Qu'est-ce qu'un zero-day ?
Le terme zero-day (ou jour zéro) désigne une vulnérabilité exploitée avant que l'éditeur du logiciel n'en ait connaissance ou n'ait pu publier un correctif. Le nom vient de là : au moment de l'attaque, les défenseurs disposent de zéro jour d'avance pour réagir.
On distingue la vulnérabilité zero-day (la faille elle-même), l'exploit zero-day (le code qui en tire parti) et l'attaque zero-day (son utilisation réelle contre une cible). Ces failles sont recherchées, échangées et parfois vendues à prix fort sur des marchés spécialisés.
Pourquoi c'est important pour votre organisation
Un zero-day contourne par définition les défenses fondées sur la connaissance préalable de la menace, comme les signatures antivirus ou les listes de correctifs. C'est ce qui le rend redoutable et prisé des attaquants les plus avancés.
L'enjeu se déplace donc vers la rapidité de réaction : dès qu'une exploitation devient publique, une course s'engage entre le déploiement du correctif d'un côté et l'exploitation de masse de l'autre. Les organisations lentes à réagir se retrouvent exposées pendant la fenêtre la plus dangereuse.
Comment réduire le risque zero-day
- Réduire la surface d'attaque : moins d'actifs exposés, moins de portes d'entrée.
- Défense en profondeur : segmentation, moindre privilège, isolation des systèmes critiques.
- Détection comportementale : repérer l'activité anormale plutôt que des signatures connues.
- Réaction rapide : un processus capable de déployer un correctif d'urgence en heures, pas en semaines.
Où les organisations pèchent le plus souvent
Beaucoup surinvestissent dans la peur du zero-day tout en négligeant les vulnérabilités connues et non corrigées, qui causent en réalité la majorité des compromissions. L'autre écueil est l'absence de plan de réaction d'urgence : quand un zero-day devient public, il est trop tard pour improviser un processus de correctif accéléré.