Selon Numerama, le temps médian de détection des intrusions informatiques, appelé « dwell time », a atteint 14 jours en 2025, contre 11 jours l’année précédente. Ce chiffre, issu du dernier rapport de Google Security, reflète une tendance préoccupante : la durée pendant laquelle des cybercriminels opèrent discrètement dans les systèmes s’allonge, signe d’un durcissement des méthodes d’intrusion et d’une baisse des détections précoces. Autant dire que la cybersécurité reste un enjeu majeur pour les entreprises, confrontées à des menaces toujours plus sophistiquées.

Ce qu'il faut retenir

  • Le dwell time médian a progressé de 11 à 14 jours entre 2024 et 2025, selon Google Security.
  • Cette hausse s’explique par la résurgence des campagnes d’espionnage menées par des groupes APT et l’activité accrue d’agents nord-coréens.
  • Le dwell time s’arrête au moment de la détection de l’intrusion, et non au départ de l’attaquant, ce qui en fait un indicateur de la réactivité défensive.
  • La baisse des rançongiciels (-13 % des investigations) et le recentrage sur le vol discret de données allongent mécaniquement cette durée.

Un indicateur qui mesure la réactivité, et non la furtivité des attaquants

Dans le domaine de la cybersécurité, le « dwell time » – ou temps de présence – désigne la durée entre le moment où un réseau est compromis et celui où l’intrusion est détectée. Contrairement à une idée reçue, cet indicateur ne mesure pas le temps pendant lequel un pirate circule activement dans les systèmes, mais bien la capacité des entreprises à repérer une menace avant qu’elle ne cause des dommages. « Le compteur continue de tourner tant que personne n’a repéré la brèche », explique David Grout, directeur technique pour l’Europe, l’Afrique et le Moyen-Orient chez Google Cloud Security. Autrement dit, même si un attaquant pénètre un réseau, y prélève des données en quelques secondes et repart, le dwell time ne s’arrête que lorsque l’intrusion est signalée.

Cette nuance est cruciale : elle fait du dwell time un outil d’évaluation des processus de détection et de réponse des organisations, bien plus qu’une simple mesure de la discrétion des cybercriminels. « Vous pouvez venir en 15 secondes, prendre quelque chose, et repartir ; mais le dwell time s’arrêtera seulement quand vous serez détecté, et cela peut être une semaine plus tard », détaille l’expert. Une réalité qui souligne l’importance des équipes de sécurité et de leurs outils de surveillance.

Des méthodes de détection qui évoluent, entre outils internes et revendications externes

Historiquement, une intrusion pouvait être repérée de deux manières : soit par les outils de sécurité internes (détection automatique), soit par un tiers externe (partenaire, prestataire ou autorité). Cependant, ces dernières années ont vu émerger un troisième scénario, bien plus inhabituel : la détection par l’attaquant lui-même. « On observe une nouvelle statistique : la détection par revendication », relève David Grout. Certains groupes cybercriminels n’hésitent plus à revendiquer publiquement leurs attaques, parfois en laissant des messages directs aux victimes. Cette pratique avait contribué à réduire le dwell time pendant le pic des campagnes de rançongiciels, les pirates eux-mêmes révélant leur présence pour faire pression sur leurs cibles.

Or, depuis 2025, ces attaques à rançon ne représentent plus que 13 % des investigations, contre près de 25 % un an plus tôt, selon Google Security. Cette baisse s’explique par un changement stratégique des cybercriminels, qui privilégient désormais des méthodes plus discrètes : le vol de données en silence, sans effraction bruyante ni demande de rançon. « Ce virage, amorcé après le durcissement des peines aux États-Unis à la suite de l’affaire Colonial Pipeline, fait mécaniquement remonter la durée moyenne du dwell time », analysent les experts. Autrement dit, moins les attaques se signalent d’elles-mêmes, plus les intrusions restent indétectées longtemps.

Des groupes nord-coréens et des APT en première ligne

La hausse du dwell time en 2025 est également portée par un contexte géopolitique tendu. Les experts de Google Security pointent du doigt la résurgence des campagnes d’espionnage menées par des groupes APT (Advanced Persistent Threats), ainsi que l’activité croissante d’agents nord-coréens opérant sous couverture à l’international. Ces acteurs, souvent soutenus par des États, mènent des intrusions de longue haleine, visant à exfiltrer des informations sensibles ou à préparer des opérations futures. Leur objectif n’est pas toujours de faire du bruit, mais bien de s’infiltrer durablement dans les réseaux pour y rester le plus longtemps possible.

Cette tendance s’inscrit dans un paysage cyber en mutation, où les frontières entre cybercriminalité et cyberespionnage s’estompent. Les entreprises, qu’elles soient privées ou publiques, doivent donc adapter leurs stratégies de défense pour faire face à des menaces plus persistantes et plus discrètes. « L’équilibre des forces entre attaquants et équipes de cyberdéfense se joue désormais sur la capacité à détecter rapidement les intrusions », souligne Thiébaut Meyer, directeur des stratégies de sécurité chez Google Cloud Security. Un défi de taille, alors que les outils de dissimulation des pirates deviennent toujours plus performants.

Et maintenant ?

Si la tendance actuelle se poursuit, les entreprises pourraient voir le dwell time continuer à augmenter dans les mois à venir, à moins que des avancées technologiques ou organisationnelles ne permettent d’inverser la vapeur. Les prochains rapports de Google Security, attendus d’ici la fin de l’année 2026, devraient apporter des éclairages supplémentaires sur l’évolution de ces méthodes d’intrusion. En attendant, les experts recommandent de renforcer les investissements dans les outils de détection avancée et de former les équipes à réagir plus rapidement aux alertes.

En conclusion, le dwell time de 14 jours en 2025 n’est pas qu’un simple chiffre : il illustre les limites actuelles des stratégies de cybersécurité face à des menaces en constante évolution. Pour les organisations, l’enjeu n’est plus seulement de bloquer les intrusions, mais bien de les détecter avant qu’elles ne deviennent ingérables.

Le dwell time mesure le temps écoulé entre une intrusion et sa détection. Plus il est long, plus les dégâts potentiels (vol de données, sabotage, espionnage) peuvent être importants. Il permet donc d’évaluer la réactivité des équipes de sécurité et l’efficacité des outils de détection.

Plusieurs éléments expliquent cette hausse : la baisse des rançongiciels (moins d’auto-révélations par les attaquants), le recentrage sur le vol discret de données, et l’augmentation des campagnes d’espionnage menées par des groupes APT ou des acteurs nord-coréens.