Rapports
L'état des tests d'intrusion en 2025 : pourquoi la validation de sécurité pilotée par l'IA est désormais un impératif stratégique
Quand vous vous déconnectez, votre profil Rapport d'enquête sur l'état des tests de pénétration 2025 L'ouvrage de Pentera dresse un tableau saisissant d'un paysage de la cybersécurité en proie à des difficultés et en pleine évolution. Il ne s'agit pas seulement d'une histoire de défense des frontières numériques ; il s'agit d'un modèle illustrant la manière dont les entreprises transforment leur approche de la sécurité, portées par l'automatisation, les outils basés sur l'IA et la pression constante des menaces du monde réel.
Les failles persistent malgré des mesures de sécurité plus importantes
Malgré le déploiement de solutions de sécurité de plus en plus complexes, 67 % des entreprises américaines ont déclaré avoir subi une faille de sécurité au cours des 24 derniers mois. Il ne s'agissait pas non plus d'incidents mineurs : 76 % ont signalé un impact direct sur la confidentialité, l'intégrité ou la disponibilité des données, 36 % ont subi des interruptions de service imprévues et 28 % ont subi des pertes financières.
La corrélation est claire : plus la pile informatique est complexe, plus les alertes et les violations augmentent. Les entreprises utilisant plus de 100 outils de sécurité ont reçu en moyenne 3,074 76 alertes par semaine, tandis que celles utilisant entre 100 et 2,048 outils ont reçu XNUMX XNUMX alertes par semaine.
Pourtant, cette avalanche de données submerge souvent les équipes de sécurité, retardant les temps de réponse et permettant à de véritables menaces de passer entre les mailles du filet.
L'assurance cybersécurité façonne l'adoption des technologies
Les cyberassureurs sont devenus des moteurs inattendus d'innovation en matière de cybersécurité. Un pourcentage impressionnant de 59 % des entreprises américaines ont mis en œuvre de nouveaux outils de sécurité spécifiquement à la demande de leur assureur, et 93 % des RSSI ont indiqué que les assureurs avaient influencé leur stratégie de sécurité. Dans de nombreux cas, ces recommandations allaient au-delà de la conformité : elles ont façonné la stratégie technologique.
L'essor des tests d'intrusion basés sur des logiciels
Les tests d'intrusion manuels ne sont plus la norme. Plus de 55 % des organisations s'appuient désormais sur des tests d'intrusion logiciels dans leurs programmes internes, et 49 % font appel à des prestataires tiers. En revanche, seulement 17 % s'appuient encore exclusivement sur des tests manuels internes.
Ce passage à tests contradictoires automatisés reflète une tendance plus large : la nécessité d'une validation évolutive, reproductible et en temps réel à l'ère des menaces en constante évolution. Ces plateformes automatisées simulent des attaques allant des logiciels malveillants sans fichier à l'escalade de privilèges, permettant aux entreprises d'évaluer leur résilience en continu et sans interruption.
Les budgets de sécurité augmentent rapidement
La sécurité ne diminue pas, mais les entreprises y accordent néanmoins une grande importance. Le budget annuel moyen consacré aux tests d'intrusion s'élève à 187,000 10.5 $, soit 10,000 % des dépenses totales en sécurité informatique. Les grandes entreprises (plus de 216,000 XNUMX employés) dépensent encore plus, soit XNUMX XNUMX $ en moyenne par an.
En 2025, 50 % des entreprises prévoient d'augmenter leurs budgets de tests d'intrusion, et 47.5 % prévoient d'accroître leurs dépenses globales de sécurité. Seules 10 % anticipent une baisse de leurs investissements. Ces chiffres illustrent le passage de la sécurité d'une nécessité opérationnelle à une priorité du conseil d'administration.
