Retour au blog

Le temps de présence d’un attaquant au sein d’un système d’information | Cybersécurité

1 août 2025
temps de présence cyberattaquant au sein d'un SI

Quand on parle de cyberattaque, on imagine souvent un événement rapide, visible et immédiatement destructeur. En réalité, dans la majorité des cas, l’attaquant est présent depuis plusieurs jours, voire plusieurs semaines, avant que l’entreprise ne détecte quoi que ce soit. C’est ce qu’on appelle le temps de présence d’un attaquant. Et c’est justement cette durée, souvent invisible, qui permet aux cybercriminels de causer les plus gros dégâts.

Sensibiliser à cette réalité, c’est comprendre que même avec des protections en place, aucun système n’est infaillible. Il faut donc se préparer à cette éventualité et tout faire pour réduire le temps de présence d’un attaquant dans le SI. Cela suppose une organisation efficace, des outils adaptés et une posture proactive.

 

Un attaquant peut rester silencieux pendant des semaines

Dans de nombreuses intrusions, les attaquants ne déclenchent pas leur charge immédiatement. Ils prennent d’abord le temps :

  • d’explorer le système,
  • de cartographier les ressources critiques,
  • d’escalader leurs privilèges,
  • de se mouvoir latéralement dans le réseau,
  • voire d’exfiltrer discrètement des données.

Ce temps est un atout pour l’attaquant… et un désastre potentiel pour l’entreprise.

Selon le Verizon Data Breach Investigations Report 2025, le temps médian de détection d’une compromission dépasse encore les 16 jours. Et dans près de 25 % des cas, l’attaque n’est détectée qu’au moment du déclenchement visible, comme un ransomware ou une fuite publique de données.

 

Quels sont les risques liés à un long temps de présence ?

Plus un attaquant reste dans votre système, plus il a le temps de :

  • compromettre des comptes à privilèges (comme ceux des administrateurs),
  • accéder à des données sensibles (clients, RH, R&D…),
  • installer des portes dérobées pour revenir plus tard,
  • effacer ses traces, rendant l’analyse post-incident complexe,
  • désactiver ou contourner les outils de sécurité.

Mais quel est le risque majeur ? La perte totale de contrôle sur le SI, ayant des répercussions conséquentes sur les aspects financiers (pertes de données sensibles, perte de temps et donc de moyens, …), juridiques (en lien avec certaines normes de protection des clients, confilts avec d’autres entités, …) et réputationnels (perte de confiance des clients, du grand public).

Ces impacts sont nombreux et montrent l’importance de la cybersécurité aujourd’hui, mais surtout l’importance de la voir désormais comme une réelle composante de la stratégie business.

 

Pourquoi la détection précoce est-elle un enjeu critique ?

Plus l’attaquant est détecté tôt, plus il est possible de limiter la propagation et d’éviter le pire. Une détection rapide permet :

  • d’interrompre l’intrusion avant l’exfiltration de données,
  • de préserver l’intégrité des systèmes,
  • de maintenir l’activité sans basculer en mode crise.

 

Cette capacité de détection repose à la fois sur des solutions de cyberdéfense / de surveillance proactive soutils de supervision (comme un SIEM ou un EDR bien configuré) et sur une organisation réactive. Si vous ne détectez rien… c’est peut-être parce que vous ne regardez pas : mettez en place les outils de défense les plus adaptés à votre environnement.

Solutions de cyberdéfense

 

Quelles solutions pour réduire le temps de présence d’un attaquant ?

1. La supervision continue

Mettre en place une surveillance active de votre SI est la première étape. Un système de logs centralisé (SIEM), couplé à des alertes intelligentes, permet de détecter les comportements anormaux : connexions inhabituelles, mouvements latéraux, requêtes suspectes…

 

2. L’analyse comportementale et le MFA

Utiliser des solutions d’analyse comportementale, renforcer l’authentification (notamment avec le MFA) et cloisonner les environnements permet de limiter les déplacements de l’attaquant.

 

3. Une gouvernance cyber structurée

Une gouvernance cybersécurité structurée est indispensable pour faire face à des attaques toujours plus rapides, furtives et destructrices. Trop d’entreprises gèrent encore la sécurité de manière réactive, sans cadre clair, sans référent identifié, et sans stratégie globale.

Or, dans un contexte où la surface d’attaque s’élargit et où les menaces évoluent en permanence, cette approche expose à des failles organisationnelles autant que techniques.

Un RSSI externalisé, ou tout autre profil gouvernance (ou GRC) apporte une vision d’ensemble et une méthode éprouvée. Il permet de définir des priorités, de formaliser des politiques d’accès, de sécurité, de sauvegarde, ou de mise à jour, et surtout de préparer des scénarios de gestion de crise. Grâce à son expertise, il aide l’entreprise à anticiper les incidents, à détecter plus tôt, et à limiter l’impact en cas d’attaque. Cette gouvernance n’est pas un luxe, mais une base indispensable pour toute entreprise qui souhaite protéger efficacement son système d’information.

 

Le rôle fondamental des audits et des tests d’intrusion

Avant même qu’un attaquant n’entre, un test d’intrusion (ou pentest) permet d’anticiper les chemins qu’il pourrait emprunter. Un audit de sécurité, quant à lui, offre une vision stratégique des vulnérabilités techniques et organisationnelles.

importance des audits cybersécurité

Ces exercices vous aident à identifier les angles morts, à corriger les faiblesses, et à préparer vos équipes à réagir en cas d’alerte.

 

En conclusion : mieux vaut se préparer que réagir dans la panique

Face aux cybermenaces actuelles, espérer passer entre les mailles du filet n’est plus une stratégie. Une stratégie de cyberdéfense se doit d’être complète, de la première défense à la capacité de détecter et de se défendre quand quelqu’un passe cette ligne. Il faut anticiper que l’attaquant puisse entrer, car oui, même si un SI est sécurisé, rien n’est infaillible. Une erreur humaine peut toujours survenir, malheureusement… alors ce qui compte, c’est ce que vous avez mis en place pour le repérer, l’isoler et l’éjecter rapidement. La capacité de réaction est tout aussi importance que celle de bloquer.

Et pour cela, vous avez besoin :

  • de visibilité sur votre SI,
  • d’outils adaptés et bien configurés,
  • et d’une organisation prête à agir.

Une détection précoce peut faire toute la différence : c’est elle qui transforme une simple tentative d’intrusion en incident contenu, plutôt qu’en crise majeure avec fuite de données, blocage de l’activité, pertes financières et atteinte durable à la réputation. À l’inverse, un attaquant non détecté pendant plusieurs jours peut s’infiltrer profondément, compromettre des systèmes critiques, installer des portes dérobées et laisser l’entreprise sans maîtrise de la situation.

portrait

Olivier ANDOH

Je suis Olivier, j'ai créé SKillX en octobre 2018. SkillX est une société de conseil en informatique basée sur un management libéré où les collaborateurs peuvent prendre un maximum de décisions en toute responsabilité. L'objectif est que chaque SkillXmate puisse être lui même. Notre raison d'être est "Be yourself and let's build the future." Au delà delà sphère professionnelle je suis passionné de basket-ball depuis l'âge de 8 ans et depuis quelques années je me suis mis à la course à pieds et j'aime découvrir de nouveaux sports.

Olivier ANDOH, fondateur de SkillX | Cybersécurité et cloud

Rencontrons nous !

Prenez rendez-vous avec l'équipe SkillX

Prendre RDV

⚡ Votre navigateur est obsolète ⚡

Mettre à jour mon navigateur