Pourquoi c’est devenu critique
Les firewalls restent des composants essentiels de la sécurité réseau. Ils contrôlent les flux, bloquent des connexions, filtrent des accès, journalisent des événements et participent à la segmentation.
Mais leur valeur dépend fortement de la manière dont les événements sont analysés dans le temps.
Un scan de ports réalisé en 20 secondes est souvent visible. Il déclenche un volume anormal, une séquence identifiable, parfois une alerte claire. Le même comportement étalé sur 72 heures peut devenir beaucoup plus discret. Chaque tentative semble isolée, faible, non prioritaire.
C’est une technique classique des attaquants : ralentir pour rester sous les seuils.
Ce que les rapports 2025 montrent
Mandiant indique que le temps de présence médian mondial des attaquants est de 11 jours, et atteint 26 jours lorsque la notification vient de l’extérieur. Cette donnée rappelle que la temporalité des attaques dépasse largement les fenêtres courtes utilisées par beaucoup d’outils.
L’ANSSI constate en 2025 une menace toujours élevée et des attaquants plus difficiles à suivre. Cela correspond à une réalité opérationnelle : l’attaque ne se voit plus toujours dans l’intensité d’un événement, mais dans sa répétition lente, son contexte et sa direction.
La limite du firewall seul
Un firewall voit des flux. Il ne comprend pas toujours pourquoi ces flux existent, à quel compte ils se rattachent, quel endpoint est impliqué, si l’adresse distante est associée à une infrastructure d’attaque ou si une activité cloud parallèle renforce le niveau de suspicion.
Pris seuls, les logs réseau sont souvent trop nombreux, trop techniques ou trop faibles pour générer une décision claire.
Les attaquants l’ont compris. Ils utilisent des outils légitimes, des connexions faibles, des intervalles longs et des trajectoires fragmentées. Ils peuvent tester des comportements dans des labs, comprendre les seuils des outils éditeurs et adapter leur rythme.
Ce que ZDR360plus apporte
ZDR360plus importe les journaux firewall, VPN, proxy, IDS/IPS et équipements réseau compatibles. La plateforme analyse les flux entrants et sortants, connexions inhabituelles, accès distants, tentatives bloquées, anomalies de volume et communications vers des destinations à risque.
Mais surtout, elle ne s’arrête pas au log réseau.
ZDR360plus corrèle ces signaux avec les identités, endpoints, cloud providers, messagerie, SaaS et Threat Intelligence. Un événement faible peut devenir critique lorsqu’il est relié à un compte compromis, une alerte endpoint, une règle de messagerie suspecte ou un IoC connu.
La différence tient dans la mémoire et dans la corrélation. Une tentative isolée peut être anodine. Une séquence étalée sur 72 heures peut révéler une reconnaissance active ou une préparation d’intrusion.
ZDR360plus transforme les logs firewall en signaux de compromission exploitables.
**Demander une démo**