72 minutes jusqu’à l’exfiltration : pourquoi les SOC doivent opérer à vitesse machine

Le chiffre de 72 minutes, en contexte

Le 17 février 2026, Unit 42 de Palo Alto Networks a publié son rapport Global Incident Response 2026, s’appuyant sur plus de 750 incidents cyber majeurs dans plus de 50 pays. La métrique principale est directe : dans les cas les plus rapides investigués, les attaquants sont passés de l’accès initial à l’exfiltration de données en seulement 72 minutes — quatre fois plus vite que la même métrique un an auparavant.

Le temps de propagation — l’intervalle entre la compromission initiale et l’impact mesurable — se comprime régulièrement depuis une décennie. Le rapport annuel de CrowdStrike l’a suivi des heures en 2019 aux minutes en 2023. Les données 2026 d’Unit 42 confirment que l’accélération est désormais exponentielle, non linéaire, et l’attribuent principalement à l’utilisation opérationnelle de l’IA par les attaquants pour la reconnaissance, la génération de contenu de phishing, la rédaction de scripts et l’automatisation des déplacements latéraux.

Pour les défenseurs, l’implication est directe. Si les adversaires peuvent compléter la chaîne d’attaque en 72 minutes, un centre d’opérations de sécurité (SOC) qui détecte et trie les alertes selon un horaire humain — équipes, files d’attente, tickets — a déjà perdu avant même que l’analyste d’astreinte ne lise la notification.

Où les 750 incidents se sont effondrés

L’ensemble des résultats du rapport Unit 42 est dense en chiffres spécifiques et défendables. Cinq se démarquent :

• Près de 90 % des investigations impliquaient des faiblesses d’identité comme facteur matériel. Identifiants compromis, lassitude MFA, abus de jetons OAuth et détournement de session sont désormais la catégorie dominante d’accès initial.
• 87 % des intrusions impliquaient une activité sur plusieurs surfaces d’attaque. Les outils de détection mono-produit manquent la majorité des intrusions parce que les attaquants enchaînent activité endpoint, identité, cloud et SaaS.
• Près de 48 % des incidents incluaient une activité basée sur le navigateur. Le navigateur est devenu le lieu de travail — et la surface d’attaque.
• 23 % des incidents impliquaient l’exploitation d’applications SaaS tierces. La brèche Vercel/Context.ai divulguée deux mois après ce rapport est un exemple d’école.
• Plus de 90 % des incidents comportaient des erreurs de configuration ou des lacunes de couverture de sécurité. La vulnérabilité n’était pas l’absence d’outils mais le mauvais déploiement d’outils déjà achetés.

Une tendance positive : un déclin de 15 % de l’extorsion basée sur le chiffrement par rapport à l’année précédente, les organisations se déplaçant vers l’extorsion par vol de données où le chiffrement est abandonné au profit des menaces de fuite. Cela ne rend pas les brèches moins dommageables — cela les rend plus rapides.

Ce que signifie réellement « vitesse machine » pour un SOC

« Vitesse machine » n’est pas un langage marketing pour acheter plus d’outils. C’est un modèle opérationnel spécifique avec des propriétés mesurables :

Détection en secondes, pas en minutes. Les règles de corrélation qui se déclenchent lorsqu’un signal d’identité unique apparaît n’importe où dans l’environnement — une nouvelle autorisation OAuth, une connexion voyage-impossible, une émission de jeton depuis une application non reconnue — doivent s’exécuter dans des pipelines de streaming, pas dans des requêtes par lots. Une fenêtre d’agrégation SIEM de 15 minutes est déjà plus longue que le temps de résidence de l’attaque la plus rapide.

Réponse automatisée pour les schémas connus. Lorsqu’une alerte de niveau 1 correspond à un schéma connu comme malveillant (voyage impossible + élévation de privilèges + volume de téléchargement), la réponse — révocation de session, invalidation de jeton, réinitialisation d’identifiants — doit se déclencher automatiquement. Attendre qu’un analyste clique sur « approuver » c’est attendre au-delà de la fenêtre de 72 minutes.

