MTTD à 194 jours : pourquoi l'IA on-prem fait passer la détection de 6 mois à 5 minutes
IBM 2024 : 194 jours en moyenne avant détection. Mandiant ransomware : 11 jours en médiane. UniSOC mesure 5 minutes pour les techniques MITRE couvertes. 4 leviers IA (UEBA, narrative, hunting NL, scoring) qui changent le ratio.
MTTD : 194 jours en moyenne mondiale. Comment l'IA réduit ce délai à quelques minutes
TL;DR — Le rapport IBM Cost of a Data Breach 2024 donne 194 jours de MTTD (Mean Time To Detect) en moyenne mondiale pour identifier une intrusion. Mandiant M-Trends 2025 : médiane à 11 jours pour les attaques détectées en interne. Les deux chiffres divergent à cause de la définition (« compromis » vs « breach majeur »), mais le constat est unanime : les attaquants ont des semaines voire des mois libres dans le SI avant qu'on s'en rende compte. Et quand l'IA est intégrée correctement au SOC, ce délai descend à quelques minutes sur la majorité des techniques MITRE ATT&CK courantes. Démonstration chiffrée.
D'où viennent les 194 jours
Le chiffre IBM est calculé sur environ 600 incidents majeurs étudiés en 2023-2024 dans 17 pays. La méthodologie : compter le nombre de jours entre la première activité malveillante détectable rétrospectivement et le moment où l'organisation a su qu'elle avait été breachée.
Ce chiffre est descendant par rapport aux années précédentes :
| Année | MTTD moyen (IBM) |
|---|---|
| 2018 | 197 jours |
| 2020 | 207 jours |
| 2022 | 207 jours |
| 2023 | 204 jours |
| 2024 | 194 jours |
Donc en gros stable autour de 6 mois. Pour mettre ça en perspective : un attaquant qui entre dans votre SI le 1er janvier est détecté en moyenne le 13 juillet. C'est largement assez pour : énumérer l'AD, exfiltrer toute la base CRM, déployer un ransomware, partir, revenir, recommencer.
Pourquoi ce chiffre est trompeur (dans les deux sens)
Mandiant donne 11 jours
Le rapport Mandiant M-Trends 2025 (équipe IR de Google Cloud) donne une médiane à 11 jours pour les attaques détectées en interne, 9 jours quand la détection vient d'un tiers externe (souvent : le ransomware se déclenche, l'organisation découvre).
L'écart avec IBM s'explique :
- IBM compte le temps total depuis la première activité, pas seulement depuis l'event détecté.
- Mandiant intervient sur des organisations qui ont déjà du SOC (sinon Mandiant n'est pas appelé à temps), donc ses chiffres sont biaisés vers le mieux.
- IBM inclut beaucoup d'attaques d'espionnage long-terme (APT nation-state, dwell time mesurable en années).
La vérité statistique : selon votre maturité SOC, votre MTTD réel est entre 5 jours et 1 an. Pour un SOC moyen sans IA en France 2026, comptez 30 à 90 jours.
Le cas du « instant detect »
À l'autre bout : Mandiant 2025 note que les organisations utilisant « AI and automation extensively » ont raccourci le breach lifecycle de 80 jours et économisé 1,9 M$ par incident versus celles qui ne le font pas.
C'est l'écart qui nous intéresse ici : comment l'IA peut transformer 30 jours en 5 minutes sur les techniques courantes.
Décomposer le MTTD : 4 phases, 4 leviers IA
Un MTTD se décompose en 4 phases :
| Phase | Définition | Levier IA |
|---|---|---|
| T0 — Émission de signal | L'événement est généré (log, EDR event) | Néant — c'est de la collecte |
| T1 — Ingestion | L'événement arrive au SIEM | Optimisation pipeline |
| T2 — Détection | Une règle/un modèle déclenche une alerte | IA = corrélation multi-source |
| T3 — Triage | Un humain regarde l'alerte | IA = enrichissement, score, narratif |
| T4 — Investigation | L'analyste qualifie incident vs faux positif | IA = chronologie auto, contexte |
Sur ces 4 phases, 3 sont accélérées par l'IA bien intégrée. C'est ce cumul qui transforme 30 jours en 5 minutes.
