Si vous devez présenter des indicateurs de cybersécurité à votre conseil d'administration, il est essentiel de sélectionner des indicateurs qui ont un impact, qui sont compréhensibles et qui sont pertinents pour les résultats de l'entreprise.
Voici les meilleurs indicateurs à inclure dans votre rapport :
L'importance du MTTD réside dans son impact direct sur la capacité d'une organisation à répondre aux menaces de cybersécurité et à les atténuer efficacement. Un MTTD plus court indique une posture de cybersécurité plus efficace et proactive, permettant une identification et une réponse plus rapides aux menaces potentielles. Cette détection rapide est cruciale pour minimiser les dommages causés par les cyberattaques, réduire les temps d'arrêt et protéger les données sensibles.
Les organisations s'efforcent d'optimiser leur MTTD en employant des solutions de cybersécurité avancées, telles que l'IA et les algorithmes d'apprentissage automatique, qui peuvent analyser de vastes quantités de données et détecter des anomalies révélatrices d'incidents de sécurité potentiels. En réduisant le MTTD, les entreprises peuvent considérablement améliorer leur résilience globale en matière de sécurité et leur préparation face au paysage en constante évolution des cybermenaces.
Le temps moyen de détection (MTTD) est calculé en mesurant l'intervalle de temps entre l'apparition initiale d'un incident de sécurité et sa détection par l'équipe de sécurité. La formule de calcul du MTTD est relativement simple :
MTTD=Temps total de détection de tous les incidents / Nombre d'incidents détectés
Voici une description étape par étape du processus de calcul :
Le résultat vous donne le temps moyen qu'il faut à vos systèmes ou à votre équipe de sécurité pour détecter un incident. Un MTTD plus faible est généralement préférable, car il indique que les incidents sont détectés plus rapidement, ce qui permet de réagir plus vite et d'atténuer les effets de l'incident.
Les organisations suivent souvent le MTTD pour évaluer l'efficacité de leurs outils et processus de surveillance de la sécurité. Les améliorations technologiques, telles que les plateformes de sécurité pilotées par l'IA, peuvent contribuer à réduire le MTTD en identifiant et en alertant rapidement sur les activités anormales qui peuvent indiquer une violation de la sécurité.
La détermination d'un "bon" temps moyen de détection (MTTD) dépend fortement du contexte spécifique d'une organisation, notamment de son secteur d'activité, de sa taille, de la complexité de son infrastructure informatique et de la nature des données qu'elle traite. Toutefois, en général, un MTTD plus court est préférable, car il indique que les menaces potentielles pour la sécurité sont détectées plus rapidement, ce qui permet de réagir plus vite et d'atténuer les effets.
Voici quelques facteurs à prendre en compte pour évaluer ce que pourrait être un bon MTTD pour une organisation donnée :
Bien qu'il n'y ait pas de réponse unique, en règle générale, les organisations devraient viser le MTTD le plus bas possible dans le contexte de leurs opérations et de l'environnement des menaces. La surveillance et l'amélioration continues sont essentielles, l'objectif étant toujours de détecter les menaces et d'y répondre aussi rapidement que possible afin de minimiser les dommages potentiels.
Le MTTR mesure l'efficacité et la rapidité avec lesquelles une organisation peut traiter et atténuer les effets d'une menace détectée en matière de cybersécurité.
Il englobe l'ensemble du processus de réponse à un incident, y compris l'identification de la cause première, l'endiguement de la menace, l'éradication de l'élément malveillant et le rétablissement du fonctionnement normal des systèmes.
Le MTTR est calculé en divisant le temps total passé à répondre et à résoudre les incidents par le nombre d'incidents sur une période donnée :
MTTR = temps total consacré à la réponse et à la résolution des incidents / nombre d'incidents
Pour résumer :
Le résultat est le temps moyen nécessaire pour répondre et résoudre un incident individuel. Il est important de noter que le MTTR comprend l'ensemble du processus, depuis la détection d'un incident jusqu'à sa résolution complète.
Un bon délai moyen de réponse (MTTR) dépend du contexte et varie en fonction de la nature des opérations d'une organisation, de la complexité de son environnement informatique et des types de menaces auxquelles elle est confrontée. Toutefois, certains principes généraux peuvent guider ce qui peut être considéré comme un bon MTTR :
En résumé, un bon MTTR est celui qui reflète des capacités de réponse rapides et efficaces, adaptées au contexte spécifique de l'organisation, et qui est comparé aux normes du secteur et aux objectifs d'amélioration continue.
Le taux de détection est le pourcentage de menaces réelles qui sont identifiées avec succès par un système de sécurité.
Il s'agit d'un indicateur de performance clé pour les outils de sécurité tels que les systèmes de détection d'intrusion (IDS), les logiciels antivirus et d'autres solutions de détection des menaces.
Le taux de détection est généralement calculé comme un rapport entre le nombre de vraies détections positives (menaces réelles correctement identifiées) et le nombre total de menaces réelles.
La formule est typiquement :
Taux de détection = (Nombre de vrais positifs / Total des menaces réelles) × 100%.
