Secu
Cybersécurité : le temps est devenu une faille critique
Par La rédaction, publié le 06 avril 2026
Les attaquants n’attendent ni les horaires de bureau ni les reprises du lundi. Tant que les SOC avancent au rythme humain face à des offensives pilotées par la machine, le retard s’accumule sur la détection, la réponse et la maîtrise du risque. Ce décalage opérationnel fragilise la détection, épuise les SOC et complique jusqu’à la conformité continue. Automatiser la surveillance et la corrélation n’a plus rien d’optionnel.
Par Jean-Marie Groppo, Country manager, Recorded Future France
La plupart des centres opérationnels de sécurité (SOC) fonctionnent encore au rythme de l’humain alors que les attaques, elles, opèrent à la vitesse de la machine. C’est là que réside la faille la plus dangereuse et la moins visible dans les opérations cyber actuelles : le décalage temporel.
Lorsque les équipes reprennent chaque lundi les mêmes tâches de surveillance que la semaine précédente, les cybercriminels ont déjà eu tout le week-end pour se déplacer latéralement, exfiltrer des données ou effacer leurs traces. Les menaces exploitent 168 heures d’activité par semaine quand la défense humaine n’en couvre qu’un peu plus de 40.
Ajoutons à cela que les analystes consacrent en moyenne 40 % de leur temps à des opérations répétitives : exécution de requêtes identiques, corrélation manuelle de signaux hétérogènes, reconstruction de contextes déjà connus.
Dans le secteur financier, ce sont des millions d’euros perdus chaque année en productivité ; dans celui de la santé, avec une explosion des attaques par rançongiciels (source : Gartner ThreatScape 2025), les processus manuels peuvent laisser des systèmes vitaux exposés pendant plusieurs jours. Résultat : des fuites massives de données patients, comme celles récentes de UnitedHealth aux USA (192,7 millions de dossiers) et MediSecure en Australie (13 millions de dossiers).
Une couverture de détection très en retard
Cette inertie opérationnelle a une conséquence directe : une couverture de détection partielle. En moyenne, les organisations ne parviennent à couvrir que 22 % du terrain. Et lorsqu’une compromission moyenne se déroule en moins de 48 heures, la conclusion est évidente : la plupart des défenses constatent les intrusions après qu’elles ont produit leurs effets.
Autre sujet encore trop minimisé, l’impact organisationnel. L’épuisement des talents n’est pas un sujet de confort, mais un problème de sécurité. Quand des profils seniors passent plus d’un quart de leur temps à des vérifications mécaniques, ce n’est pas seulement inefficace : c’est une mauvaise allocation d’intelligence défensive. Le retour sur investissement du renseignement, lui, devient impossible à démontrer sans mesure automatisée. Et la conformité réglementaire, qui repose sur le concept de surveillance continue, s’effondre dès lors que cette continuité n’existe que sur le papier.
L’autonomie opérationnelle change le rapport de force
Le changement de paradigme est pourtant engagé. Les organisations qui basculent vers une corrélation et une surveillance automatisées constatent une réduction drastique des délais de détection, parfois divisés par trois. Des groupes internationaux, confrontés à un volume exponentiel de signaux, ont pu absorber la complexité sans multiplier indéfiniment les recrutements. Les analystes, déchargés de la répétition, réinvestissent leur expertise dans la compréhension des tactiques adverses et la réduction du risque.
L’enjeu n’est pas de remplacer l’humain. Il est d’admettre que les opérations manuelles ne peuvent plus constituer le socle pour la défense d’un système numérique moderne. La vitesse d’attaque ne laisse plus de marge pour la latence humaine. Ce qui doit changer, c’est la répartition du travail : aux machines, la couverture continue et la corrélation instantanée ; aux analystes, la décision et l’anticipation.
Les attaquants ont automatisé leur offensive. Tant que la défense restera majoritairement manuelle, le rapport de force leur restera favorable. La véritable question pour les organisations n’est donc plus de savoir si elles doivent automatiser leurs opérations de sécurité, mais si elles le feront avant ou après la prochaine compromission.
À LIRE AUSSI :
À LIRE AUSSI :
