Pourquoi c’est devenu critique
Une attaque ciblée ne se voit pas toujours dans l’anomalie d’un événement. Elle se voit souvent dans la direction globale d’une succession d’événements apparemment normaux.
Les assaillants utilisent des outils légitimes, des comptes valides, des accès autorisés et des comportements qui ressemblent à une activité métier. Chaque action peut sembler acceptable localement. Mais leur enchaînement, leur temporalité, les environnements traversés et les écarts progressifs par rapport aux habitudes peuvent révéler une intention malveillante.
C’est le cœur du sujet des signaux faibles.
Ce que les données récentes montrent
Mandiant indique que le temps de présence médian mondial était de 11 jours en 2024, et de 26 jours lorsque l’organisation était notifiée par un tiers. En 2025, l’ANSSI constate une menace qui reste élevée et des attaquants plus difficiles à suivre.
Ces observations confirment que les attaques ne se jouent pas seulement dans l’instant. Elles se déploient dans la durée.
La lenteur comme technique offensive
Les attaquants avancés savent ralentir.
Un scan rapide peut être détecté. Le même scan étalé sur 72 heures peut disparaître dans le bruit. Une tentative de connexion isolée peut être banale. Une suite d’accès faibles, répartis sur plusieurs jours, peut annoncer une compromission. Une modification de privilège peut sembler légitime. Reliée à une activité cloud et messagerie inhabituelle, elle devient suspecte.
Les assaillants s’entraînent aussi contre les outils. Ils construisent des labs avec des solutions éditeurs, testent les seuils, observent les alertes et adaptent leurs techniques.
Pourquoi la rétention est décisive
Sans profondeur historique, il est impossible de détecter certaines attaques lentes.
ZDR360plus conserve l’historique nécessaire à cette lecture : 6 mois on-premise, extensible, et 12 mois en environnement cloud. Cette rétention permet de relier des événements espacés, de détecter des répétitions faibles et de reconstruire une trajectoire que les outils à fenêtre courte peuvent manquer.
Ce que ZDR360plus apporte
ZDR360plus analyse les signaux faibles dans la durée : identités, cloud, SaaS, messagerie, réseau, endpoints, applications métier et Threat Intelligence.
La plateforme ne cherche pas seulement une alerte forte. Elle cherche une direction : qui agit, comment, depuis où, à quel rythme, avec quelle variation par rapport à l’usage normal et avec quel objectif possible.
L’IA défensive aide à accélérer cette corrélation. L’expertise humaine permet d’interpréter ce que la machine ne peut pas décider seule.
Face à des attaquants augmentés par l’IA et pilotés par des humains, la défense doit comprendre la trajectoire, pas seulement l’événement.
**Demander une démo**