Points clés
- L'absence de visibilité sur les systèmes d'information est le facteur le plus corrélé au délai de détection des incidents — et le délai de détection est le facteur le plus corrélé au coût des incidents.
- Mandiant M-Trends 2024 établit un délai médian de 10 jours entre la compromission initiale et la détection pour les incidents détectés en interne — mais ce délai monte à plusieurs mois pour les incidents détectés par des tiers externes.
- La compromission de SolarWinds est restée non détectée pendant environ 14 mois dans les systèmes des milliers d'organisations victimes — en raison de l'absence de supervision suffisante des activités des outils de gestion réseau.
- Le cadre NIST Cybersecurity Framework (CSF) 2.0 place la fonction "Detect" comme l'une des six fonctions fondamentales, avec des exigences explicites de surveillance continue et de détection des anomalies.
La réaction tardive aux incidents de sécurité est presque toujours une conséquence directe d'un manque de visibilité sur les systèmes d'information. Une organisation qui ne supervise pas ses systèmes ne détecte les incidents que lorsqu'ils deviennent visibles par d'autres moyens : dysfonctionnements opérationnels (les services ne répondent plus), notifications externes (un chercheur en sécurité signale des données exposées), ou même révélations publiques (les données sont mises en vente sur un forum de hackers).
Ce constat est systématiquement documenté dans les investigations post-incident : les compromissions les plus coûteuses sont celles qui ont duré le plus longtemps sans être détectées. La corrélation entre durée de non-détection et coût de l'incident est l'une des plus solides de la littérature sur les cyberincidents.
Les angles morts structurels de la visibilité
Les environnements cloud sont souvent des angles morts de la supervision. Les organisations qui ont migré vers le cloud ont fréquemment adapté leurs outils de supervision on-premise sans les étendre aux environnements cloud. Les logs AWS CloudTrail, Azure Monitor ou GCP Cloud Audit Logs ne sont pas collectés ou ne sont pas intégrés dans le SIEM existant. Cette lacune de visibilité crée des zones non supervisées où les attaquants peuvent opérer sans être détectés.
Les équipements OT (Operational Technology) et IoT sont souvent des angles morts similaires. Les systèmes de contrôle industriel, les équipements médicaux connectés, les systèmes de bâtiment intelligent ne génèrent pas de logs compatibles avec les SIEM standard, ou leurs logs ne sont pas collectés. Ces équipements, souvent moins bien sécurisés que les systèmes IT, représentent des points d'entrée potentiels dont la compromission peut passer inaperçue pendant de longues périodes.
Les accès via des solutions VPN ou d'accès à distance sont un troisième angle mort fréquent. La multiplication des accès à distance depuis la pandémie de 2020 a créé des surfaces d'attaque que les systèmes de supervision n'avaient pas été conçus pour couvrir. Des connexions VPN depuis des localisations inhabituelles, des volumes inhabituels de trafic sortant via les connexions à distance, des connexions en dehors des plages horaires habituelles : ces signaux ne sont pas détectés si les accès distants ne sont pas intégrés dans le périmètre de supervision.
Les conséquences du délai de détection
IBM Cost of a Data Breach 2024 établit que le coût moyen d'un incident détecté en moins de 200 jours est de 3,93 millions USD, contre 4,95 millions USD pour un incident détecté après 200 jours — soit 26 % d'écart. Cette différence résulte de plusieurs facteurs : plus le délai de détection est long, plus le nombre de systèmes compromis est élevé (mouvement latéral étendu), plus le volume de données exfiltrées est important, et plus la remédiation est coûteuse.
La durée de non-détection affecte également les obligations de notification réglementaire. RGPD Article 33 impose la notification à l'autorité de contrôle dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles. Pour les organisations sans supervision adéquate, cette "prise de connaissance" peut intervenir plusieurs mois après la violation réelle — créant une exposition réglementaire supplémentaire.
Les ransomwares modernes illustrent particulièrement bien les conséquences du délai de détection. Les groupes de ransomware avancés (Conti, LockBit, BlackCat) opèrent en deux phases : une première phase d'accès initial et d'exploration qui peut durer plusieurs semaines, suivie d'une phase de chiffrement massif. Les organisations qui détectent la première phase peuvent contenir l'attaque avant le chiffrement. Celles qui détectent l'attaque lors du chiffrement se retrouvent avec l'ensemble de leur infrastructure chiffrée.
Construire la visibilité comme priorité stratégique
La visibilité sur les systèmes d'information n'est pas un projet technologique ponctuel — c'est un programme continu qui doit évoluer avec l'infrastructure de l'organisation. Chaque nouveau système, chaque nouvelle application, chaque nouveau service cloud doit être intégré dans le périmètre de supervision dès son déploiement, pas après un incident.
Le NIST CSF 2.0 recommande une approche systématique de la visibilité : inventaire des actifs (Identify), déploiement des contrôles de détection (Detect), processus de réponse aux alertes (Respond). Cette démarche structurée permet de progresser vers une supervision continue complète de manière ordonnée, en priorisant les actifs les plus critiques.
L'opération SolarWinds Sunburst est restée non détectée pendant environ 14 mois dans les systèmes des milliers d'organisations victimes, dont des agences gouvernementales américaines (Treasury, State Department, Homeland Security). La backdoor Sunburst, introduite dans les mises à jour d'Orion de SolarWinds entre mars et juin 2020, n'a été détectée qu'en décembre 2020 par FireEye lors d'une investigation sur une intrusion dans ses propres systèmes. L'absence de supervision des activités d'Orion dans les réseaux victimes — Orion étant un outil de gestion réseau légitime dont les activités semblaient normales — a permis aux attaquants d'opérer sans alerter les SIEM des victimes.
KPMG a publié en 2022 une étude sur la visibilité des organisations européennes sur leurs systèmes d'information, réalisée auprès de 200 RSSI. L'étude établit que 67 % des organisations interrogées ont des zones non supervisées dans leur infrastructure — principalement les environnements OT, les équipements IoT et les accès SaaS. Parmi les organisations qui avaient subi un incident significatif dans les 24 mois précédents, 82 % ont identifié l'absence de visibilité sur la zone compromise comme un facteur aggravant du délai de détection. KPMG recommande une approche de "supervision par design" qui intègre les exigences de monitoring dès la conception des nouveaux systèmes.
Yahoo Japan a annoncé en mai 2013 la détection d'un accès non autorisé à son infrastructure, potentiellement exposant les données de 22 millions d'utilisateurs. L'investigation a révélé que la tentative d'extraction de données avait été stoppée avant d'être complète, mais que des activités suspectes sur les systèmes avaient eu lieu dans les semaines précédant la détection sans déclencher d'alertes. L'absence de supervision comportementale sur les accès aux bases de données utilisateurs avait permis à des activités anormales de se dérouler sans alerte. Yahoo Japan a depuis investi massivement dans des capacités de supervision en temps réel, avec un SOC dédié et des outils UEBA.