Un taux de détection élevé indique qu'un système de sécurité est efficace pour identifier les menaces réelles, ce qui est essentiel pour prévenir les failles de sécurité.
Il reflète également la capacité du système à différencier les activités légitimes des activités malveillantes, minimisant ainsi les faux négatifs (lorsqu'une menace réelle n'est pas détectée).
Un "bon" taux de détection est un taux suffisamment élevé pour garantir que la majorité des menaces réelles sont identifiées, tout en tenant compte de la nécessité de minimiser les faux positifs. Bien que le taux de détection idéal puisse varier en fonction du contexte spécifique d'une organisation, de sa tolérance au risque et de la nature des menaces auxquelles elle est confrontée, il existe des lignes directrices générales à prendre en considération :
En résumé, un bon taux de détection est celui qui maximise la détection des vraies menaces tout en maintenant un niveau gérable de faux positifs, et il doit être évalué en permanence en fonction de l'évolution des menaces et des critères de référence du secteur.
Le taux de faux positifs mesure la proportion de ces identifications incorrectes par rapport à l'ensemble des alertes de sécurité générées.
Un taux élevé de faux positifs peut entraîner une "fatigue de l'alerte", les professionnels de la sécurité étant submergés de fausses alertes et risquant de négliger par inadvertance de véritables menaces. Il peut également entraîner un gaspillage de ressources, car les équipes passent du temps à enquêter et à répondre à des incidents qui ne sont pas des menaces réelles.
Le taux de faux positifs est généralement calculé en divisant le nombre d'alertes faussement positives par le nombre total d'alertes de sécurité (vraies et fausses positives).
Taux de faux positifs = (nombre de faux positifs / nombre total d'alertes) × 100%.
Le niveau acceptable du taux de faux positifs peut varier en fonction de la taille de l'organisation, de la nature de ses activités et de sa tolérance au risque. Certains environnements peuvent préférer un taux plus élevé pour s'assurer qu'aucune menace réelle n'est ignorée, tandis que d'autres peuvent viser un taux plus bas pour optimiser l'utilisation des ressources.
Le score de risque est un outil essentiel pour comprendre, évaluer et hiérarchiser les risques de cybersécurité.
La note de risque est généralement une valeur numérique qui condense divers facteurs de risque en une seule mesure globale. Il aide les organisations à évaluer la probabilité et l'impact potentiel des menaces de cybersécurité, facilitant ainsi la prise de décisions éclairées concernant la gestion des risques et les stratégies d'atténuation.
En quantifiant le risque, les notes de risque facilitent la communication sur les questions de cybersécurité avec les parties prenantes non techniques, notamment les cadres et les membres du conseil d'administration.
Ils font partie intégrante des programmes de sécurité fondés sur le risque, qui allouent les ressources et les efforts en fonction des niveaux de risque quantifiés.
Les notes de risque sont calculées à l'aide de diverses méthodes, qui intègrent souvent des données provenant d'évaluations de la vulnérabilité, de flux de renseignements sur les menaces, d'incidents de sécurité antérieurs et de l'efficacité des contrôles de sécurité actuels.
La formule exacte peut varier en fonction des outils spécifiques et des cadres d'évaluation des risques utilisés par une organisation.
Les notes de risque ne sont pas statiques ; elles doivent être régulièrement mises à jour pour refléter les nouvelles vulnérabilités, les menaces émergentes et les changements dans l'entreprise ou l'environnement informatique.
Le temps d'exposition à la vulnérabilité représente la fenêtre d'opportunité dont disposent les attaquants pour exploiter la vulnérabilité.
Le temps d'exposition aux vulnérabilités est une mesure clé pour la gestion des risques et l'établissement des priorités. Les organisations hiérarchisent souvent les correctifs en fonction de la gravité de la vulnérabilité et de la criticité du système affecté.
Il permet également d'évaluer l'efficacité des processus de gestion des correctifs et des vulnérabilités d'une organisation.
Le suivi et la réduction du temps d'exposition aux vulnérabilités font partie d'une stratégie de sécurité proactive. Il démontre l'engagement d'une organisation à maintenir une posture de sécurité solide.
Le calcul consiste généralement à déterminer l'intervalle de temps entre la date de divulgation ou de découverte d'une vulnérabilité et la date d'application d'un correctif ou d'une correction.
Par exemple, si une vulnérabilité est révélée le 1er janvier et corrigée le 10 janvier, la durée d'exposition à la vulnérabilité est de 9 jours.
Plus le temps d'exposition à la vulnérabilité est long, plus le risque qu'un attaquant exploite la vulnérabilité est grand, ce qui peut entraîner des failles de sécurité. Il est essentiel de réduire ce temps pour diminuer le risque de cyberattaques.
Le taux d'incidents est un indicateur clé de la santé globale d'une organisation en matière de sécurité et de l'efficacité de ses mesures de cybersécurité.
Le taux d'incidents peut influencer la stratégie de cybersécurité d'une organisation, en incitant à revoir et à ajuster les politiques de sécurité, les programmes de formation des employés et les plans de réponse aux incidents.
Elle peut également apporter des améliorations dans des domaines tels que la détection des menaces, l'évaluation des risques et les mesures préventives.
