Points clés
- Le pilotage de la supervision des systèmes nécessite des indicateurs qui mesurent à la fois la couverture (quels systèmes sont supervisés) et l'efficacité (les incidents sont-ils détectés dans des délais acceptables).
- Le Mean Time to Detect (MTTD) et le Mean Time to Respond (MTTR) sont les deux indicateurs les plus directement corrélés à l'impact des incidents : les réduire est l'objectif opérationnel central de tout dispositif de supervision.
- Le taux de couverture de supervision — pourcentage des actifs critiques supervisés en temps réel — révèle les angles morts du dispositif et guide les investissements d'extension.
- ISO 27001:2022 Section 9.1 et NIST CSF 2.0 imposent des métriques de performance du dispositif de supervision, présentables à la direction et aux auditeurs.
Piloter un dispositif de supervision des systèmes d'information nécessite un ensemble d'indicateurs qui permettent d'évaluer objectivement son efficacité — pas seulement son existence. Un dispositif de supervision peut techniquement exister (SIEM déployé, règles de corrélation configurées, SOC opérationnel) sans pour autant être efficace (alertes non traitées, couverture partielle, délais de détection trop élevés).
Ces indicateurs servent deux usages distincts : le pilotage opérationnel par les équipes de sécurité (comment améliorer les performances du SOC ?) et le reporting stratégique à la direction (quelle est l'efficacité réelle de notre investissement en supervision ?).
Les indicateurs de délai
Le Mean Time to Detect (MTTD) — délai moyen entre la survenue d'un incident et sa détection par l'équipe de sécurité — est l'indicateur le plus directement corrélé à l'impact des incidents. Un MTTD de 4 heures signifie que l'attaquant a en moyenne 4 heures pour opérer avant d'être détecté. Un MTTD de 30 jours signifie qu'il a 30 jours. IBM Cost of a Data Breach 2024 établit clairement la corrélation entre MTTD et coût de l'incident. L'objectif de MTTD doit être défini en fonction du profil de risque de l'organisation — moins d'une heure pour une infrastructure financière critique, moins d'un jour pour la plupart des organisations.
Le Mean Time to Respond (MTTR) — délai moyen entre la détection et la résolution de l'incident — mesure l'efficacité de la réponse aux incidents. Un MTTR élevé peut indiquer un manque de ressources, des processus de réponse insuffisants, ou des difficultés techniques de remédiation. La combinaison MTTD + MTTR donne le délai total pendant lequel l'incident produit des effets négatifs.
Le délai entre la génération d'une alerte et son traitement par un analyste (Alert Response Time) est un indicateur intermédiaire qui révèle la capacité opérationnelle du SOC. Un délai élevé peut indiquer une surcharge d'alertes (alert fatigue), un effectif insuffisant, ou des processus de triage mal définis.
Les indicateurs de couverture
Le taux de couverture de supervision — pourcentage des actifs critiques (selon la classification des actifs) supervisés en temps réel — est l'indicateur de complétude du dispositif. Un taux de couverture de 85 % signifie que 15 % des actifs critiques ne sont pas supervisés et constituent des angles morts potentiels. L'objectif est un taux de couverture de 100 % pour les actifs critiques, avec un programme d'extension pour les actifs moins critiques.
La diversité des sources de logs intégrées dans le SIEM mesure la profondeur de la supervision. Un SIEM qui ne collecte que les logs de firewalls offre une couverture très partielle par rapport à un SIEM qui collecte les logs de firewalls, endpoints, authentification, accès aux données, et flux réseau. L'inventaire des sources de logs intégrées est un indicateur de maturité du dispositif.
Le taux de faux positifs — proportion d'alertes qui ne correspondent pas à des incidents réels — est un indicateur de qualité du dispositif. Un taux de faux positifs élevé (supérieur à 80 %) indique que les règles de corrélation sont mal calibrées et que les analystes passent la majorité de leur temps à traiter des alertes sans valeur. L'objectif est un taux de faux positifs inférieur à 50 %, avec des règles de corrélation bien calibrées qui génèrent principalement des alertes pertinentes.
Les indicateurs de valeur
Le taux de détection interne versus externe — proportion d'incidents découverts par le dispositif de supervision interne versus signalés par des tiers — est un indicateur de valeur du dispositif. Un ratio élevé de découverte interne indique un dispositif efficace. Un ratio élevé de découverte externe (par des chercheurs en sécurité, des régulateurs, des clients) indique un dispositif inefficace qui laisse des incidents passer inaperçus.
Le nombre d'incidents prévenus grâce à la détection précoce d'anomalies — avant qu'ils ne se transforment en incidents complets — est un indicateur de la valeur préventive du dispositif. Un SIEM qui détecte et fait stopper une tentative de brute force avant qu'elle ne réussisse, ou qui identifie un mouvement latéral avant que l'attaquant n'atteigne les données sensibles, crée une valeur mesurable en termes d'incidents évités.
Microsoft publie annuellement des données sur les performances de son propre SOC interne dans son Digital Defense Report. Les métriques publiées incluent le MTTD moyen, le taux de couverture de supervision, et le volume d'alertes traitées. En 2023, Microsoft rapporte un MTTD médian de moins de 24 heures pour les incidents significatifs détectés en interne. Ces métriques sont utilisées par Microsoft comme benchmark interne et comme indicateurs de performance pour les équipes de sécurité. La publication de ces métriques dans un rapport public illustre l'approche de transparence que Microsoft a adoptée sur sa posture de sécurité.
ABN AMRO a développé un tableau de bord de supervision de sa sécurité présenté mensuellement au comité des risques de la banque. Ce tableau de bord inclut : MTTD et MTTR par catégorie d'incident, taux de couverture par périmètre, taux de faux positifs par source de logs, et évolution de ces métriques dans le temps. ABN AMRO utilise ces métriques pour définir ses objectifs annuels de performance de son SOC et pour justifier ses investissements en supervision devant le conseil d'administration. L'ABN (Autorité néerlandaise des marchés financiers) vérifie lors de ses inspections que ces métriques sont maintenues et présentées à la gouvernance.
La MAS impose dans son TRM framework que les institutions financières définissent et suivent des métriques de performance de leur dispositif de supervision cyber. Les métriques minimales attendues incluent le MTTD, le MTTR, le taux de couverture des systèmes critiques, et le volume d'incidents significatifs par catégorie. Ces métriques doivent être présentées au conseil d'administration annuellement et être disponibles pour les inspections de la MAS. Lors de ses inspections de 2022-2023, la MAS a identifié que plusieurs institutions n'avaient pas défini de cibles pour leurs métriques de supervision — une lacune considérée comme un écart de gouvernance.