Limite le dwell time ou délai de détection

Réduire le « dwell time » parce que chaque jour compte

Selon le plus récent rapport M-Trends, le temps de détection des cybermenaces (« dwell time » en anglais) est en baisse. Continuant sa diminution des dernières années, le temps de détection médian serait maintenant de 11 jours.

Quelle est l’importance du délai de détection?

Le « dwell time » est un indicateur crucial en cybersécurité. Il s’agit du temps pendant lequel une menace reste active dans un environnement informatique avant d’être découverte.

Un attaquant non détecté a tout le loisir d’explorer votre réseau, d’escalader ses privilèges et de consulter vos données sensibles. Il peut également installer des portes dérobées pour revenir plus tard.

Une période prolongée donne à un cybercriminel le temps de mieux planifier et maximiser son impact. Au contraire, un délai plus court permet une réaction rapide, le confinement de la menace et une réduction des répercussions.

Un délai de détection qui varie

Menaces détectées à l’externe

Dans certains cas, les attaquants ont infiltré une organisation et révèlent eux-mêmes leurs présences. Le temps médian dans ce type de situation est de 5 jours. Pendant ces journées, ils collectent patiemment des données pour maximiser leur impact. Ils peuvent aussi désactiver des protections ou chiffrer des systèmes critiques.

Quand le signal d’alerte provient d’un tiers, tel qu’un fournisseur ou les autorités, le délai grimpe à 26 jours. Dans ces cas, les cyberattaquants ont près d’un mois pour poursuivre leurs activités malveillantes à l’insu de tous.

Menaces détectées à l’interne

Au contraire, quand les organisations sont en mesure de détecter elles-mêmes les menaces, le délai est réduit à 10 jours. Or, ce temps de réponse plus court représente le délai médian. Les organisations qui veulent pouvoir réagir promptement en cas de menaces doivent mettre en place des mesures de surveillance et de sécurité.

Quelles mesures de cybersécurité implanter?

Pour garantir une détection rapide et efficace des menaces, il est essentiel de déployer une combinaison d’outils technologiques avancés et de bonnes pratiques organisationnelles.

  1. Mettre en place des outils de surveillance avancés
    L’utilisation de solutions telles que les EDR (Endpoint Detection and Response), SIEM (Security Information and Event Management) ou XDR (Extended Detection and Response) permet une surveillance continue des systèmes informatiques. Ces outils analysent en temps réel les activités sur le réseau et les terminaux et détectent les comportements suspects. Ils génèrent des alertes en cas d’anomalies, facilitant ainsi une réponse rapide aux incidents.
  2. Surveiller les comportements anormaux
    Une entreprise bien protégée doit être capable d’identifier des signes subtils d’intrusion. Par exemple, il pourrait s’agir de connexions inhabituelles à des heures non ouvrables ou des tentatives d’accès à des données sensibles sans autorisation. L’analyse comportementale, souvent intégrée aux outils de sécurité, permet de repérer ces signaux.
  3. Former continuellement les équipes TI et les utilisateurs
    La cybersécurité ne repose pas uniquement sur la technologie. Les utilisateurs représentent souvent le maillon faible de la chaîne de sécurité. Il est donc crucial de sensibiliser régulièrement les employés aux bonnes pratiques en informatique. Les simulations d’hameçonnage périodiques, entre autres, permettent aux utilisateurs de reconnaître les signes dans les courriels frauduleux. Elles les rendent ainsi plus vigilants et alertes.

Des mesures concrètes pour réduire le «dwell time»

Chez Consultation M365, nous savons qu’une cybersécurité efficace ne se limite pas à l’installation de protections. Elle repose avant tout sur une surveillance continue de votre environnement numérique. Pour cette raison, nos clients en entente de service profitent déjà de notre « monitoring ». C’est un pilier essentiel de notre approche en matière de sécurité.

De quoi s’agit-il? Notre équipe d’experts assure une veille constante de vos systèmes afin de détecter rapidement toute anomalie, prévenir les incidents et garantir la performance de vos infrastructures. Cette surveillance proactive permet de réduire considérablement le temps de détection des menaces, un facteur clé pour limiter leur impact.

Pour y parvenir, nous mettons en œuvre des mesures concrètes et ciblées, telles que :

  • La gestion proactive des mises à jour pour corriger les vulnérabilités connues ;
  • La surveillance en temps réel des terminaux, avec alertes automatisées via les outils Microsoft ;
  • Le suivi du Microsoft Secure Score, pour évaluer et améliorer en continu votre posture de sécurité ;
  • Une surveillance réseau continue, pour soulever les comportements anormaux ;
  • Un filtrage antipourriel intelligent, basé sur l’intelligence artificielle ;
  • Et un plan de sécurité, adapté aux besoins spécifiques de votre organisation.

Avec cette approche, nous visons à réduire significativement le temps pendant lequel une menace peut rester active sans être trouvée. En d’autres termes, nous vous aidons à garder une longueur d’avance sur les cybermenaces.

Conclusion

Le délai de détection est bien plus qu’un simple indicateur : c’est un révélateur de la maturité de votre cybersécurité. Plus il est court, plus vous avez de chances de contenir une menace avant qu’elle ne cause des dommages importants. Chez CM365, nous croyons qu’une résolution rapide repose sur une combinaison de technologies, de vigilance continue et de bonnes pratiques. En investissant dans une surveillance proactive et des mesures concrètes, vous réduisez les risques. Puis, vous renforcez la résilience de votre organisation face aux cybermenaces.

Contactez-nous pour en apprendre plus sur nos mesures de sécurité et la surveillance.

 

Source : M-Trends 2025

Tags: