En bref

  • Le rapport CrowdStrike 2026 révèle un temps de propagation moyen de 29 minutes après l'accès initial.
  • 82 % des intrusions détectées sont désormais sans malware, exploitant des outils légitimes et des identifiants volés.
  • Les attaques cloud ont augmenté de 37 %, ciblant massivement les identifiants SSO comme vecteur d'entrée.

Ce qui s'est passé

CrowdStrike a publié son rapport annuel Global Threat Report 2026, dressant un bilan alarmant de l'accélération des cyberattaques. Le chiffre phare : le temps moyen de « breakout » — c'est-à-dire le délai entre l'accès initial et la compromission d'un second système dans le réseau — est tombé à 29 minutes. Ce chiffre était de 48 minutes en 2024 et de 62 minutes en 2023, selon Dark Reading qui a analysé le rapport.

Plus inquiétant encore, 82 % des détections de menaces en 2025 concernaient des intrusions sans malware. Les attaquants utilisent des outils légitimes déjà présents sur les systèmes (technique dite « living off the land »), des identifiants compromis et des accès autorisés pour se déplacer latéralement sans déclencher d'alerte. Cette approche rend les solutions de sécurité traditionnelles basées sur la détection de fichiers malveillants largement insuffisantes.

Le rapport souligne également une hausse de 37 % des attaques ciblant les environnements cloud. Les attaquants exploitent principalement les identifiants SSO (Single Sign-On) pour obtenir un accès initial, puis pivotent rapidement vers des machines virtuelles et des équipements réseau. Le vishing — hameçonnage par téléphone — a explosé de 442 % entre le premier et le second semestre 2025, devenant un vecteur d'ingénierie sociale majeur.

Pourquoi c'est important

Un breakout time de 29 minutes signifie que les équipes de sécurité disposent de moins d'une demi-heure pour détecter, investiguer et contenir une menace avant qu'elle ne se propage. Pour la majorité des organisations, ce délai est tout simplement insuffisant avec des processus manuels. Cela renforce l'argument en faveur de l'automatisation de la détection et de la réponse aux incidents, via des solutions XDR et SOAR.

La prédominance des attaques sans malware remet en question les stratégies de défense classiques. Les entreprises doivent investir dans la détection comportementale, la surveillance des identités et la micro-segmentation réseau. Le modèle Zero Trust n'est plus une option théorique mais une nécessité opérationnelle face à des adversaires qui se fondent dans le trafic légitime.

Ce qu'il faut retenir

  • Le breakout time moyen est passé à 29 minutes : la fenêtre de réaction se réduit drastiquement d'année en année.
  • Les attaques sans malware (82 % des cas) rendent les antivirus classiques insuffisants — la détection comportementale est indispensable.
  • Renforcez la sécurité de vos identités cloud (MFA, surveillance SSO, accès conditionnels) et investissez dans l'automatisation de la réponse aux incidents.

Comment réduire son exposition face à un breakout time de 29 minutes ?

Trois leviers prioritaires : déployer une solution EDR/XDR avec réponse automatisée pour réduire le temps de confinement, appliquer le principe du moindre privilège sur l'ensemble des comptes et segmenter le réseau pour limiter les possibilités de mouvement latéral. Un exercice de tabletop régulier permet aussi de tester la capacité de réaction de vos équipes dans ce délai contraint.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact