{# Use overflow-x: clip instead of hidden so html/body don't become scroll containers, which would break `position: sticky` (e.g. the blog TOC sidebar). #} Dwell time (temps de présence) : définition et fonctionnement | Trapster
Définition

Dwell time (temps de présence)

Le dwell time, ou temps de présence, correspond à la durée pendant laquelle un attaquant reste actif dans un environnement compromis avant d'être détecté. C'est l'un des indicateurs les plus révélateurs de la maturité d'une posture de détection : plus il est long, plus l'adversaire dispose de temps pour cartographier le réseau, escalader ses privilèges, exfiltrer des données ou préparer un déploiement de rançongiciel. Souvent mesuré en jours, et fréquemment rapporté dans une fourchette allant de plusieurs semaines à plusieurs mois selon les rapports sectoriels, le dwell time est devenu une métrique centrale pour les SOC et les RSSI qui cherchent à quantifier l'efficacité réelle de leurs dispositifs de défense.

Comment ça fonctionne

Le dwell time se calcule comme l'intervalle entre l'instant de la compromission initiale (souvent le premier accès obtenu par l'attaquant) et l'instant de sa détection effective par l'équipe de défense. Il est étroitement lié au MTTD (Mean Time To Detect), qui en représente la moyenne statistique sur un ensemble d'incidents, ainsi qu'au MTTR (Mean Time To Respond ou Mean Time To Contain), qui prolonge l'analyse jusqu'à la phase de confinement. La difficulté de la mesure tient au fait que la date de compromission n'est connue qu'a posteriori, généralement reconstituée pendant l'investigation forensique à partir des journaux et des artefacts retrouvés.

Dans la pratique, le dwell time se décompose en plusieurs phases que l'on peut relier aux tactiques du référentiel MITRE ATT&CK :

  • Accès initial et établissement d'une persistance : l'attaquant obtient un premier point d'appui et cherche à survivre aux redémarrages et aux rotations de session.
  • Reconnaissance interne : énumération des hôtes, des comptes, des partages et des services exposés afin de cartographier la cible.
  • Escalade de privilèges et mouvement latéral : déplacement d'un système à l'autre pour atteindre des actifs à plus forte valeur.
  • Actions sur objectif : exfiltration de données, chiffrement, sabotage ou installation d'une charge persistante.

Chacune de ces phases représente une opportunité de détection. Plus la détection intervient tôt dans cette chaîne, plus le dwell time est court et plus le périmètre de l'incident reste circonscrit.

Pourquoi un dwell time long aggrave les dégâts

Le temps joue toujours en faveur de l'attaquant. Un dwell time élevé signifie que l'adversaire a eu le loisir d'explorer méthodiquement l'environnement, d'identifier les données sensibles, de neutraliser les sauvegardes et de désactiver les protections avant de passer à l'action. Dans le cas des rançongiciels modernes, la phase de préparation, ou staging, précède souvent le chiffrement de plusieurs jours, voire semaines : repérage des contrôleurs de domaine, vol d'identifiants à privilèges, exfiltration de données en vue d'une double extorsion.

Réduire le dwell time, c'est donc réduire mécaniquement la surface de l'impact. Une détection survenant pendant la reconnaissance ou le début du mouvement latéral, plutôt qu'au moment de l'exfiltration, transforme une crise majeure en incident maîtrisable. C'est précisément la raison pour laquelle les équipes de sécurité cherchent à comprimer cet intervalle, sans pour autant noyer les analystes sous les alertes ni multiplier les faux positifs qui érodent la confiance dans les outils de détection.

Le rôle de la déception

La sécurité par la déception (deceptive security) attaque le problème du dwell time à la racine en plaçant sur le réseau des leurres, des honeypots, des breadcrumbs et des honeytokens conçus pour être découverts par un attaquant en phase de reconnaissance. Un défenseur légitime n'a aucune raison d'interagir avec ces artefacts ; toute interaction constitue donc un signal à forte valeur, presque dépourvu de faux positif.

Cette approche déplace la détection très en amont dans la chaîne d'attaque. Là où une solution traditionnelle peut ne révéler une compromission qu'après des semaines, un leurre touché pendant l'énumération ou lors du premier saut de mouvement latéral génère une alerte quasi immédiate. Le dwell time passe alors de l'ordre de plusieurs semaines à celui de quelques minutes ou heures.

  • Détection précoce : les leurres se déclenchent dès la reconnaissance, avant que l'attaquant n'atteigne les actifs critiques.
  • Signal fiable : une interaction avec un decoy est intentionnelle, ce qui réduit drastiquement le bruit et les faux positifs.
  • Cartographie de l'intrusion : les honeytokens et breadcrumbs révèlent le chemin emprunté et accélèrent le confinement.

Avec Trapster

Trapster déploie des honeypots, des leurres et des honeytokens qui transforment chaque tentative de reconnaissance ou de mouvement latéral en alerte immédiate et fiable, faisant chuter le dwell time de plusieurs semaines à quelques minutes.

Termes liés

Mouvement latéral Le mouvement latéral désigne la phase post-compromission où un attaquant progresse de son point d'entrée vers d'autres systèmes du réseau. Faux positif Un faux positif est un événement légitime qualifié à tort de malveillant par un outil de détection, générant une alerte sans menace réelle. Deceptive security (technologie de déception) La déception est une stratégie de défense qui sème des leurres et des appâts pour détecter, tromper et étudier les attaquants déjà présents dans le réseau. MITRE ATT&CK Base de connaissances mondiale des tactiques et techniques adverses observées en conditions réelles, structurée en tactiques et techniques.

Passez de la théorie à la détection

Découvrez comment Trapster déploie honeypots, leurres et honeytokens sur votre réseau pour transformer chaque interaction suspecte en alerte fiable.

Réserver une démo Tout le glossaire

Démo de 30 min, sans engagement · Hébergé en France