Le délai médian entre une compromission et sa détection est de 212 jours (IBM 2024). Autrement dit, un attaquant peut être dans votre système depuis 7 mois avant que vous le découvriez. L'absence d'alerte ne signifie pas l'absence d'intrusion — elle peut signifier l'absence de détection.
Par ailleurs, les attaquants modernes sont patients et discrets. Les ransomwares sont souvent déployés des semaines ou des mois après la compromission initiale, une fois que l'attaquant a cartographié l'ensemble du réseau. Pendant tout ce temps, aucun incident visible ne se produit.