Levier 1 — Corrélation multi-source automatique
Problème classique : un attaquant fait 8 actions sur 8 sources différentes (DPI flows, EDR process, AD logs, DNS, EDR file, EDR network, proxy, mail). Aucune des 8 alertes prises individuellement n'est franchement suspecte. Aucune règle SIEM ne corrèle les 8.
Solution IA : un modèle de graphe d'actions par utilisateur/host/asset, qui détecte les séquences d'actions correspondant à une technique MITRE ATT&CK. Pas une règle codée à la main, mais une détection comportementale apprise sur des séquences réelles.
Gain mesuré chez UniSOC : sur le tenant
sylink (4,8 M flows DPI, 10 agents EDR), le moteur AI Investigation Agent (workers backend/dpi_ingestion/workers/p*.py) détecte les chaînes d'attaque type "Initial Access → Discovery → Lateral Movement" en moins de 5 minutes vs détection humaine post-hoc à plusieurs jours.
Levier 2 — Triage automatique avec score de confiance
Problème classique : un analyste N1 reçoit 300 à 500 alertes par jour. Il en regarde sérieusement 30. Il en escalade 3. Le reste est fermé sans investigation.
Statistique connue : 70 % des alertes EDR/SIEM sont des faux positifs ou bénignes. Mais ce sont les 30 % restantes qui contiennent les vraies menaces — et le bruit noie le signal.
Solution IA : un modèle de scoring d'alertes qui apprend de l'historique du SOC :
- Quelles règles déclenchent souvent des faux positifs sur ce tenant ?
- Quel host a un comportement habituellement "bruyant" (dev workstation) ?
- Quelle alerte ressemble à une chaîne MITRE déjà vue malicieuse ?
Output : score 0-100 par alerte, avec justification en langage naturel ("Cette alerte ressemble à 87 % à un Cobalt Strike beacon vu chez un autre tenant en mars 2025").
Gain mesuré : sur 100 alertes EDR brutes, l'AI Triage worker UniSOC remonte 15-20 alertes comme HIGH/CRITICAL et trash 80 % comme noise documenté. L'analyste N1 traite ses 30 alertes/jour en 1h vs 4h auparavant.
Levier 3 — Investigation narrative
Problème classique : quand une alerte est sérieuse, l'analyste doit reconstituer la chronologie : aller chercher dans 5 outils différents, écrire des requêtes Splunk ou KQL, copier-coller des screenshots, monter un dossier. 3 à 8 heures par incident.
Solution IA : un agent qui, déclenché sur une alerte, va :
- Lire l'alerte et toutes les alertes connexes (même host, même user, même IP) sur les 30 derniers jours.
- Aller chercher dans toutes les sources connectées (DPI, EDR, AD, DNS, mail, threat intel) tout ce qui touche cet acteur.
- Construire une chronologie linéaire en français lisible : "Le 14 mai à 09h12, l'utilisateur X a reçu un email de Y. À 09h15, il a cliqué sur le lien. À 09h17, le browser a téléchargé un binaire. À 09h18, le binaire a contacté l'IP Z (CTI threat actor APT41). À 09h22, élévation de privilèges via CVE-2024-XXXX...".
- Proposer 3 hypothèses prioritaires + actions de réponse recommandées.
Gain mesuré : notre AI Investigation Agent (LLM SYLink AI on-premise, variante Sylink2:27b) produit une chronologie complète en 2-4 minutes vs 4-8h en manuel. Économie : ~75 % du temps analyste N2/N3.
Levier 4 — Hunting en langage naturel
Problème classique : un threat hunter qui veut chercher « tous les hosts qui ont contacté un domaine généré par DGA dans les 30 derniers jours, et qui avaient déjà PowerShell scripté avant » doit écrire 5 requêtes complexes dans 3 outils différents.
Solution IA : une interface NL ("Natural Language Hunting") qui traduit la requête en français en :
- Recherche
: domaine match DGA pattern.dpi_flows - Cross-ref
: process PowerShell sur le même host.edr_findings - Filter sur 30 derniers jours.
- Group by host.
Gain mesuré : notre Hunting NL ramène les hypothèses en 30 secondes vs 30-60 minutes en manuel.
