Pourquoi nous avons opté pour un intervalle de scan de 5 minutes (et non 1 minute)
Plus rapide ne signifie pas toujours meilleur. Voici les calculs derrière la latence de détection, l'empreinte du crawler et les compromis budgétaires pour le client.
Les clients nous demandent régulièrement si nous pouvons scanner toutes les minutes ou toutes les 30 secondes. La réponse honnête est : oui, c'est techniquement possible, mais vous ne voudriez pas que nous le fassions.
Le code malveillant injecté moderne se déclenche uniquement dans des conditions de session spécifiques. Scanner plus fréquemment ne fait pas se déclencher le code malveillant plus souvent — cela multiplie simplement le nombre de scans vides que nous effectuons. Avec un intervalle d'1 minute, nous dépenserions 5× plus de ressources de calcul sans intercepter un seul incident supplémentaire dans notre jeu de données de back-test.
Cinq minutes est le point de bascule où le temps moyen de détection (MTTD) se stabilise. En dessous, vous payez plus pour des rendements décroissants. Au-dessus (15 min, toutes les heures), le MTTD augmente fortement pour les familles de skimmers à évolution rapide.
La fréquence de cinq minutes est également suffisamment basse pour que nous restions invisibles à la logique de suivi de session de l'attaquant. Des crawls plus rapides commencent à ressembler à un bot de scraping et déclenchent les propres vérifications anti-analyse du code malveillant.