système : OPÉRATIONNEL
EN FR ES ZH
← retour à tous les hacks
GOVERNANCE MEDIUM NEW

Prévision de mi-année du FIRST : ~66 000 CVE en 2026, mais le risque exploitable reste stable

Le 15 juin 2026, le FIRST a révisé sa projection 2026 à ~66 000 CVE — 46,3 % au-dessus de février — porté surtout par la découverte assistée par IA. Le sous-ensemble actionnable trié via EPSS et CISA KEV n'a pas progressé au même rythme.

2026-06-19 // 6 min affects: ai-vulnerability-research, vulnerability-management, cve-ecosystem, security-operations

De quoi s’agit-il ?

Le 15 juin 2026, lors de sa 38e conférence annuelle à Denver, le Forum of Incident Response and Security Teams (FIRST) a publié sa prévision de vulnérabilités de mi-année 2026. Le chiffre clé : environ 66 000 CVE projetées pour l’année, contre une médiane de 59 427 en février, plaçant les divulgations annuelles en passe d’approcher les 70 000 pour la première fois de l’histoire. Les divulgations réelles de janvier à avril 2026 dépassent déjà de 46,3 % la prévision publiée quatre mois plus tôt, avec 6 420 CVE en excès enregistrées jusqu’en avril.

Pour un public sécurité, cette prévision intéresse moins par le chiffre brut que par les raisons de sa hausse et ses implications opérationnelles. Le FIRST est explicite : ce n’est pas le signe que les logiciels sont devenus moins sûrs, mais un changement structurel de notre capacité collective à détecter les failles, dont la découverte assistée par IA est un moteur principal.

Comment ça fonctionne

La prévision repose sur un modèle de lissage exponentiel (ExponentialSmoothing) entraîné sur les volumes quotidiens de publication de CVE de janvier 2020 au 30 avril 2026, puis comparé à la base de référence de février 2026. La méthodologie complète, les données en temps réel et les scripts Python sont publics sur GitHub.

Le FIRST attribue l’écart à trois moteurs structurels. D’abord, la découverte assistée par IA : des agents autonomes de recherche de bogues comme Mythos d’Anthropic et GPT-5.4-Cyber d’OpenAI ont accru de façon mesurable le volume de failles trouvées. Mozilla en est l’illustration la plus nette — un pic de 164 % des divulgations de CVE du CNA Mozilla au premier trimestre, lié à un harnais IA ayant trouvé et corrigé 271 bogues latents pour la version Firefox 150 (voir notre couverture de Project Glasswing). Ensuite, l’expansion du catalogage : une hausse de 449 % en glissement annuel du volume des GitHub Security Advisories et une augmentation de 3 119 % de l’activité « CNA-of-Last-Resort » de VulnCheck, en grande partie du rattrapage d’un arriéré non assigné. Enfin, la croissance logicielle : le nombre de produits distincts avec des vulnérabilités suivies a crû de deux ordres de grandeur, alimentant la charge de travail indépendamment de l’IA ou du catalogage.

Pourquoi c’est important

La partie la plus utile de la prévision est une distinction que le FIRST appelle « la pluie contre l’inondation » (Rain vs. Flood). Le volume total de CVE, c’est la pluie. L’eau qui menace réellement d’inonder la maison — les vulnérabilités exploitées dans la nature ou susceptibles de l’être bientôt — est une chose bien plus restreinte et distincte. Lorsqu’on filtre la vague jusqu’à cet ensemble actionnable (entrées CISA KEV ou scores EPSS supérieurs à 10 %), la charge de correctifs n’a pas augmenté de façon significative. Seule une petite fraction des CVE 2026 atteint le niveau où les défenseurs doivent agir vite, et cette part est restée stable sur l’année.

Pour les opérateurs de systèmes LLM et IA en particulier, deux effets de second ordre comptent. Les assistants IA génèrent et déploient désormais du code éphémère porteur de failles qu’aucun registre CVE ne voit jamais, créant un risque qui vit entièrement hors des bases nationales. Et la capacité offensive qui accélère la découverte est aussi disponible côté défense : le FIRST présente la fin 2026 comme une course entre la génération d’exploits par IA et la génération de correctifs et de signatures de détection par IA. Le goulet d’étranglement, insiste la prévision, est la capacité humaine à vérifier, coordonner et prioriser — pas la découverte elle-même.

Défenses

Les recommandations du FIRST se traduisent directement en un plan de triage :

  • Adoptez dès maintenant les surcouches d’exploitabilité. EPSS et le catalogue CISA KEV restent les outils les plus efficaces pour séparer le signal du bruit. Trier sur « est-ce réellement exploité ou susceptible de l’être » maintient la charge gérable sans dimensionner les effectifs sur le nombre brut de CVE.
  • Recadrez les budgets autour de la croissance logicielle, pas des gros titres. La multiplication des produits distincts porteurs de vulnérabilités pèse davantage que tout cycle d’actualité ; dimensionnez votre capacité sur la diversité de votre parc.
  • Prévoyez environ le double de travail de maintenance. Les équipes qui maintiennent du code doivent s’attendre à environ deux fois la charge de vérification-et-correction ; les équipes qui patchent des systèmes en production peuvent s’attendre à une charge stable jusqu’à fin 2026.
  • Suivez ce que les bases ne voient pas. Le code éphémère généré par IA exige un catalogage dynamique, des nomenclatures d’IA (AIBOM) et des moniteurs d’exécution, car il obtient rarement un CVE.
  • Misez sur l’IA défensive. Une découverte plus rapide libère de l’effort pour corriger les failles à la racine et potentiellement éliminer des classes entières de vulnérabilités — mais un humain doit encore écrire la signature de détection.

État des lieux

ÉlémentValeur (FIRST, 15 juin 2026)
Projection 2026 révisée~66 000 CVE
Médiane de février 202659 427 CVE
Écart vs février+46,3 % (6 420 en excès jusqu’en avril)
Volume GHSA (en glissement annuel)+449 %
CNA-of-Last-Resort VulnCheck (en glissement annuel)+3 119 %
Sous-ensemble actionnable (KEV / EPSS >10 %)Stable
Entrées CISA KEV (1er mai 2026)1 587
CVE avec scores EPSS (1er mai 2026)329 934

Dates clés : 11 février 2026 — prévision 2026 de référence. 15 juin 2026 — révision de mi-année à ~66 000 CVE.

Sources