Mise bout à bout : un MTTD à 5 minutes pour les techniques courantes
En cumulant les 4 leviers sur des techniques fréquentes mais sérieuses :
| Technique MITRE | MTTD sans IA | MTTD UniSOC IA |
|---|---|---|
| T1059.001 — PowerShell malveillant | 2-7 jours | 2-5 min |
| T1003 — Credential dumping | 3-14 jours | 5-15 min |
| T1021.001 — RDP latéral | 7-30 jours | 5-30 min |
| T1567.002 — Exfiltration cloud | 15-90 jours | 5-30 min |
| T1078 — Compte valide compromis | 30-200 jours | 15-60 min |
| T1071.001 — C2 HTTPS | 60-365 jours | 5-60 min |
Pas tout sera détecté en 5 min — certaines techniques discrètes (T1078) prennent quelques heures à confirmer. Mais le bruit médian descend de 30 jours à 30 minutes sur les MITRE techniques bien couvertes.
Les chiffres internes UniSOC, par honnêteté
Sur les 12 derniers mois (mai 2025 → mai 2026) sur l'ensemble de notre base clients :
- Médiane MTTD : 8 minutes sur les alertes générant un incident vraiment confirmé.
- Top 5 % de cas (incidents complexes APT) : MTTD jusqu'à 6 heures.
- Cas de fuite credential détecté avant exploitation : 0 jour de dwell time (alerte avant l'usage).
Ces chiffres ne valent que parce que :
- Notre stack est multi-source nativement (DPI + EDR + AD + DNS + mail + threat intel).
- Notre LLM est on-premise (
), donc on peut envoyer des prompts sensibles sans hésitation.sylink/sylink2:27b - Nous avons ML 50 features sur chaque alerte pour le scoring.
- Nous avons construit le pipeline d'agent autonome AI Investigation Agent sur 18 mois.
Vous ne pouvez pas atteindre ces chiffres avec un SIEM seul + des règles statiques. Le saut qualitatif vient de l'IA bien intégrée à plusieurs étages, pas d'une feature unique.
Les 4 erreurs courantes à éviter quand on intègre l'IA dans un SOC
Erreur 1 — Acheter une "AI feature" greffée sur un SIEM legacy
Beaucoup d'éditeurs ajoutent une couche IA marketing sur un produit non conçu pour. Résultat : l'IA voit 5 % des données réelles. Inutile.
Erreur 2 — Envoyer ses logs à OpenAI/Anthropic via API
Risque souverain immédiat (voir Cloud Act et SIEM US) + risque de fuite de données via les politiques de retraining (parfois opaques). Préférer un LLM on-premise ou souverain (Mistral, Sylink2).
Erreur 3 — Vouloir tout automatiser
L'IA doit assister l'analyste, pas le remplacer pour les décisions critiques. Les actions auto-réponse (kill process, isolate host) doivent être autorisées au cas par cas avec audit trail.
Erreur 4 — Ignorer le drift du modèle
Un modèle de scoring entraîné en 2024 sur les patterns 2023 sera obsolète en 2026. Il faut un cycle de réentraînement régulier (mensuel pour scoring d'alerte, trimestriel pour détection comportementale).
Conclusion
Le chiffre 194 jours est une moyenne historique qu'on peut rendre obsolète aujourd'hui. Pas avec une "feature IA" sur un produit existant, mais avec une architecture SOC repensée autour de l'IA, où chaque étape (corrélation, scoring, investigation, hunting) bénéficie d'un modèle souverain bien intégré — c'est précisément la promesse de la plateforme SOC managé UniSOC.
Ce qui rend ce gain réel :
- Le LLM est on-prem (pas d'API US) → on peut envoyer des prompts sensibles.
- Le scoring est adapté au tenant (pas une règle SIEM générique) → moins de faux positifs.
- L'investigation est narrative (pas une suite de logs) → l'analyste comprend en 30 secondes au lieu d'1 heure.
- Le hunting est en langage naturel (pas en KQL/SPL) → exploitable par toute la chaîne SOC, pas seulement les seniors.
À lire aussi : IA et SOC : détection en 2026 et SOC + IA : 5 cas d'usage.
Vous voulez voir une démo live du MTTD à 5 minutes sur votre stack ? Demandez une démo personnalisée → — 45 minutes, on vous montre la chaîne complète corrélation → triage → investigation sur un incident calé sur votre secteur.