Selon l’outil Wordtotime, il vous a fallu environ 8 secondes pour lire le titre de cet article. Si on a volontairement forcé le trait pour l’accroche, il n’est pas impossible que vos identifiants aient effectivement été vendus dans ce laps de temps. En réalité, la moyenne est légèrement plus haute, mais elle a drastiquement chuté en moins de trois ans, la faute à la segmentation et à la spécialisation des acteurs cybercriminels.

Pour comprendre cette mutation organisationnelle, il faut, une bonne fois pour toutes, faire le deuil du mythe du hacker qui gère son attaque de A à Z.

Aujourd’hui, la cybercriminalité est une industrie hyper-segmentée, fonctionnant sur le modèle du « as-a-service ». Dans cet écosystème, les tâches sont réparties entre plusieurs entités spécialisées : certains groupes se concentrent uniquement sur le développement d’outils, d’autres sur le scan et la détection de failles, d’autres encore sur le déploiement de malwares ou de ransomwares.

Au cœur de cette chaîne de valeur se trouvent les « access brokers », les courtiers en accès. Leur métier est simple : forcer la porte d’entrée d’un système informatique, non pas pour l’exploiter eux-mêmes, mais pour revendre immédiatement cet accès au plus offrant.

Faux SMS, mails frauduleux… Ne tombez plus dans le piège !

Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security.

Répartition des tâches entre accès initial face aux groupes secondaires // Source : M-Trends 2026, Google Cloud Security

En trois ans, le délai de revente d’un accès piraté a été divisé par 1 300

Et, si ce marché de gros existe depuis plusieurs années, sa vitesse d’exécution a subi une mutation radicale. Lors d’un échange avec Numerama, David Grout, CTO EMEA chez Google Cloud Security, a détaillé les chiffres issus des dernières investigations mondiales menées par ses équipes.

« En 2022, on était aux alentours de 8 heures entre le moment où le premier attaquant arrivait à rentrer et le moment où le deuxième avait l’accès », explique-t-il. Un délai qui laissait, en théorie, une courte fenêtre aux équipes de sécurité pour détecter l’intrusion et isoler la machine avant l’arrivée du véritable commando. Mais la donne a changé : « Cette année, on est aux alentours de 22 secondes. »

La chute de ce délai s’explique par un changement technique majeur. Si cette revente prenait du temps par le passé, c’est parce qu’elle nécessitait des échanges humains, aujourd’hui la transaction s’est automatisée. Comme l’indique le rapport M-Trends 2026 de Mandiant sur le sujet, dans de nombreux cas, les partenaires spécialisés dans l’accès initial livrent désormais directement les malwares au nom du groupe secondaire, sans passer par la case forum clandestin.

L’automatisation a tué le délai de grâce dont disposaient encore les équipes de sécurité

Pour les équipes de sécurité informatique, cette automatisation de la revente réduit considérablement la fenêtre d’action. C’est à cet instant précis « que le chronomètre commence pour les défenseurs », souligne le rapport.

L’enjeu est de « neutraliser l’intrusion avant le moment de la première activité interactive », c’est-à-dire le premier événement marquant le début des opérations manuelles du second groupe, comme la reconnaissance ou le déplacement sur le réseau.

Cependant, face à des échanges qui se comptent en secondes, la seule vigilance humaine devient insuffisante. Pour David Grout, l’évolution de la cybersécurité passera inévitablement par un rééquilibrage technologique : « Demain, on va avoir de l’automatisation à l’échelle côté attaquant et donc côté défenseur, il va falloir répondre à l’échelle, et donc avoir l’agent qui répond en face. »

En somme, opposer des algorithmes défensifs à des algorithmes d’attaque.