Généralement, le taux d'incidents est calculé en divisant le nombre total d'incidents de sécurité par la période au cours de laquelle ils ont été observés, souvent exprimée en incidents par mois ou par an.
Par exemple, si une organisation a connu 24 incidents de sécurité au cours d'une année, son taux d'incidents sera de 2 incidents par mois.
L'importance d'un taux d'incidents peut varier en fonction de la taille de l'organisation, de son secteur d'activité et du type de données traitées. Par exemple, les secteurs soumis à une réglementation stricte (comme la finance ou les soins de santé) peuvent avoir une tolérance plus faible pour les incidents de sécurité.
Il est important de se comparer à des organisations similaires ou à des moyennes sectorielles pour mieux comprendre le taux d'incidents.
La mesure du coût par incident est essentielle pour comprendre les implications économiques des failles de sécurité et guider une gestion efficace des risques et des investissements dans les mesures de cybersécurité.
Comprendre le coût par incident aide les organisations à évaluer l'impact financier des failles de sécurité et l'importance d'investir dans des mesures de cybersécurité efficaces.
Il fournit une base pour comparer les coûts des mesures préventives aux pertes potentielles dues aux incidents, ce qui facilite les décisions en matière de budgétisation et d'affectation des ressources.
Cette mesure permet de communiquer la valeur des investissements dans la cybersécurité aux parties prenantes et de justifier les allocations budgétaires. Il encourage également une approche proactive de la cybersécurité, en soulignant la nécessité d'adopter des mesures préventives solides pour éviter des incidents coûteux.
Le calcul du coût par incident consiste à additionner tous les coûts directs et indirects associés à un incident de sécurité et à les diviser par le nombre total d'incidents.
Par exemple, si une organisation encourt des coûts d'un million de dollars en raison de 10 incidents de sécurité survenus au cours d'une année, le coût par incident sera de 100 000 dollars.
Le coût par incident peut varier considérablement en fonction de la nature et de la gravité de l'incident, de la taille de l'organisation, du secteur dans lequel elle opère et de la sensibilité des données concernées.
Les entreprises des secteurs très réglementés ou celles qui traitent des données sensibles peuvent être confrontées à des coûts plus élevés en raison d'exigences de conformité plus strictes et d'un risque d'atteinte à la réputation plus important.
Le taux de conformité est une mesure de l'engagement de l'organisation à maintenir un environnement informatique sécurisé et conforme.
Le contrôle du taux de conformité aide les organisations à identifier les domaines dans lesquels elles ne sont pas à la hauteur et à prendre des mesures correctives. Il est essentiel pour la planification stratégique, en particulier pour la gestion des risques et la gouvernance d'entreprise.
Un taux de conformité élevé est essentiel pour minimiser les risques juridiques et réglementaires. La non-conformité peut entraîner des amendes importantes, des répercussions juridiques et une atteinte à la réputation. Il joue également un rôle essentiel dans la construction et le maintien de la confiance des clients, en particulier dans les secteurs où la sécurité des données est primordiale.
Le taux de conformité peut être calculé de différentes manières, en fonction des exigences et des normes spécifiques applicables à l'organisation. Il s'agit souvent d'évaluer la conformité sur une série de critères et de calculer un pourcentage de conformité totale.
Par exemple, si une organisation est conforme à 90 des 100 critères évalués, son taux de conformité sera de 90 %.
La conformité n'est pas une réussite ponctuelle, mais nécessite un contrôle permanent et une amélioration continue pour s'adapter aux nouvelles réglementations et à l'évolution des menaces.
Le niveau de sensibilisation des utilisateurs mesure le degré d'information du personnel sur les différentes menaces de cybersécurité (telles que phishing, malware, etc.), les conséquences potentielles des failles de sécurité et les meilleures pratiques pour prévenir de tels incidents.
Il évalue également la capacité des employés à reconnaître les menaces à la sécurité et à y répondre de manière appropriée.
L'erreur humaine ou le manque de sensibilisation étant souvent un facteur important dans les atteintes à la sécurité, un niveau élevé de sensibilisation des utilisateurs est essentiel pour renforcer la posture globale de cybersécurité d'une organisation.
La formation des employés réduit la probabilité d'incidents de sécurité dus à des erreurs de leur part, leur permet de contribuer activement à la sécurité de l'organisation et renforce l'efficacité globale de la stratégie de cybersécurité.
Le maintien d'un niveau élevé de sensibilisation des utilisateurs est un processus continu, qui nécessite des mises à jour régulières et un renforcement au fur et à mesure de l'évolution des menaces et de l'émergence de nouvelles technologies.
Il est essentiel de comprendre et d'exploiter efficacement les mesures de cybersécurité pour améliorer la position de votre organisation en matière de sécurité. Sur Vectra AI, nous fournissons des capacités d'analyse et de reporting avancées pour vous aider à mesurer, analyser et améliorer vos performances en matière de cybersécurité. Contactez-nous dès aujourd'hui pour découvrir comment nos solutions peuvent permettre à votre équipe SOC d'obtenir des informations exploitables et de faire avancer votre stratégie de sécurité.