Dans le jargon de la cybersécurité, le dwell time (ou temps de présence) est une statistique scrutée à la loupe. Elle représente le temps qui s’écoule lors d’une intrusion informatique. Mais contrairement à ce que l’on pourrait penser de prime abord, la façon dont ce délai est calculé cache une subtilité importante.

Lorsqu’un réseau informatique est compromis, l’un des premiers indicateurs scrutés est le temps passé par les pirates à l’intérieur du système avant d’être découverts, ce que l’on appelle le dwell time. Cet indicateur est crucial : il permet aux entreprises d’évaluer leur capacité de détection et de réaction face aux menaces.

À une échelle plus large, il offre aussi une lecture précieuse de l’équilibre des forces entre attaquants et équipes de cyberdéfense.

D’après le dernier rapport de Google Security paru en 2026, le dwell time médian s’est établi à 14 jours en 2025, contre 11 jours en 2024. Une hausse que l’entreprise attribue notamment à la résurgence des campagnes d’espionnage de longue durée menées par des groupes dits APT (Advanced Persistent Threats) et à l’activité croissante des agents nord coréens opérant sous couverture à l’international.

Mais au fait, sur quoi repose exactement ce chronomètre invisible qui mesure la furtivité des intrusions ? Pour en comprendre les ressorts et les limites, nous avons échangé avec David Grout, directeur technique pour la zone Europe, Afrique et Moyen-Orient chez Google Cloud Security, et Thiébaut Meyer, directeur des stratégies de sécurité au sein de la même division.

Bitdefender logo black
Box Bit 3
Faux SMS, mails frauduleux… Ne tombez plus dans le piège !
Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security.
Je me protège contre les arnaques.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Le dwell time s’arrête quand le pirate est détecté

Intuitivement, on pourrait croire que le dwell time mesure la durée pendant laquelle un cybercriminel circule activement dans les serveurs d’une entreprise, et que le chronomètre s’arrête dès qu’il se déconnecte avec son butin.

En réalité, l’investigation numérique raconte une tout autre histoire. « D’un point de vue technique, le fait que l’attaquant soit sorti du réseau n’arrête pas le dwell time », explique David Grout. « La véritable règle de mesure ne dépend pas des actions du pirate, mais de la vigilance de la victime : le dwell time s’arrête au moment où quelqu’un détecte sa présence. »

Autrement dit, le compteur continue de tourner tant que personne n’a repéré la brèche : « Vous pouvez venir en 15 secondes, prendre quelque chose, et repartir ; mais le dwell time s’arrêtera seulement quand vous serez détecté, et cela peut être une semaine plus tard », détaille l’expert.

C’est précisément cette nuance qui fait du dwell time un indicateur privilégié pour mesurer la réactivité des équipes de défense, plutôt qu’une simple mesure du talent des attaquants à se dissimuler.

Répartition du dwell time (%) en fonction de la durée de présence des intrusions : moins d’une semaine, moins d’un mois, moins de six mois, moins d’un an, moins de cinq ans ou plus. // Source : Google Cloud Security
Répartition du dwell time (%) en fonction de la durée de présence des intrusions : moins d’une semaine, moins d’un mois, moins de six mois, moins d’un an, moins de cinq ans ou plus. // Source : Google Cloud Security

Trois types de détection

Puisque l’arrêt du chronomètre dépend directement de la découverte de l’intrusion, les experts veillent à catégoriser avec précision l’origine de l’alerte. Historiquement, une menace pouvait être repérée soit par les outils de sécurité (détection interne), soit par un tiers partenaire, prestataire ou autorité (détection externe).

Mais ces dernières années, les tactiques d’extorsion ont fait émerger un troisième scénario, initié cette fois par les pirates eux-mêmes. « Dans les tendances qu’on a vues apparaître depuis quelques années, on observe une nouvelle statistique : la détection par l’attaquant lui-même. Ce sont eux qui déclarent, parfois très directement : ‘Je suis là, je vous ai attaqué.’ », relève David Grout.

Cette détection par revendication avait contribué à réduire le dwell time au plus fort des campagnes de ransomware. Or, ces dernières sont en forte baisse en 2025, ne représentant plus qu’environ 13 % des investigations, contre près de 25 % l’année précédente, selon les observations contenues dans le rapport de Google Security.

Les experts expliquent cette tendance par un changement radical de stratégie : les cybercriminels privilégient désormais le vol discret de données plutôt que les attaques à rançon bruyantes. Ce virage, amorcé après le durcissement des peines aux États-Unis à la suite de l’affaire Colonial Pipeline, fait mécaniquement remonter la durée moyenne du dwell time au niveau mondial.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !