Réponse à incident : 10 indicateurs clés et comment les utiliser

Indicateurs clés de réponse aux incidents

Les organisations peuvent surveiller divers indicateurs de réponse afin de mesurer l’efficacité de leur réaction aux incidents de sécurité. Les éléments qu’elles peuvent mesurer dépendent des ressources et des données disponibles. Au minimum, chaque organisation devrait s’efforcer de suivre les indicateurs qui mesurent la rapidité, l’efficacité et l’efficience.

Indicateurs de vitesse

En matière de réponse aux incidents de cybersécurité, la rapidité est cruciale. Les cybercriminels ayant intensifié l’utilisation de l’IA et d’autres technologies d’automatisation dans leurs opérations, le délai entre la violation d’un réseau et l’exploitation de cette violation s’est réduit. Même un incident relativement mineur, au départ, peut devenir majeur s’il n’est pas traité rapidement.

Temps moyen de confinement (MTTC)

De tous les indicateurs de vitesse, le confinement est le plus important. Le temps moyen de confinement correspond simplement au temps nécessaire à l’organisation pour contenir une menace de sécurité, afin qu’une attaque active ne puisse plus causer de dommages. La restauration complète après tout dommage causé peut nécessiter du temps et des efforts supplémentaires ; cela doit également être suivi, mais séparément. L’essence même de la réponse aux incidents consiste à empêcher tout dommage supplémentaire et à reprendre le contrôle de la situation.

Le temps de confinement est la somme des éléments suivants :

• Temps de détection.
• Temps d’identification.
• Temps de réaction.

Temps moyen de détection (MTTD)

La détection des incidents est essentielle à la réponse aux incidents. Une organisation ne peut pas répondre à un incident si elle ne sait pas qu’il s’est produit.

Le délai moyen de détection correspond au temps nécessaire à l’organisation pour se rendre compte qu’un incident nécessite une intervention. Dans la plupart des cas, cet indicateur est calculé a posteriori. Constater clairement qu’un événement est en train de se produire n’est pas la même chose que savoir quand la situation sous-jacente a commencé. Les organisations doivent mener une enquête, en remontant dans le temps à partir des journaux et autres données, afin de déterminer avec certitude quand le problème a commencé.

Les organisations doivent suivre l’évolution du MTTD au fil du temps. Il s’agit d’un chiffre qui devrait diminuer de manière générale et, dans l’idéal, pour chaque type d’incident de sécurité.

Temps moyen d’identification (MTTI)

Le délai moyen d’identification correspond au temps nécessaire pour diagnostiquer un incident après sa détection initiale. Cela inclut la compréhension de la nature de l’incident et la détermination des mesures à prendre, de manière générale, sans entrer dans les détails.

Le MTTI est une mesure cruciale de la réactivité de l’équipe et des processus de cybersécurité d’une organisation. Plus l’organisation est capable de déterminer rapidement les mesures à prendre en cas d’incident, plus elle peut réagir rapidement. Une organisation doit suivre son MTTI afin de mesurer ses progrès.

Temps moyen de réponse (MTTR)

Le temps moyen de réponse correspond au temps nécessaire à l’organisation pour mettre fin à la menace active et ouvrir la voie à une reprise complète. Il s’agit de la période pendant laquelle l’organisation agit en fonction de sa connaissance de l’incident et de ses décisions quant à la manière de le contenir.

Imaginons que, lors de l’identification d’une violation, par exemple, les intervenants chargés de la gestion des incidents découvrent que le blocage de certaines adresses IP et de certains ports réseau empêche une menace de se propager. Dans cet exemple, le MTTR correspondrait au temps nécessaire pour planifier et exécuter les modifications à apporter aux configurations du pare-feu, du routeur et du commutateur afin de mettre en œuvre ces blocages, ainsi que pour isoler les nœuds déjà infectés en vue d’une remédiation ultérieure.

Comme il mesure l’agilité de la phase de réponse réelle, le MTTR est un indicateur essentiel de la capacité d’une organisation à se protéger. Une diminution du temps de réponse indique que l’équipe réussit dans son travail de réponse aux incidents.

Temps moyen de normalisation (MTTN)

Le temps moyen de normalisation, également appelé temps moyen de restauration ou temps moyen de résolution, correspond au temps nécessaire à l’organisation pour réparer tout ce qui a été endommagé à la suite de la menace désormais maîtrisée. Par exemple, l’équipe d’intervention en cas d’incident peut avoir besoin de réinstaller une image des systèmes affectés ou de restaurer les fichiers corrompus à partir des sauvegardes.

Le MTTN mesure la capacité de l’ensemble de l’organisation à reprendre ses activités normales. Les organisations doivent suivre le MTTN médian et s’efforcer de le voir baisser au fil du temps.

Indicateurs d’efficacité

La rapidité n’est pas le seul critère. Une autre série de mesures de réponse aux incidents repose sur la permanence, ou la durabilité, de la résolution. Par exemple, il est formidable que l’organisation puisse détecter et supprimer les logiciels malveillants d’un hôte compromis, dès qu’il commence à engager un déplacement latéral. Il est encore mieux que l’organisation identifie, grâce à une analyse des causes profondes (RCA ou « root cause analysis »), la vulnérabilité de sécurité qui a conduit à la compromission initiale et la corrige, que ce soit par des correctifs, des changements de configuration, des modifications du pare-feu ou d’autres mesures.

