À l’occasion du Forum InCyber, Numerama a souhaité approfondir les discussions autour des menaces grandissantes pour les entreprises. Parmi elles, l’automatisation de l’économie souterraine de la cybercriminalité qui a permis de faire drastiquement chuter le délai de revente d’un accès compromis sur le dark web.

Selon l’outil Wordtotime, il vous a fallu environ 8 secondes pour lire le titre de cet article. Si on a volontairement forcé le trait pour l’accroche, il n’est pas impossible que vos identifiants aient effectivement été vendus dans ce laps de temps. En réalité, la moyenne est légèrement plus haute, mais elle a drastiquement chuté en moins de trois ans, la faute à la segmentation et à la spécialisation des acteurs cybercriminels.

Pour comprendre cette mutation organisationnelle, il faut, une bonne fois pour toutes, faire le deuil du mythe du hacker qui gère son attaque de A à Z.

Aujourd’hui, la cybercriminalité est une industrie hyper-segmentée, fonctionnant sur le modèle du « as-a-service ». Dans cet écosystème, les tâches sont réparties entre plusieurs entités spécialisées : certains groupes se concentrent uniquement sur le développement d’outils, d’autres sur le scan et la détection de failles, d’autres encore sur le déploiement de malwares ou de ransomwares.

Au cœur de cette chaîne de valeur se trouvent les « access brokers », les courtiers en accès. Leur métier est simple : forcer la porte d’entrée d’un système informatique, non pas pour l’exploiter eux-mêmes, mais pour revendre immédiatement cet accès au plus offrant.

Bitdefender logo black
Box Bit 3
Faux SMS, mails frauduleux… Ne tombez plus dans le piège !
Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security.
Je me protège contre les arnaques.
Répartition des tâches entre accès initial face aux groupes secondaires // Source : M-Trend 2026, Google Cloud Security
Répartition des tâches entre accès initial face aux groupes secondaires // Source : M-Trends 2026, Google Cloud Security

En trois ans, le délai de revente d’un accès piraté a été divisé par 1 300

Et, si ce marché de gros existe depuis plusieurs années, sa vitesse d’exécution a subi une mutation radicale. Lors d’un échange avec Numerama, David Grout, CTO EMEA chez Google Cloud Security, a détaillé les chiffres issus des dernières investigations mondiales menées par ses équipes.

« En 2022, on était aux alentours de 8 heures entre le moment où le premier attaquant arrivait à rentrer et le moment où le deuxième avait l’accès », explique-t-il. Un délai qui laissait, en théorie, une courte fenêtre aux équipes de sécurité pour détecter l’intrusion et isoler la machine avant l’arrivée du véritable commando. Mais la donne a changé : « Cette année, on est aux alentours de 22 secondes. »

La chute de ce délai s’explique par un changement technique majeur. Si cette revente prenait du temps par le passé, c’est parce qu’elle nécessitait des échanges humains, aujourd’hui la transaction s’est automatisée. Comme l’indique le rapport M-Trends 2026 de Mandiant sur le sujet, dans de nombreux cas, les partenaires spécialisés dans l’accès initial livrent désormais directement les malwares au nom du groupe secondaire, sans passer par la case forum clandestin.

L’automatisation a tué le délai de grâce dont disposaient encore les équipes de sécurité

Pour les équipes de sécurité informatique, cette automatisation de la revente réduit considérablement la fenêtre d’action. C’est à cet instant précis « que le chronomètre commence pour les défenseurs », souligne le rapport.

L’enjeu est de « neutraliser l’intrusion avant le moment de la première activité interactive », c’est-à-dire le premier événement marquant le début des opérations manuelles du second groupe, comme la reconnaissance ou le déplacement sur le réseau.

Cependant, face à des échanges qui se comptent en secondes, la seule vigilance humaine devient insuffisante. Pour David Grout, l’évolution de la cybersécurité passera inévitablement par un rééquilibrage technologique : « Demain, on va avoir de l’automatisation à l’échelle côté attaquant et donc côté défenseur, il va falloir répondre à l’échelle, et donc avoir l’agent qui répond en face. »

En somme, opposer des algorithmes défensifs à des algorithmes d’attaque.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !