En 2026, les logiciels de sécurité eux-mêmes sont devenus la principale porte d’entrée des attaquants. Le réflexe naturel est d’empiler davantage de protections. L’alternative est de repenser ce qu’il y a à protéger. Les entreprises qui choisissent des architectures sans stockage intermédiaire ne font pas un compromis. Elles suppriment la cible.
Une faille zero-day, c’est une vulnérabilité qu’aucun éditeur n’a encore découverte et pour laquelle aucun correctif n’existe. Par définition, ni votre antivirus, ni votre pare-feu, ni aucune règle de détection ne peut l’intercepter. L’attaquant la connaît. Vous, non.
En 2025, Google en a recensé 90 exploitées activement, soit 15% de plus qu’en 2024 (source : Google GTIG). Mais le chiffre le plus marquant est ailleurs : près de la moitié de ces failles visaient des logiciels d’entreprise (source : TechCrunch). Et pas n’importe lesquels. Les pare-feux, les VPN, les plateformes de virtualisation, c’est à dire les outils que les entreprises achètent précisément pour se protéger.
Pour les entreprises en secteur régulé (finance, santé, énergie, secteur public), ce constat change la donne. Si les logiciels de défense eux-mêmes deviennent des vecteurs d’attaque, la question n’est plus seulement « comment mieux se protéger ? » mais « qu’est-ce qu’un attaquant trouverait chez nous s’il passait quand même ? »
Les logiciels qui vous protègent sont les premiers visés
C’est le constat principal du rapport annuel de Google sur les menaces, publié en mars 2026. Cisco, Fortinet, Ivanti, VMware figurent parmi les éditeurs les plus ciblés. Tous ont confirmé que des attaquants avaient exploité leurs produits sur les réseaux de leurs clients (source : TechCrunch).
Pourquoi ces outils en particulier ? Parce qu’ils cochent toutes les cases du point de vue d’un attaquant. Ils sont déployés partout. Ils ont des droits d’accès élevés sur le réseau. Et surtout, la plupart des équipements de bordure (routeurs, switches, appliances de sécurité) ne sont pas couverts par les solutions de détection classiques (source : Google GTIG). Concrètement, cela signifie qu’un attaquant peut s’y introduire sans déclencher la moindre alerte.
Et les failles exploitées ne sont même pas particulièrement sophistiquées. Google pointe des problèmes connus depuis des années : des formulaires qui ne vérifient pas correctement ce qu’on leur envoie, des processus d’autorisation incomplets (source : Google GTIG). Des erreurs basiques, mais présentes dans des logiciels critiques utilisés par des milliers d’organisations.
Ce n’est pas l’entrée qui fait les dégâts. C’est ce qu’on trouve à l’intérieur.
Face à une faille zero-day, aucune protection ne peut garantir que l’attaquant n’entrera jamais. La vraie question devient alors : une fois à l’intérieur, à quoi a-t-il accès ?
Dans la majorité des entreprises, la réponse est : à beaucoup de choses. Les données sont regroupées dans des entrepôts centralisés, copiées dans des bases de test, répliquées pour la BI, dupliquées dans des caches applicatifs. Chaque copie, c’est une cible supplémentaire. Chaque couche de stockage, c’est un butin de plus à portée de main.
Un exemple parlant ? En 2025, le groupe Clop a exploité des failles dans Oracle E-Business Suite pour aspirer les données RH de dizaines d’organisations, dont Harvard et le Washington Post (source : TechCrunch). L’attaque n’avait rien d’extraordinaire sur le plan technique. C’est le volume de données accessibles qui a fait la gravité de l’incident.
Pour une entreprise soumise au RGPD, à NIS2, à DORA ou aux exigences HDS, la conséquence est directe : l’ampleur d’une violation se mesure à ce qui était stocké, copié, dupliqué. Moins vous stockez, moins vous exposez.
Ce que disent les chiffres
90 failles zero-day exploitées en 2025, contre 78 en 2024. Un attaquant n’a besoin que d’une seule. (Google GTIG)
48% ciblaient des logiciels d’entreprise, un record historique. Et la moitié de ces failles visaient spécifiquement les outils de sécurité et de réseau. (Google GTIG / TechCrunch)
10% des interventions de l’ANSSI en 2025 concernaient le secteur de la santé, 3e secteur le plus touché en France. (ANSSI, Panorama 2025)
128 compromissions par rançongiciel signalées à l’ANSSI sur l’année, principalement dans les PME, les collectivités et les hôpitaux. (ANSSI)
Ajouter des protections ou repenser l’architecture ?
Le réflexe habituel face à ce type de rapport, c’est d’investir dans de nouveaux outils. Un nouveau pare-feu. Un EDR plus performant. Une couche de détection supplémentaire. Ce n’est pas inutile, mais cela revient à ajouter des verrous sur une porte sans se demander ce qu’il y a dans la pièce.
Google lui-même recommande de concevoir les architectures avec une segmentation native et des accès minimaux intégrés dès la conception (source : Google GTIG). Autrement dit : plutôt que de chercher à bloquer toutes les intrusions (ce qui est impossible face à un zero-day), concevoir des systèmes où une intrusion ne mène nulle part.
C’est exactement l’approche d’iD4Connect. Les données ne sont jamais stockées ni dupliquées. Elles sont traitées pendant leur transit via des DataCells autonomes, puis libérées. Le DataGraph orchestre les flux en temps réel. Rien ne persiste, rien ne s’accumule.
Imaginez un cambrioleur qui force une serrure et entre dans une maison vide. C’est le principe. Non pas que les données n’existent pas, elles circulent, elles sont analysées, elles produisent des résultats. Mais elles ne sont jamais posées quelque part en attendant qu’on vienne les prendre.
Cette approche ne remplace ni votre SIEM, ni votre EDR, ni votre pare-feu. Vos outils de cybersécurité continuent de faire leur travail. Mais au lieu de protéger un coffre-fort rempli de données, ils protègent un périmètre où il n’y a structurellement rien à voler.
Trois questions à poser à votre DSI
1. Combien de copies de nos données existent en ce moment ? Bases de production, répliques, exports BI, environnements de test, caches applicatifs. Chaque copie est une cible. Chaque copie élargit la portée d’une violation. Et dans beaucoup d’organisations, personne n’a le chiffre exact.
2. Que se passerait-il si un attaquant passait nos défenses aujourd’hui ? Pas « est-ce qu’il pourrait entrer » (la réponse est toujours oui, un jour ou l’autre), mais « qu’est-ce qu’il trouverait ? ». Si la réponse est « des mois ou des années de données centralisées dans un seul endroit », le risque est maximal.
3. Notre conformité réglementaire survivrait-elle à un changement de fournisseur ? Une conformité qui repose sur la bonne configuration d’un prestataire externe est fragile. Une conformité intégrée à l’architecture ne dépend de personne. RGPD, NIS2, DORA, HDS : tout est couvert par construction, dès le premier jour (en savoir plus).