Ne pas traiter et mesurer l’efficacité de la réponse peut conduire à des situations où le MTTC est faible et continue de baisser, alors que les mêmes compromissions se répètent.

Considérez les indicateurs d’efficacité suivants.

Pourcentage d’incidents faisant l’objet d’une analyse des causes profondes (RCA)

L’analyse des causes profondes peut représenter une charge de travail importante, mais les systèmes SIEM modernes basés sur l’IA peuvent accélérer ces efforts. Cette analyse est rentable, car elle permet d’éviter de futurs incidents de sécurité et la nécessité de prendre des mesures correctives. Elle est le meilleur moyen de réduire les incidents d’un type spécifique, en supprimant les conditions permettant leur récurrence.

En ce qui concerne le pourcentage d’incidents faisant l’objet d’une analyse RCA, un chiffre élevé est préférable. Lorsqu’une organisation comprend les causes profondes d’autant d’incidents que possible, elle réduit les risques.

Pourcentage des corrections prescrites effectuées dans les délais

Lorsqu’une équipe de cybersécurité identifie des mesures préventives, qui permettront de réduire la surface d’attaque, il est important de suivre le nombre d’actions réalisées dans les délais impartis. Après tout, savoir comment résoudre un problème n’est pas la même chose que le résoudre. La capacité à aller jusqu’au bout et à corriger un problème à la racine est une compétence fondamentale pour une organisation de cybersécurité et un indicateur clé de l’efficacité de sa réponse. Le pourcentage de corrections prescrites réalisées dans les délais impartis constitue donc un bon complément au MTTC.

Plus une organisation est efficace dans la mise en œuvre de mesures préventives, moins elle est exposée à des risques.

Mesures d’efficience

Il est important de suivre l’efficience avec laquelle une organisation réagit aux incidents. Les ressources, en particulier celles liées au personnel chargé de la cybersécurité, sont limitées et généralement sur-sollicitées. Voici quelques indicateurs clés d’efficience.

Coût total de l’incident

Pour déterminer le coût total d’un incident, calculez la somme des facteurs de coût pertinents, notamment les suivants :

• Combien de temps le personnel chargé des opérations de sécurité a-t-il consacré à un incident particulier ?
• Quel volume d’affaires l’organisation a-t-elle perdu ou n’a-t-elle pas pu réaliser en raison de l’incident lui-même ou du processus de reprise ?
• Quelles autres ressources ont été mobilisées pour répondre à la situation ? Par exemple, l’organisation a-t-elle eu besoin de nouveau matériel, de nouveaux logiciels ou de nouvelles licences, ou encore de services de conseil externes ?
• Quelles amendes ou pénalités l’organisation a-t-elle payées ?

Une organisation n’a d’autre choix que de réagir aux incidents de sécurité, mais elle doit être en mesure de quantifier les coûts liés à sa réponse. Cela lui permet d’évaluer, par exemple, si l’externalisation des services de réponse aux incidents pourrait être plus rentable que leur gestion en interne, ou inversement. Dans un autre scénario, le coût total d’un incident pourrait aider à identifier une activité commerciale donnée qui suscite de nombreux incidents de sécurité et qui, en fin de compte, coûte tellement cher à sécuriser qu’il n’y a pas assez de profits ou de justification pour la poursuivre.

Temps consacré par le personnel de sécurité à l’incident

Il s’agit d’un élément essentiel du coût total, car il rend compte du degré d’intervention humaine (la ressource la plus précieuse en matière de cybersécurité) nécessaire pour résoudre les incidents.

Le recrutement et la fidélisation du personnel chargé de la cybersécurité constituent des défis permanents. Il est essentiel de savoir combien de temps les membres de l’équipe consacrent à la réponse aux incidents et comment ce temps est réparti entre la maîtrise des incidents, leur résolution à long terme et leur prévention.

Le temps consacré par le personnel de sécurité à la réponse aux incidents devrait idéalement diminuer, à mesure que les activités évoluent de la maîtrise vers la prévention.

Pourcentage d’incidents maîtrisés sans intervention humaine

Grâce à une automatisation plus performante et contextualisée de la détection, de l’identification et du confinement, une organisation devrait être en mesure de réduire le temps consacré par son personnel à la réponse aux incidents. Une entreprise qui connaît cette évolution devrait envisager d’ajouter le pourcentage d’incidents résolus entièrement par l’automatisation comme indicateur complémentaire. Étant donné que l’IA agentique semble appelée à faire partie intégrante de la sécurité et de la réponse aux incidents dans les entreprises, il sera important de suivre cet indicateur. Cela aidera l’équipe à comprendre non seulement la posture de sécurité de l’organisation, mais aussi l’efficacité de l’IA et des autres technologies d’automatisation mises en œuvre.

John Burke est directeur technique et analyste de recherche chez Nemertes Research. John Burke a rejoint Nemertes en 2005, fort d’une expérience de près de vingt ans dans le domaine technologique. Il a occupé divers postes dans le secteur informatique, notamment en tant que spécialiste du support aux utilisateurs finaux, programmeur, administrateur système, spécialiste des bases de données, administrateur réseau, architecte réseau et architecte système.