En bref : La vulnérabilité critique moyenne met 74 jours à être remédiée. Les attaquants n'ont besoin que de 4 jours pour l'exploiter. Ce fossé de 70 jours est là où les violations se produisent. Le problème n'est pas la découverte -- le pentesting moderne trouve de nombreuses vulnérabilités. Le problème est ce qui se passe après la livraison du rapport : 45 % des constatations restent non résolues après 12 mois, les coûts de remédiation augmentent de 10 à 100 fois plus longtemps on attend, et personne ne reteste pour confirmer que les corrections fonctionnent réellement. Combler ce fossé de remédiation nécessite un retest automatisé, une attribution claire de la propriété et une approche fondamentalement différente de la façon dont les constatations de pentest passent du rapport à la résolution.
Les équipes de sécurité ont passé des décennies à s'améliorer dans la découverte de vulnérabilités. Les scanners sont plus rapides. Les pentesters sont plus qualifiés. Les plateformes alimentées par IA peuvent découvrir des chemins d'attaque qui auraient pris des semaines aux testeurs humains. L'industrie a investi des milliards dans la capacité de détection, et cela se voit.
Mais trouver des vulnérabilités n'a jamais été la partie difficile. Les corriger, si.
Les données brossent un tableau sévère. Selon les recherches du Ponemon Institute et de Mandiant, le temps moyen pour remédier une vulnérabilité critique dans les environnements d'entreprise est de 74 jours. Pour les constatations de sévérité élevée, ce chiffre s'étend à 90 jours ou plus. Pendant ce temps, les données de renseignement sur les menaces de Mandiant montrent que le temps médian pour les acteurs de la menace de développer et déployer des exploits pour les vulnérabilités nouvellement divulguées est tombé à seulement 4 jours -- un chiffre qui a baissé régulièrement depuis 32 jours en 2020.
Cette fenêtre de 70 jours entre le moment où une vulnérabilité est découverte et le moment où elle est réellement corrigée est là où la grande majorité des violations se produit. C'est le fossé le plus dangereux dans la sécurité d'entreprise, et aucun scan ou test supplémentaire ne le comblera. Seuls des changements opérationnels dans la façon dont les organisations gèrent, priorisent et vérifient la remédiation feront la différence.
L'ampleur du problème de remédiation
Les chiffres ne s'améliorent pas. Une analyse 2025 de la Cyber Risk Alliance a révélé que 45 % des vulnérabilités identifiées par pentesting restent non résolues 12 mois après leur découverte. Pas 12 jours -- 12 mois.
Ce n'est pas un problème technologique. C'est un problème opérationnel.
Pourquoi les constatations restent non résolues
Le problème rapport-action
Le rapport lui-même est souvent le premier goulot d'étranglement. Comme nous l'avons exploré dans notre guide sur la qualité des rapports de pentest, un PDF de 200 pages avec 87 constatations est écrasant. Les équipes de sécurité passent des jours à trier. Les équipes d'ingénierie reçoivent des tickets avec des conseils de remédiation génériques qui ne se traduisent pas en tâches de développement exploitables.
Le fossé de propriété
De nombreuses constatations tombent dans l'écart entre les équipes. Les recherches du rapport State of Software Security de Veracode ont révélé que 70 % des vulnérabilités qui restent ouvertes après 90 jours ont été réassignées au moins une fois. Chaque réassignation ajoute en moyenne 14 jours au délai de remédiation.
Le vide de vérification
Même quand une correction est déployée, il y a rarement un mécanisme pour confirmer qu'elle fonctionne réellement. Les données de réponse aux incidents de Mandiant montrent que 23 % des vulnérabilités « remédiées » restent exploitables après le déploiement initial de la correction. Près d'une correction sur quatre ne fonctionne pas.
Le coût de la remédiation différée
Une vulnérabilité détectée et corrigée pendant le développement coûte en moyenne 500 $ à 1 000 $. La même vulnérabilité trouvée en environnement de staging coûte 5 000 $ à 10 000 $. Une fois en production, le coût monte à 15 000 $ à 50 000 $. Si cette vulnérabilité est exploitée, les coûts deviennent catastrophiques -- le rapport IBM 2024 place le coût moyen d'une violation à 4,88 millions de dollars globalement.
« La vulnérabilité la plus dangereuse dans votre environnement n'est pas celle que vous n'avez pas encore trouvée. C'est celle que vous avez trouvée il y a trois mois et que vous n'avez toujours pas corrigée. »
Le problème du retest
Le pentesting traditionnel traite la vérification de la remédiation comme une considération secondaire. Le modèle d'engagement ressemble à ceci : le testeur livre le rapport, le client a 30 à 90 jours pour remédier, puis le testeur revient pour un retest. Ce modèle a trois problèmes fondamentaux : les délais de planification, la perte de contexte et la couverture incomplète.
