s’étendre.
Mais au-delà du volume, c’est surtout la nature des cibles qui évolue. Pour la première fois, près de la moitié des failles exploitées concernent des technologies destinées aux environnements d’entreprise.
L’infrastructure d’entreprise en première ligne
En 2025, 48 % des zero-day ont ciblé des technologies d’entreprise, un niveau inédit. Les attaquants privilégient désormais les composants qui structurent l’infrastructure numérique : solutions de sécurité, équipements réseau ou plateformes critiques.
Ces technologies offrent un avantage stratégique. Elles donnent accès à des systèmes à fort niveau de privilèges et permettent souvent d’atteindre un grand nombre d’actifs à partir d’un seul point d’entrée.
Les équipements situés en périphérie du système d’information, routeurs, VPN ou appliances de sécurité, sont particulièrement exposés. Souvent dépourvus de solutions de détection avancées, ils constituent des angles morts pour les équipes de sécurité et peuvent permettre aux attaquants de maintenir un accès durable aux réseaux.
L’essor des fournisseurs d’outils de surveillance
Autre évolution marquante : le rôle croissant des fournisseurs de technologies de surveillance commerciale. Pour la première fois, ces acteurs sont à l’origine de davantage d’exploitations zero-day que les groupes d’espionnage étatiques traditionnels.
Cette évolution traduit une forme d’industrialisation du marché des failles informatiques exploitables. Des entreprises spécialisées développent des outils d’intrusion avancés qu’elles commercialisent auprès de différents clients, élargissant ainsi l’accès à des capacités autrefois réservées à quelques États.
La Chine reste l’acteur étatique le plus actif
Les groupes d’espionnage liés à la Chine restent néanmoins les utilisateurs étatiques les plus prolifiques de failles zero-day. Leur stratégie consiste notamment à cibler les équipements réseau et les appliances de sécurité afin de conserver des accès persistants aux infrastructures visées.
Ces attaques s’inscrivent souvent dans des opérations d’espionnage stratégique ou industriel visant des organisations technologiques et des infrastructures critiques.
L’IA accélère la course entre attaquants et défenseurs
L’intelligence artificielle pourrait encore accélérer ces dynamiques. Elle permet déjà d’automatiser certaines étapes des attaques, notamment la reconnaissance des systèmes, l’identification de vulnérabilités et le développement d’exploits.
Cette accélération pourrait réduire le délai entre la découverte d’une faille et son exploitation, mettant les équipes de sécurité sous pression. Dans le même temps, l’IA pourrait aussi renforcer les capacités défensives, en aidant à détecter plus rapidement des vulnérabilités ou des comportements suspects.
Vers un nouveau modèle d’attaque
Un autre phénomène émergent inquiète les chercheurs : certains groupes cherchent désormais à voler la propriété intellectuelle des éditeurs de logiciels, notamment leur code source. L’objectif serait d’analyser ces codes afin d’identifier de nouvelles vulnérabilités exploitables à long terme, pouvant ensuite être utilisées contre les éditeurs eux-mêmes mais aussi contre leurs clients.
