● Numerama 📅 05/04/2026 à 11:04

Cybersécurité 👤 Amine Baba Aissa

🏷️ Tags : ransomware rag réseau rte

Lecture Zen Résumer l'article Selon Google Security, le « dwell time » médian atteint 14 jours en 2025 (11 en 2024), porté par la résurgence des APT et l’activité d’agents nord-coréens sous couverture. Le « dwell time » s’arrête à la détection de l’intrusion — et non au départ de l’attaquant —, ce qui en fait un indicateur de la vigilance et de la réactivité défensives. La chute des rançongiciels (environ 13 % des investigations) et le pivot vers le vol discret de données réduisent les auto‑révélations, allongeant mécaniquement la durée moyenne. Selon Google Security, le « dwell time » médian atteint 14 jours en 2025 (11 en 2024), porté par la résurgence des APT et l’activité d’agents nord-coréens sous couverture. Le « dwell time » s’arrête à la détection de l’intrusion — et non au départ de l’attaquant —, ce qui en fait un indicateur de la vigilance et de la réactivité défensives. La chute des rançongiciels (environ 13 % des investigations) et le pivot vers le vol discret de données réduisent les auto‑révélations, allongeant mécaniquement la durée moyenne. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Dans le jargon de la cybersécurité, le dwell time (ou temps de présence) est une statistique scrutée à la loupe. Elle représente le temps qui s’écoule lors d’une intrusion informatique. Mais contrairement à ce que l’on pourrait penser de prime abord, la façon dont ce délai est calculé cache une subtilité importante. Lorsqu’un réseau informatique est compromis, l’un des premiers indicateurs scrutés est le temps passé par les pirates à l’intérieur du système avant d’être découverts, ce que l’on appelle le dwell time. Cet indicateur est crucial : il permet aux entreprises d’évaluer leur capacité de détection et de réaction face aux menaces. À une échelle plus large, il offre aussi une lecture précieuse de l’équilibre des forces entre attaquants et équipes de cyberdéfense. D’après le dernier rapport de Google Security paru en 2026, le dwell time médian s’est établi à 14 jours en 2025, contre 11 jours en 2024. Une hausse que l’entreprise attribue notamment à la résurgence des campagnes d’espionnage de longue durée menées par des groupes dits APT (Advanced Persistent Threats) et à l’activité croissante des agents nord coréens opérant sous couverture à l’international. Mais au fait, sur quoi repose exactement ce chronomètre invisible qui mesure la furtivité des intrusions ? Pour en comprendre les ressorts et les limites, nous avons échangé avec David Grout, directeur technique pour la zone Europe, Afrique et Moyen-Orient chez Google Cloud Security, et Thiébaut Meyer, directeur des stratégies de sécurité au sein de la même division. Faux SMS, mails frauduleux… Ne tombez plus dans le piège ! Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security. Sponsorisé Je me protège contre les arnaques. Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube. Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus) En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires. Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies. J’accepte tout Gérer mes choix Le dwell time s’arrête quand le pirate est détecté Intuitivement, on pourrait croire que le dwell time mesure la durée pendant laquelle un cybercriminel circule activement dans les serveurs d’une entreprise, et que le chronomètre s’arrête dès qu’il se déconnecte avec son butin. En réalité, l’investigation numérique raconte une tout autre histoire. « D’un point de vue technique, le fait que l’attaquant soit sorti du réseau n’arrête pas le dwell time », explique David Grout. « La véritable règle de mesure ne dépend pas des actions du pirate, mais de la vigilance de la victime : le dwell time s’arrête au moment où quelqu’un détecte sa présence. » Autrement dit, le compteur continue de tourner tant que personne n’a repéré la brèche : « Vous pouvez venir en 15 secondes, prendre quelque chose, et repartir ; mais le dwell time s’arrêtera seulement quand vous serez détecté, et cela peut être une semaine plus tard », détaille l’expert. C’est précisément cette nuance qui fait du dwell time un indicateur privilégié pour mesurer la réactivité des équipes de défense, plutôt qu’une simple mesure du talent des attaquants à se dissimuler. Répartition du dwell time (%) en fonction de la durée de présence des intrusions : moins d’une semaine, moins d’un mois, moins de six mois, moins d’un an, moins de cinq ans ou plus. // Source : Google Cloud Security Trois types de détection Puisque l’arrêt du chronomètre dépend directement de la découverte de l’intrusion, les experts veillent à catégoriser avec précision l’origine de l’alerte. Historiquement, une menace pouvait être repérée soit par les outils de sécurité (détection interne), soit par un tiers partenaire, prestataire ou autorité (détection externe). Mais ces dernières années, les tactiques d’extorsion ont fait émerger un troisième scénario, initié cette fois par les pirates eux-mêmes. « Dans les tendances qu’on a vues apparaître depuis quelques années, on observe une nouvelle statistique : la détection par l’attaquant lui-même. Ce sont eux qui déclarent, parfois très directement : ‘Je suis là, je vous ai attaqué.’ », relève David Grout. Cette détection par revendication avait contribué à réduire le dwell time au plus fort des campagnes de ransomware. Or, ces dernières sont en forte baisse en 2025, ne représentant plus qu’environ 13 % des investigations, contre près de 25 % l’année précédente, selon les observations contenues dans le rapport de Google Security. Les experts expliquent cette tendance par un changement radical de stratégie : les cybercriminels privilégient désormais le vol discret de données plutôt que les attaques à rançon bruyantes. Ce virage, amorcé après le durcissement des peines aux États-Unis à la suite de l’affaire Colonial Pipeline, fait mécaniquement remonter la durée moyenne du dwell time au niveau mondial. Votre VPN préféré n'est pas celui que vous croyez Quels sont les meilleurs VPN en 2026 ? Notre comparatif Retrouvez notre comparateur pour choisir le meilleur VPN Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Pour ne rien manquer de l’actualité, suivez Numerama sur Google ! Crédit photo de la une : montage Numerama Signaler une erreur dans le texte Ne plus voir cette pub Ne plus voir cette pub cyberattaque Cybercrime cybersécurité Hackers pirate Sécurité Cybercriminalité Hygiène numérique

🔗 Lire l'article original 👁️ 0 lecture