29 minutes : le temps qu'il faut pour perdre le contrôle

Vingt-neuf minutes pour tout perdre

C'est le temps dont dispose un attaquant pour compromettre un premier système et commencer à se propager dans votre réseau. Selon le rapport mondial 2026 de CrowdStrike sur les menaces, publié en février 2026, le temps médian de propagation (le délai entre l'accès initial et le mouvement latéral vers un autre système) s'établit désormais à 29 minutes. Le record le plus rapide enregistré : vingt-sept secondes.

Le temps de vous préparer un café, et un attaquant a déjà volé vos identifiants, élevé ses privilèges et commencé à parcourir vos systèmes.

Une accélération de 65 % en un an

En 2024, le temps de propagation moyen des groupes cybercriminels se mesurait en heures. En 2025, il s'est effondré à 29 minutes, soit une accélération de 65 % en une seule année. Et ce n'est pas seulement la vitesse qui a changé : la nature même de l'attaque s'est transformée.

Les adversaires utilisant l'intelligence artificielle ont augmenté leurs opérations de 89 % sur un an. Le groupe lié à la Russie FANCY BEAR a déployé un logiciel malveillant piloté par des modèles de langage (LLM), baptisé LAMEHUG, pour automatiser la reconnaissance et la collecte de documents. L'acteur cybercriminel PUNK SPIDER a utilisé des scripts générés par IA pour accélérer le vol d'identifiants et effacer les traces forensiques. Il ne s'agit pas de scénarios hypothétiques : ce sont des incidents documentés de l'année 2025.

Le constat est sans appel : les attaquants n'ont plus besoin d'opérateurs humains à chaque étape d'une intrusion. L'intelligence artificielle prend en charge le travail de fond, de la recherche de vulnérabilités à la conception de pièges par hameçonnage (phishing), à une vitesse qu'aucun analyste humain ne peut égaler.

Vos équipes de sécurité sont encore en réunion

C'est ici que l'équation devient critique. Un rapport de février 2026 sur la préparation aux menaces révèle que 63 % des responsables sécurité reconnaissent une hausse de l'activité malveillante, mais que seulement 30 % estiment leur organisation réellement préparée à faire face aux types d'attaques actuels. Cet écart de 33 points entre la prise de conscience et la capacité d'action n'est pas une simple statistique : il représente toutes les entreprises qui voient le feu arriver sans parvenir à trouver l'extincteur.

Une organisation sur trois ne parvient même pas à convertir ses données de sécurité en décisions rapides. Les journaux, les alertes et les tableaux de bord sont là. Ce qui manque, c'est la capacité d'agir avant que le chronomètre de 29 minutes n'expire.

L'équipe Unit 42 de Palo Alto Networks, qui a traité plus de 750 incidents majeurs en 2025, dresse un tableau encore plus sombre. Dans les 25 % d'intrusions les plus rapides qu'elle a investiguées, les attaquants sont passés de l'accès initial à l'exfiltration de données en seulement 72 minutes, soit quatre fois plus vite que l'année précédente. Dans 87 % des cas, l'intrusion se déployait simultanément sur plusieurs surfaces d'attaque : postes de travail, infrastructure cloud, applications SaaS et systèmes d'identité, tous frappés en même temps.

Le problème de l'identité que vous ignorez probablement

Si vous pensez encore que vos pare-feu et votre détection sur les terminaux (EDR) constituent votre défense principale, les chiffres suggèrent le contraire. Les attaques basées sur l'identité représentent désormais 65 % des accès initiaux, selon Unit 42. Identifiants volés, jetons de session compromis et comptes de service détournés sont devenus la porte d'entrée préférée des attaquants.

Dans près de 90 % des investigations d'Unit 42, des faiblesses liées à l'identité ont joué un rôle déterminant. Pas des exploits zero-day sophistiqués. Pas de malwares inédits. Des mots de passe volés et des contrôles d'accès mal configurés. L'ANSSI (Agence nationale de la sécurité des systèmes d'information), l'autorité française en matière de cybersécurité, alerte régulièrement les entreprises sur ces mêmes vulnérabilités fondamentales.

Les données de CrowdStrike renforcent ce constat : des adversaires ont injecté des instructions malveillantes dans des outils d'IA générative (GenAI) légitimes au sein de plus de 90 organisations en 2025. Ils ne se contentent plus de voler vos identifiants : ils détournent les outils d'IA auxquels vos équipes font déjà confiance.

Le groupe nord-coréen FAMOUS CHOLLIMA a poussé la logique plus loin en utilisant des personas générés par IA pour infiltrer des organisations sous l'identité de faux employés. Un autre groupe lié à la Corée du Nord, PRESSURE CHOLLIMA, a été associé à un vol de cryptomonnaie de 1,46 milliard de dollars, le plus important jamais enregistré.

Ce que coûte réellement l'écart de réponse

Le calcul financier est implacable. Lorsque les attaquants agissent en 29 minutes et que votre cycle de détection se compte en heures, chaque minute de décalage élargit le rayon de l'explosion. Davantage de systèmes compromis. Davantage de données exfiltrées. Des coûts de remédiation démultipliés.

Unit 42 note que les acteurs du rançongiciel (ransomware) modifient leur stratégie. L'extorsion par chiffrement a reculé de 15 % en 2025, car les attaquants ont compris qu'il n'est pas nécessaire de chiffrer vos données pour vous extorquer. Les voler suffit : c'est plus rapide, plus discret et tout aussi rentable. Lorsque l'exfiltration débute quelques minutes après l'accès initial, le chiffrement devient une étape superflue.

Dans plus de 90 % des incidents traités par Unit 42, la cause profonde n'avait rien d'exotique. Il s'agissait de failles évitables : contrôles de sécurité appliqués de manière incohérente, systèmes non mis à jour, politiques d'accès trop permissives. Les mêmes problèmes que les équipes sécurité connaissent depuis des années, désormais exploités à la vitesse des machines.

Combler l'écart des 29 minutes

Les données convergent vers trois changements impérieux.

Premièrement, l'identité doit devenir votre périmètre de sécurité principal. Si 65 % des compromissions débutent par des identifiants volés, investir dans des pare-feu réseau tout en négligeant la gouvernance des identités revient à renforcer vos murs en laissant la porte d'entrée ouverte. Déployez une authentification multifacteur (MFA) résistante au phishing, appliquez le principe du moindre privilège et surveillez les comportements d'identité anormaux en temps réel.

Deuxièmement, automatisez votre détection et votre réponse. Des analystes humains qui examinent des alertes dans une file d'attente ne peuvent pas rivaliser avec un chronomètre de 29 minutes. Les organisations qui ont intégré des capacités d'investigation directement dans leurs outils de détection ont réduit leur délai de confinement de 38 %, selon une enquête SOC de 2025. L'objectif n'est pas de remplacer les analystes, mais de leur offrir un triage à la vitesse des machines pour qu'ils se concentrent sur les décisions, pas sur la collecte de données.

Troisièmement, partez du principe que vous serez compromis et préparez-vous en conséquence. Si 87 % des attaques frappent simultanément plusieurs surfaces, des équipes de sécurité cloisonnées qui consultent des tableaux de bord séparés perdront toujours. Une visibilité unifiée sur les terminaux, le cloud, l'identité et le SaaS n'est pas un luxe : c'est une question de survie.

Le chronomètre de 29 minutes tourne déjà. La question n'est pas de savoir si votre organisation subira une attaque accélérée par l'IA. C'est de savoir si votre réponse pourra suivre le rythme quand cela arrivera.