
Baisse du temps d’intrusion : bonne ou mauvaise nouvelle ?
Les chercheurs de Google Mandiant ont récemment constaté que le temps moyen d’intrusion des pirates informatiques était en baisse. Que ce soit une bonne ou une mauvaise nouvelle, ou un peu des deux, tout dépend de ce qui est à l’origine de cette situation.
Qu’est-ce que le temps d’intrusion ?
Le temps d’intrusion ou de présence est simplement la durée pendant laquelle un intrus cyber conserve l’accès au réseau dans lequel il s’est introduit.
Le temps d’intrusion prend fin dans l’une des circonstances suivantes :
La victime détecte l’intrusion et répond pour l’évincer et la bloquer.
Le pirate atteint son objectif, par exemple l’exfiltration de données volées, et se retire du réseau. Bien sûr, dans ce cas, il conserve la possibilité de revenir à tout moment, ce qu’il fera très probablement.
Le pirate fait exploser une charge utile bruitée, le plus souvent une attaque par ransomware, annonçant ainsi sa présence.
Différents types d’attaques, avec des objectifs différents, ont généralement des temps d’intrusion très différents. Par exemple, le temps d’intrusion d’une attaque par ransomware est généralement de quelques jours à quelques semaines maximum. Une fois que les pirates ont trouvé et compromis les données qu’ils veulent conserver contre rançon, ils n’ont plus aucune raison de prolonger leur présence, au risque d’être finalement découverts.
À l’opposé, les intrusions récemment découvertes dans les systèmes d’infrastructures critiques par le groupe de pirates chinois Volt Typhoon se sont révélées être en place depuis cinq ans dans certains cas (voir ce récent article de blog pour plus de détails). L’une des raisons pour lesquelles ils sont passés inaperçus pendant si longtemps est qu’ils n’avaient aucun objectif immédiat d’espionnage ou de vol de données, de sorte que leurs mouvements latéraux ou autres activités sur le réseau étaient extrêmement limités. Une autre hypothèse est qu’ils utilisaient des techniques avancées d’exploitation des ressources locales ou LoTL (living-off-the-land) pour minimiser les traces de leur présence.
Pourquoi les temps d’intrusion sont-ils de plus en plus courts ?
Alors, comment expliquer la réduction des temps moyens d’intrusion ? En fait, il existe un certain nombre de facteurs liés qui agissent ensemble.
D’une part, les progrès des technologies et des stratégies de sécurité ont permis aux organisations qui les mettent en œuvre de détecter plus facilement les menaces présentes sur leurs réseaux. La détection et la réponse étendues (XDR), et en particulier les solutions XDR gérées (telles que Barracuda Managed XDR) augmentent les chances de détecter un comportement anormal sur le réseau et d’y répondre. En effet, toutes les activités sont activement surveillées 24/7, ce qui est impossible pour des équipes informatiques classiques disposant de ressources limitées.
D’autre part, les pirates ont réagi à cette capacité de détection accrue en accélérant leurs processus. Les acteurs de la menace qui prenaient autrefois le temps d’explorer en profondeur un réseau cible en s’assurant d’obtenir les niveaux d’accès les plus élevés et de découvrir toutes les données susceptibles de présenter de la valeur, suivent désormais un agenda plus précipité. Ils sont plus susceptibles de glaner ce qu’ils peuvent aussi vite que possible et d’être contents d’avoir obtenu quelque chose plutôt que rien avant d’être détectés et expulsés.
Les opérateurs de ransomwares, en particulier, accélèrent leurs attaques et deviennent bruyants dès qu’ils contrôlent une quantité décente de données. C’est pourquoi les menaces de ransomware ont connu la plus forte baisse des temps d’intrusion, passant de dix à cinq jours en moyenne.
Pour de nombreux types de menaces, l’accès aux systèmes Active Directory est une première étape critique. Le temps qu’il faut à des attaquants sophistiqués pour passer ce barrage et parvenir à élever leurs droits d’accès est maintenant réduit à 16 heures en moyenne.
Conséquences pour votre entreprise
Pour répondre à la question en introduction de cet article, ce n’est pas vraiment une bonne ou une mauvaise nouvelle, mais simplement le résultat naturel de l’éternelle course aux armements entre les acteurs de la menace et les professionnels de la sécurité.
Cela indique toutefois qu’il est de plus en plus important pour toutes les organisations de mettre en œuvre des stratégies de détection et de réponse modernes qui tirent parti de l’IA, de l’automatisation et de personnel dédié pour assurer une surveillance 24/7, c’est-à-dire une solution XDR si vous avez un SOC doté de ressources suffisantes, ou une solution XDR gérée si vous n’en avez pas.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter