Ne prenez pas votre mercredi quand vous gérez des vulnérabilités
Nous avons analysé ~355 000 CVE publiées et l'intégralité du catalogue KEV (Known Exploited Vulnerabilities) de la CISA. Les données ont un avis très tranché sur le moment où vous ne devriez surtout pas siroter quelque chose de frais sur une plage : le milieu de la semaine. Tout le monde sait qu'il faut craindre le Patch Tuesday, mais le jour d'après, plus discret, est le plus critique : le mercredi. Prenez ces deux jours-là, et vous aurez du tri à faire à votre retour et peut-être une urgence à gérer.
Le mardi semble être le jour le plus chargé
Lorsque l'on classe les jours de la semaine par volume brut de CVE, le mardi arrive bien en tête :
| Jour | Part de toutes les CVE |
|---|---|
| Mardi | 20,9 % |
| Mercredi | 20,7 % |
| Jeudi | 18,8 % |
| Vendredi | 17,1 % |
| Lundi | 15,2 % |
| Samedi | 3,8 % |
| Dimanche | 3,4 % |
Affaire classée, non ? Le mardi gagne, l'effet Patch Tuesday est réel, on planifie en conséquence, terminé.
Sauf que cette avance infime du mardi cache quelque chose. Un seul mardi fait exploser les compteurs, et il tire toute la moyenne du jour vers le haut. Les autres ? Parfaitement ordinaires.
| Mardi du mois | CVE publiées / jour (moy.) |
|---|---|
| 1er | 58 |
| 2e (Patch Tuesday) | 99 |
| 3e | 59 |
| 4e | 55 |
| 5e | 53 |
Un mardi normal publie ~55 CVE, moins qu'un jeudi, à peine plus qu'un lundi. Le deuxième mardi en publie presque le double. Ce pic récurrent est la seule et unique raison pour laquelle le mardi domine le classement. Retirez-le, et le mardi devient un jour normal.
Alors si le classement du mardi est trompeur, quel jour est véritablement le plus chargé ?
Le mercredi est le plus actif
Retirez le pic du Patch Tuesday et le jour de la semaine qui porte le plus de publications de vulnérabilités change !
| Jour (Patch Tuesday exclu) | CVE / jour (moy.) |
|---|---|
| Mercredi | 65 |
| Jeudi | 60 |
| Mardi | 57 |
| Vendredi | 55 |
| Lundi | 53 |
Le mercredi l'emporte. Le véritable rythme hebdomadaire de la divulgation, c'est une bosse de milieu de semaine qui culmine le mercredi, puis décline jusqu'au vendredi et s'effondre le week-end.
Autre statistique intéressante : le mardi n'est même devenu le jour n°1 en volume brut qu'en 2023. Pendant longtemps, le jour le plus chargé était le mercredi. Le mardi n'a pris la couronne que récemment, porté par un pic Patch Tuesday toujours plus gros. Merci Microsoft !
Les vulnérabilités qui font vraiment mal tombent elles aussi le mercredi
Les vulnérabilités exploitées, c'est finalement les plus importantes. Nous avons donc refait la même analyse sur le catalogue KEV de la CISA, les ~1 600 CVE confirmées comme exploitées dans la nature.
Regardez le jour où la CISA ajoute une vulnérabilité au KEV, le moment où une vulnérabilité devient officiellement exploitée par des attaquants :
| Jour d'ajout au KEV par la CISA | Part |
|---|---|
| Mercredi | 31,7 % |
| Jeudi | 19,7 % |
| Lundi | 18,9 % |
| Mardi | 18,1 % |
| Vendredi | 11,6 % |
| Samedi | 0 % |
| Dimanche | 0,1 % |
Le mercredi, encore. Et de loin. La CISA fonctionne sur un calendrier de jours ouvrés administratifs, ce qui explique que le catalogue compte quasi zéro vulnérabilité le week-end. La seule exception en plus de trois ans : la CVE-2025-53770, une faille critique de SharePoint exploitée en masse, ajoutée un dimanche parce qu'elle ne pouvait pas attendre le lundi (elle a fait mal effectivement 😣).
C'est ça qui compte. Votre semaine a un rythme en deux temps : le mardi, vous lisez le problème ; le mercredi, il est dans votre file. Les divulgations du mardi doivent être triées le mercredi. Les verdicts « exploité dans la nature » de la CISA tombent le mercredi. Le pic naturel de divulgation est le mercredi. Tout le monde se prépare pour le mardi, fonce tête baissée, survit au feu d'artifice. Et la vraie charge, durable, arrive le lendemain matin, quand la moitié de l'équipe a déjà décroché mentalement.