Les tests de sécurité sont encore en retard
Voici un décalage surprenant : 96 % des entreprises signalent des changements d'infrastructure au moins une fois par trimestre, mais seulement 30 % effectuent des tests d'intrusion à la même fréquence. Résultat ? De nouvelles vulnérabilités se faufilent à travers les changements non testés, élargissant la surface d'attaque à chaque déploiement logiciel ou mise à jour de configuration.
Seulement 13 % des grandes entreprises de plus de 10,000 XNUMX employés effectuent des tests d'intrusion trimestriels. Parallèlement, près de la moitié d'entre elles ne les effectuent qu'une fois par an, ce qui représente un retard important dans le contexte actuel de menaces dynamiques.
L'alignement des risques est plus précis que jamais
Il est encourageant de constater que les responsables de la sécurité concentrent leurs tests là où les failles se produisent réellement. Près de 57 % d'entre eux privilégient les ressources web, suivies des serveurs internes, des API, de l'infrastructure cloud et des objets connectés. Cette convergence reflète une prise de conscience croissante du fait que les attaquants ne font pas de discrimination : ils exploitent toutes les vulnérabilités disponibles sur l'ensemble de la surface d'attaque.
Les API, en particulier, sont devenues une cible prioritaire, tant pour les attaquants que pour les défenseurs. Ces interfaces sont de plus en plus essentielles aux opérations commerciales, mais manquent souvent de visibilité et de surveillance standard, ce qui les rend vulnérables à l'exploitation.
Opérationnalisation des résultats des tests d'intrusion
Les rapports de tests d'intrusion ne sont plus classés dans les annales. 62 % des entreprises transmettent immédiatement leurs conclusions au service informatique afin de prioriser les mesures correctives, tandis que 47 % partagent les résultats avec la direction générale et 21 % rendent compte directement à leur conseil d'administration ou aux autorités de réglementation.
Cette évolution vers l'action reflète une intégration plus poussée des tests d'intrusion dans la gestion stratégique des risques, et pas seulement dans la vérification de la conformité. La validation de la sécurité devient un élément clé des discussions d'entreprise.
Qu’est-ce qui empêche des progrès encore plus rapides ?
Bien que les tendances soient positives, des freins majeurs subsistent. Les deux principaux obstacles à des tests d'intrusion plus fréquents sont les contraintes budgétaires (44 %) et le manque de testeurs d'intrusion disponibles (48 %), ce dernier reflétant une déficit mondial de 4 millions de professionnels de la cybersécurité, selon le Forum économique mondial.
Le risque opérationnel, comme la crainte de pannes lors des tests, reste une préoccupation pour 30 % des RSSI.
De l'obligation de conformité à l'arme stratégique
Les tests d'intrusion ont largement évolué, dépassant le cadre réglementaire initial. Aujourd'hui, ils soutiennent les initiatives stratégiques, notamment les due diligences en matière de fusions-acquisitions et la prise de décision au niveau exécutif. Près d'un tiers des répondants citent désormais le « mandat exécutif » et la « préparation aux fusions-acquisitions » comme principales raisons justifiant la réalisation de tests d'intrusion.
Il s’agit d’une transformation fondamentale : d’un contrôle réactif à une mesure proactive et continue de la cyber-résilience.
RĂ©flexions finales
Quand vous vous déconnectez, votre profil Rapport d'enquête sur l'état des tests de pénétration 2025 Plus qu'une simple mise à jour, c'est un signal d'alarme. Face à l'augmentation des surfaces d'attaque et à la sophistication croissante des acteurs malveillants, les entreprises ne peuvent plus se permettre des approches lentes, manuelles ou cloisonnées pour les tests de sécurité. Les tests d'intrusion logiciels, basés sur l'IA, viennent combler ce fossé en alliant rapidité, évolutivité et visibilité.
Les organisations qui prospéreront dans cette nouvelle ère seront celles qui traiteront la validation de sécurité non seulement comme une nécessité technique, mais comme un impératif stratégique.
Pour plus d'informations, téléchargez le document complet Rapport d'enquête sur l'état des tests de pénétration 2025 de Pentera.
