Qu'est-ce qu'un zero-day, et comment se défendre contre quelque chose sans correctif ?
Réponse courte
Un zero-day est une vulnérabilité que l'éditeur ne connaît pas encore (ou n'a pas corrigée), de sorte que les défenseurs ont eu « zéro jour » pour la corriger. Comme aucun correctif n'existe, la défense repose sur des contrôles en couches, la détection comportementale, la segmentation, le moindre privilège et une réponse rapide aux incidents plutôt que sur une signature.
Le terme paraît dramatique, et les recruteurs veulent voir que vous savez le définir précisément et raisonner sur la défense lorsque la réponse habituelle — « appliquer le correctif » — n'est pas disponible.
Ce que signifie « zero-day »
Une vulnérabilité zero-day est un défaut que l'éditeur du logiciel ne connaît pas encore ou n'a pas encore corrigé. Le nom vient du fait que l'éditeur a eu zéro jour pour développer un correctif. Un exploit zero-day est du code d'attaque fonctionnel pour un tel défaut, et une attaque zero-day est son utilisation dans la nature avant qu'un correctif n'existe.
À l'opposé, un n-day est une vulnérabilité qui est connue et corrigée, mais où certains systèmes restent non corrigés. La plupart des compromissions réelles exploitent en fait des n-days, car les organisations sont lentes à corriger.
Pourquoi ils sont dangereux
Les défenses basées sur les signatures (antivirus, règles IDS) reposent souvent sur la connaissance préalable de la menace. Un véritable zero-day n'a pas de signature, donc ces outils peuvent le manquer entièrement, et il n'y a pas de correctif à déployer.
Comment se défendre sans correctif
Vous passez de « bloquer le connu » à la résilience et la profondeur :
- Défense en profondeur pour qu'aucun contournement unique ne mène à une compromission totale.
- Détection comportementale et par anomalies (EDR, analytique réseau) qui signale des actions suspectes plutôt que des signatures connues.
- Moindre privilège et segmentation pour limiter le rayon d'impact.
- Patch virtuel / règles WAF pour atténuer temporairement les voies d'exploitation.
- Renseignement sur les menaces et correction rapide pour déployer le correctif de l'éditeur dès sa sortie.
- Un plan de réponse aux incidents répété pour le moment où la prévention échoue.
Pourquoi c'est important
Les recruteurs vérifient si vous paniquez ou si vous pensez en systèmes. Un candidat qui définit correctement le zero-day, le distingue des n-days et explique une défense en couches et comportementale montre qu'il comprend que la sécurité consiste à réduire le risque, pas à courir après un blocage parfait.
Questions de suivi probables
- En quoi un zero-day diffère-t-il d'un n-day ou d'une CVE connue ?
- Quelles approches de détection fonctionnent en l'absence de signature ?
- Qu'est-ce que la divulgation responsable ?