Et la pire semaine du mois ? La deuxième.
Le rythme ne se joue pas qu'à l'échelle de la journée, il se voit aussi sur le mois. Regroupez les CVE par semaine du mois et une semaine se détache nettement :
| Semaine du mois | CVE / jour (moy.) |
|---|---|
| 1re (jours 1–7) | 48,5 |
| 2e (jours 8–14) | 60,7 |
| 3e (jours 15–21) | 52,7 |
| 4e (jours 22–28) | 46,8 |
| 5e (jours 29–31) | 42,5 |
La deuxième semaine, celle qui contient le Patch Tuesday, est la plus chargée : environ 25 % au-dessus de la première et 30 % au-dessus de la quatrième. Et ce n'est pas qu'une histoire de mardi. Comparés au même jour des autres semaines, le mercredi et le jeudi du Patch Tuesday sont eux aussi gonflés (+15 % et +29 %), alors que le lundi et le vendredi, eux, ne bougent pas. La raison : beaucoup d'éditeurs calent leur divulgation sur la semaine du Patch Tuesday, avec Microsoft le mardi, Adobe, SAP, Siemens et d'autres dans la foulée, ce qui étale la vague de publication du mardi au jeudi.
Autrement dit, la zone à risque n'est pas une date, c'est une fenêtre : du deuxième mardi au jeudi du mois. C'est précisément là qu'il ne faut pas partir en vacances 😬.
Et le mois le plus chargé ? Décembre
Regroupez les CVE par mois et un mois se détache nettement :
| Mois | CVE / mois (moy.) | CVE / jour (moy.) |
|---|---|---|
| Janvier | 2 481 | 82,3 |
| Février | 2 163 | 78,0 |
| Mars | 2 482 | 81,6 |
| Avril | 2 566 | 87,2 |
| Mai | 2 597 | 89,6 |
| Juin | 2 377 | 81,6 |
| Juillet | 2 333 | 78,1 |
| Août | 2 449 | 82,0 |
| Septembre | 2 453 | 85,4 |
| Octobre | 2 527 | 88,4 |
| Novembre | 2 378 | 82,4 |
| Décembre | 2 932 | 97,3 |
Contre toute attente, c'est décembre qui décroche la palme : ~97 CVE/jour, environ 18 % au-dessus de la moyenne annuelle. Avec Noël au milieu ? Justement, c'est la ruée de fin d'année : éditeurs et CNA vident leur backlog avant la clôture. La magie de Noël, version CVE 🎅. À l'opposé, les mois les plus calmes sont février et juillet (~78/jour).
La publication des CVE est toujours liée aux États-Unis
Si le rythme hebdomadaire suit le calendrier, le rythme annuel vous dit quelles sont les sources (si on avait encore un doute 😝). Pour mesurer chaque jour férié, nous l'avons comparé au même jour de semaine de la même année (un jour férié tombant un lundi en 2023 est jugé face aux autres lundis de 2023), afin que la croissance effrénée des CVE d'une année sur l'autre ne fausse pas le tableau. Nous avons pris la médiane sur les années (pour qu'un jour aberrant ne déforme pas tout) et compté seulement les années où le jour férié tombait un jour ouvré, là où il y avait de la marge pour chuter.
La preuve tient dans un seul type de jour férié : ceux que seuls les États-Unis ont. Bon, ce n'est pas une surprise non plus 😄. Avec 276 CNA, les États-Unis sont le n°1 de l'écosystème CVE.
| Jour férié uniquement américain | Tombe toujours un | Volume vs un même jour normal |
|---|---|---|
| Thanksgiving | jeudi | 25 % |
| Memorial Day | lundi | 31 % |
| Independence Day (4 juillet) | (variable) | 43 % |
Thanksgiving est significatif. Quasiment personne ne le célèbre en dehors des États-Unis. Il tombe toujours un jeudi, normalement l'un des jours les plus chargés de la semaine, et pourtant la publication de CVE chute au quart de la normale. Le reste de la planète travaille un jeudi ordinaire.
Petite curiosité : le 4 juillet est le jour férié le plus capricieux du lot. La plupart des années, il s'effondre comme prévu, sauf en 2025 où 188 CVE ont été estampillées ce vendredi férié, soit plus du double d'un vendredi normal. Toute la semaine autour était pourtant au ralenti : un arriéré de publications s'est manifestement déversé d'un coup le jour même. C'est exactement pour ça qu'on raisonne en médiane et pas en moyenne, sinon ce seul 4 juillet ferait grimper de 43 % à 74 %.