Comment le retest automatisé boucle la boucle
Le retest automatisé change fondamentalement le modèle de vérification de la remédiation. Au lieu de planifier un retour du testeur humain des semaines plus tard, la preuve de concept d'exploitation originale est stockée et ré-exécutée automatiquement après le déploiement d'une correction.
Voici comment le workflow change avec le retest automatisé :
- Le pentest identifie la vulnérabilité. La plateforme documente la chaîne d'exploitation exacte.
- La constatation est rapportée avec des conseils de remédiation. Des instructions de correction contextualisées sont fournies.
- L'ingénierie déploie la correction. Le ticket est mis à jour avec les détails de la correction.
- Le retest automatisé s'exécute. La plateforme ré-exécute l'exploitation originale contre le système corrigé. Si l'exploitation réussit, la constatation reste ouverte. Si elle échoue, la constatation est marquée comme vérifiée-résolue.
- Surveillance continue des régressions. La plateforme ré-exécute périodiquement les exploitations vérifiées-résolues pour détecter les régressions.
L'impact sur les délais de remédiation
Les organisations qui implémentent le retest automatisé voient des améliorations spectaculaires :
- Le temps moyen de remédiation passe de 74 jours à moins de 14 jours pour les constatations critiques.
- Le taux de vérification des corrections passe de 20 % à 100 %. Chaque constatation est retestée.
- Le taux de régression diminue de 80 %.
- L'arriéré global de vulnérabilités diminue de 60 % en 6 mois.
Étapes pratiques pour combler le fossé de remédiation
Priorisez par exploitabilité, pas seulement par sévérité
Les scores CVSS sont utiles mais insuffisants pour la priorisation. L'exploitabilité validée est le signal de priorisation le plus fiable disponible.
Attribuez une propriété claire
Chaque constatation doit avoir un seul propriétaire -- pas une équipe, pas une liste de diffusion, une personne nommée.
Définissez et appliquez des SLA de remédiation
Définissez des délais explicites par sévérité : constatations critiques remédiées en 7 jours, élevées en 14, moyennes en 30, faibles en 90.
Implémentez le retest automatisé
Remplacez le modèle de retest manuel par une vérification continue et automatisée.
Mesurez et rapportez les métriques de remédiation
Suivez le temps moyen de remédiation (MTTR), le taux de vérification des corrections, le taux de régression et la distribution de l'âge de l'arriéré.
L'argumentaire commercial pour combler le fossé
Pour les organisations portant une cyberassurance, la vitesse de remédiation démontrable devient un facteur dans le calcul des primes. Les organisations qui peuvent démontrer un MTTR inférieur à 14 jours pour les constatations critiques sont positionnées pour de meilleures conditions de couverture et des primes plus basses.
L'investissement pour combler le fossé de remédiation -- retest automatisé, changements de processus, mécanismes de responsabilité -- est modeste par rapport au coût d'une seule violation. Mais l'impact se compose dans le temps. Une remédiation plus rapide signifie moins de vulnérabilités ouvertes à tout moment. Moins de vulnérabilités ouvertes signifie une surface d'attaque plus petite. Une surface d'attaque plus petite signifie une probabilité de violation réduite.
Trouver des vulnérabilités est important. Les corriger est ce qui réduit réellement le risque. Le fossé de remédiation de 74 jours est l'opportunité d'amélioration la plus actionnable dans les programmes de sécurité de la plupart des organisations, et le combler commence par changer la façon dont les constatations passent du rapport à la résolution et comment les corrections sont vérifiées une fois déployées.
Questions Fréquemment Posées
Combien de temps faut-il pour remédier une vulnérabilité critique ?
La moyenne de l'industrie est de 74 jours pour les vulnérabilités critiques. Cependant, les attaquants n'ont typiquement besoin que de 4 jours pour exploiter une vulnérabilité nouvellement découverte. Ce fossé de 70 jours entre la découverte et la remédiation est là où se produisent la plupart des violations. Les organisations avec des programmes de retest automatisé réduisent ce délai à moins de 14 jours.
Pourquoi les constatations de pentest restent-elles non résolues ?
45 % des vulnérabilités découvertes restent non résolues après 12 mois. Les raisons courantes incluent : des volumes de rapports écrasants sans priorisation claire, l'absence de propriétaire pour la remédiation, pas de retest automatisé pour vérifier les corrections, des priorités concurrentes des équipes de développement, et l'hypothèse que l'application d'un correctif résout automatiquement la vulnérabilité.
Qu'est-ce que le retest automatisé en pentesting ?
Le retest automatisé ré-exécute la preuve de concept d'exploitation originale après l'application d'une correction pour vérifier que la vulnérabilité est réellement résolue. Contrairement au retest manuel qui nécessite de réengager le testeur original et de rétablir le contexte, le retest automatisé s'exécute en continu sans surcharge de coordination, confirmant que les corrections fonctionnent et détectant les régressions.