29 minutes. C’est désormais le délai moyen entre le moment où un attaquant pénètre dans un système et celui où il commence à s’y propager. Un chronomètre qui tourne, et que la plupart des organisations ne sont pas encore équipées pour battre.
Pour mesurer l’ampleur de ce que représentent 29 minutes, il faut d’abord comprendre ce que les experts appellent le breakout time (le délai d’intrusion). Ce n’est pas le temps qu’il faut à un attaquant pour pénétrer dans un système. C’est le temps qui s’écoule après cet accès initial, avant qu’il ne commence à se déplacer latéralement dans l’infrastructure : d’un poste de travail vers un serveur, d’un compte utilisateur vers un compte administrateur, d’un réseau vers un autre.
C’est cette phase qui est décisive. Car une fois que l’attaquant se déplace, il est exponentiellement plus difficile à stopper. Il accède à davantage de données, élève ses privilèges, installe des portes dérobées. En 2025, il disposait en moyenne de 29 minutes pour le faire avant d’être détecté (contre 48 minutes en 2024), soit une accélération de 65 % en un an. Et dans le cas le plus extrême documenté par CrowdStrike, ce délai n’a été que de 27 secondes.
Mettre 29 minutes en perspective : le temps d’une réunion
Pour qu’une équipe de sécurité puisse réagir efficacement à une intrusion, elle doit enchaîner plusieurs étapes : détecter l’anomalie, qualifier l’alerte, remonter l’information, décider d’une réponse et l’exécuter. Dans la plupart des organisations, ce processus prend en moyenne entre 60 et 90 minutes, dans les meilleurs cas. Certaines entreprises moins matures parlent de plusieurs heures, voire de jours.
Autrement dit, quand l’attaquant a 29 minutes devant lui et que l’entreprise en a besoin de 90 pour répondre, la partie est déjà perdue bien avant que quiconque n’ait appuyé sur le moindre bouton. C’est mathématique, et c’est là que réside l’urgence réelle. Non pas dans la sophistication des attaques, mais dans ce déséquilibre fondamental entre la vitesse de l’attaque et la lenteur de la réponse.
L’IA comme accélérateur : pourquoi les attaquants vont plus vite
Cette compression du temps n’est pas le fruit du hasard. Elle est directement liée à l’adoption massive de l’IA par les groupes d’attaquants, qui ont augmenté leur activité de 89 % en un an selon le rapport Crowdstrike. L’IA leur permet d’automatiser les phases les plus chronophages d’une attaque : identifier les cibles, collecter des identifiants, contourner les systèmes de détection, générer des scripts d’exploitation.
Ce qui prenait auparavant des heures de travail manuel (cartographier un réseau, trouver des comptes privilégiés, effacer des traces, etc.) peut désormais être délégué à un outil automatisé. Lors d’une intrusion documentée dans le rapport, l’exfiltration de données avait débuté 4 minutes seulement après l’accès initial. 4 minutes. Le temps de finir son café.
Ce que cela change concrètement pour votre organisation
Face à cette réalité, une seule conclusion s’impose : une posture de sécurité réactive est structurellement dépassée. Attendre qu’une alerte remonte, analyser les logs le lendemain matin, traiter les incidents en horaires de bureau… Ces pratiques appartiennent à une époque où les attaquants opéraient en heures. Aujourd’hui, ils opèrent en minutes.
Concrètement, cela implique trois changements de fond. D’abord, automatiser la détection et la réponse : un analyste humain ne peut physiquement pas réagir en moins de 29 minutes sans le soutien d’outils capables de détecter et d’isoler une menace sans attendre une décision manuelle. Ensuite, réduire la surface d’exposition initiale : puisque le compte à rebours démarre dès le premier accès, retarder ou compliquer cet accès initial (via l’authentification multifacteur, la segmentation réseau, la gestion stricte des identités) reste le levier le plus efficace. Enfin, s’entraîner à réagir vite : des exercices de simulation réguliers permettent de comprimer les délais de décision internes, souvent le maillon le plus lent de toute la chaîne de réponse.
L’urgence n’est pas dans la technologie, elle est dans l’organisation
Le message du Global Threat Report 2026 n’est pas que les attaques sont devenues impossibles à contrer. Il est que le rythme a changé, et que les organisations qui n’ont pas adapté leur modèle opérationnel à cette nouvelle cadence sont structurellement vulnérables, indépendamment des outils qu’elles ont achetés.
29 minutes est un chiffre moyen. Certains attaquants sont plus lents, d’autres beaucoup plus rapides. Mais dans tous les cas, la question c’est : « combien de temps nous faut-il réellement pour réagir, et comment réduire ce délai ? » C’est à cette question que chaque responsable de la sécurité devrait être capable de répondre aujourd’hui, chiffres à l’appui.