Les jours fériés que tout le monde prend chutent aussi, mais ils ne prouvent rien sur les États-Unis :
| Jour férié partagé mondialement | Volume vs un même jour normal |
|---|---|
| Jour de l'An (1er janvier) | 12 % |
| Noël | 19 % |
Noël et le Jour de l'An s'effondrent encore plus fort. Ça montre que ce sont encore des humains qui pilotent la divulgation. Le jour où ces chiffres changeront à la hausse, ça voudra dire que l'IA aura pris le contrôle !
Un dernier indice, mensuel celui-là. L'Europe se vide en août : si le flux de CVE était piloté depuis le Vieux Continent, août devrait s'effondrer. Or il ne bronche pas (82 CVE/jour), il est pile dans la moyenne annuelle. Un seul jour férié américain (Thanksgiving) fait chuter la production mondiale à 25 %, mais tout le mois de vacances européen, lui, ne laisse aucune trace. Difficile d'être plus clair sur l'origine du flux.
La conclusion est difficile à éviter : le flux mondial de divulgation des vulnérabilités tourne au rythme du calendrier ouvré américain. Il grimpe en milieu de semaine et meurt le week-end. Et il s'éteint précisément les jours où l'Amérique est off. Le même rythme humain qui fait du mercredi le vrai pic est celui qui fait disparaître Thanksgiving.
Quand faut-il prendre ses vacances, concrètement
Trêve de stats. Sortez votre calendrier de congés, voici le mode d'emploi !
- À éviter : du deuxième mardi au jeudi du mois. Le mardi (Patch Tuesday) déclenche la vague, le mercredi est le vrai pic avec divulgation brute et ajouts au KEV, et la traîne court jusqu'au jeudi. Si vous ne deviez bloquer que trois jours par mois, ce sont ceux-là. Le mercredi, en particulier, est votre jour sans congé absolu.
- À privilégier : la dernière semaine du mois et les week-ends. Les jours de 4e/5e semaine sont les plus calmes, et le week-end éditeurs et CISA s'éteignent tous les deux. Vous cherchez une vraie coupure ? Visez la fin de mois et les mois de février et juillet.
- Le bonus : les jours fériés américains. Un Thanksgiving, un Memorial Day ou un 4 juillet, et le flux mondial de CVE tombe au quart de la normale. Même sans poser de congé, l'écosystème vous offre la pause.
Alors bien sûr que c'est du second degré et que vous pouvez partir plus de 3 jours en vacances 😝. Prévoyez juste quelqu'un qui vous remplace !
Méthodologie
- Périmètre : ~355 000 CVE disposant d'une date de publication enregistrée, et l'intégralité du catalogue KEV de la CISA (1 611 entrées, lancé en novembre 2021).
- Temporalité : le jour de la semaine est calculé à partir de la date de publication de la CVE ; la temporalité KEV s'appuie sur le champ « date d'ajout » de la CISA.
- Patch Tuesday : défini comme le deuxième mardi du mois calendaire (
ceil(jour_du_mois / 7) = 2). - Chiffres journaliers : des moyennes qui tiennent compte du nombre variable de chaque jour de semaine dans le jeu de données, afin qu'un pic mensuel ne puisse pas se faire passer pour une norme quotidienne.
- Jours fériés : années civiles complètes 2019–2025. Chaque occurrence est comparée à la moyenne du même jour de semaine de la même année (Thanksgiving face aux autres jeudis de l'année, Memorial Day face aux lundis, etc.), à année égale pour neutraliser la croissance d'environ 2× du volume sur la période.
- Médiane plutôt que moyenne : on rapporte la médiane des ratios sur les années, robuste aux publications par lots ponctuelles (le 4 juillet 2025, par exemple, a vu un arriéré anormal de 188 CVE estampillées ce jour férié).
- Jours ouvrés uniquement : seules les années où un jour férié tombait un jour ouvré sont comptées (5 à 7 par jour férié), afin qu'un jour férié tombant un week-end ne soit pas crédité d'une « chute » artificielle.
- Sources : le registre public NVD/CVE et le catalogue Known Exploited Vulnerabilities de la CISA. Aucune donnée d'éditeur ni score propriétaire n'a été utilisé. Ces chiffres restent indicatifs.