L’identité comme épine dorsale de la télémétrie. Étant donné que près de 90 % des cas Unit 42 impliquaient des faiblesses d’identité, les événements d’identité — pas les événements endpoint — doivent être le signal principal. Cela signifie les journaux Azure AD / Entra ID, Okta et Google Workspace ingérés en temps réel avec une base comportementale, pas une revue de conformité trimestrielle.

Corrélation inter-surfaces par défaut. Avec 87 % des intrusions traversant des surfaces, tout SOC qui analyse les données endpoint, cloud et SaaS dans des consoles séparées manquera la majorité des attaques. Les plateformes XDR ou SIEM doivent unifier ces flux — et plus important encore, les flux de travail des analystes doivent suivre les menaces à travers les surfaces plutôt que de trier par file d’outils.

L’ingénierie de détection comme fonction permanente. La bibliothèque de détection doit évoluer chaque semaine à mesure que les TTP des attaquants changent. Cela nécessite un rôle dédié d’ingénieur de détection, pas une rotation d’analystes d’astreinte écrivant des règles entre incidents.

L’écart entre le rapport et la plupart des SOC

La partie inconfortable des données Unit 42 est l’écart entre ce qu’elles décrivent et ce que la plupart des SOC exécutent réellement. Les enquêtes sectorielles de 2025 montrent systématiquement que le SOC médian du mid-market opère toujours avec :

• Un SIEM avec des fenêtres d’agrégation de 15-30 minutes
• Détection endpoint et journaux d’identité dans des consoles séparées
• Triage manuel par analyste pour la plupart des alertes de niveau 1 et toutes celles de niveau 2
• Mises à jour des règles de détection trimestrielles ou ad hoc
• Automatisation de réponse limitée à des cas d’usage spécifiques approuvés par la gestion du changement

Combler cet écart n’est pas un achat d’outil unique. C’est un programme multi-trimestriel impliquant consolidation de plateforme, rédaction de playbooks d’automatisation, enrichissement de télémétrie d’identité et dotation en ingénierie de détection. Les organisations qui démarrent ce programme en 2026 sont déjà en retard sur la courbe d’attaque ; celles qui ne l’ont pas démarré d’ici 2027 devraient s’attendre à des résultats de brèche correspondant aux moyennes Unit 42.

Une liste pratique de priorités pour le T2 2026

Pour les responsables SOC qui lisent le rapport Unit 42 comme un appel à l’action, cinq priorités dominent les 90 prochains jours :

1. Mesurez le MTTD et le MTTR actuels par rapport au benchmark des 72 minutes. Si la détection seule prend plus de 72 minutes, l’automatisation de la réponse ne sauvera pas le calendrier.
2. Instrumentez les événements OAuth et d’identité de bout en bout. Assurez-vous que chaque consentement OAuth, émission de jeton et authentification inter-locataires est journalisé et établi en ligne de base.
3. Consolidez la télémétrie endpoint, identité et SaaS dans une surface de requête unique. Si les analystes pivotent entre quatre consoles, les attaquants les devanceront.
4. Automatisez la révocation de session et d’identifiants pour les cinq principaux schémas de détection à haute confiance. Le reste peut rester manuel pendant que la confiance dans l’automatisation se construit.
5. Dotez l’ingénierie de détection comme fonction dédiée. Le paysage d’attaque évolue chaque semaine ; le contenu de détection doit faire de même.

Le chiffre de 72 minutes n’est pas une menace future. C’est ce qu’Unit 42 a observé sur 750 incidents de l’année qui vient de s’achever. Les SOC qui se préparent dès maintenant se préparent pour la médiane, pas pour le pire scénario.

Sources et lectures complémentaires

• 2026 Unit 42 Global Incident Response Report — Palo Alto Networks
• 2026 Unit 42 Global Incident Response Report: Attacks Now 4x Faster — Palo Alto Networks Community
• 2026 Unit 42 Global Incident Response Report Coverage — Strategic Focus
• 5 Predictions That Will Redefine Your SOC in 2026 — Security Boulevard