Comprendre les indicateurs MTTR et MTTD et leur rôle dans la cybersécurité

Le MTTD (Mean Time To Discovery/Detect) est un indicateur de performance qui mesure le temps nécessaire à l’équipe informatique pour détecter un problème. Le MTTD fait partie des métriques importantes dans la cybersécurité. Lorsque l’incident est découvert plus tôt, cela permet de limiter les dommages. Pour cause, un incident d’ordre informatique à l’instar d’un bug logiciel ou une défaillance matérielle entraîne l’arrêt complet du système. Gartner estime le coût de cet arrêt à 5 600 dollars par minute.

Un MTTD court traduit une stratégie de cybersécurité proactive et efficace. L’entreprise s’efforce de réduire cet indicateur avec des solutions de sécurité sophistiquées. Elles s’appuient sur les algorithmes d’apprentissage automatique et l’IA pour analyser une grande quantité de données et identifier les anomalies. C’est le cas des différentes solutions de détection et de réponse.

L’indicateur est le résultat du rapport entre le temps total de détection des incidents et le nombre d’incidents détectés.

Pour arriver à un tel résultat, il faut procéder étape par étape :

• inventaire des incidents de sécurité qui se sont produits sur une période donnée : année, mois ou trimestre.
• mesure du temps de détection de chaque incident. Pour cela, l’entreprise doit notifier l’heure d’apparition de l’incident et le temps écoulé avant qu’il ne soit détecté.
• addition du temps de détection total de l’ensemble des incidents.
• division de cette durée avec le nombre d’incidents.

Le résultat obtenu est une moyenne du temps nécessaire à l’équipe de sécurité pour découvrir un incident de sécurité. Il révèle surtout l’efficacité des solutions de cybersécurité adoptées par l’entreprise.

L’obtention de cet indicateur requiert différents outils destinés à sa surveillance comme :

• Des journaux retraçant l’ensemble des évènements qui se sont produits sur une application ou un système informatique. Il est aussi possible de tenir un journal d’accès au serveur ou à la base de données. Dans le cas d’une base de données, le journal enregistre par exemple toutes les modifications opérées sur les fichiers.
• Un support technique apporte un soutien aux utilisateurs lorsqu’ils rencontrent un problème informatique. Dans le cas d’un logiciel SaaS, il s’agit d’un centre d’appel en ligne. Au sein d’une entreprise, cela peut être un système de création de tickets.

Un système de détection d’intrusion (IDS) assure une surveillance continue du réseau. Il génère aussitôt des alertes en cas d’activités suspectes. Au-delà du signalement et de la détection, un IDS performant peut aussi réagir en bloquant le trafic.

Il n’existe pas de MTTD standard à respecter pour toutes les entreprises. Cet indicateur varie en fonction du secteur, du produit et de l’entreprise. D’après une étude de Ponemon Institute, le temps moyen d’identification d’une violation de données était de 280 jours en 2020.

Par conséquent, il est plus judicieux de faire des recherches sur le MTTD des entreprises appartenant au même secteur. Les experts recommandent aussi d’estimer le coût moyen d’une violation de données pour l’entreprise. Si cette dernière manipule des données sensibles, elle a tout intérêt à viser un MTTD le plus bas possible. Ensuite, elle doit définir la somme qu’elle peut se permettre de perdre sans affecter sa situation financière.

Pour connaître le bon MTTD, l’entreprise doit également tenir compte du niveau de sophistication de ses outils de sécurité. Avec des solutions sophistiquées basées sur l’IA, elle peut envisager un MTTD très faible.

Il est aussi recommandé de s’appuyer sur l’historique des performances. Cela consiste à réduire progressivement ce chiffre. Si l’entreprise réussit à réduire son MTTD par rapport à la période précédente, c’est déjà une bonne performance.

La première mesure consiste à investir dans les meilleures solutions de cybersécurité en matière de détection des menaces. Cependant, l’utilisation de ces outils sophistiqués serait vaine en l’absence d’une équipe d’experts pour leur pilotage.

La mise en place systématique du journal d’événements permet d’obtenir des mesures fiables que l’équipe informatique peut exploiter. Le manque de rigueur risque de fausser les résultats et rendre inefficace la stratégie mise en place. Il est important que chaque employé soit sensibilisé aux cybermenaces.

Enfin, il est important de déterminer l’origine de chaque incident afin de le détecter ou de l’éviter dans le futur.

Cet indicateur renvoie à la durée moyenne nécessaire à l’équipe de sécurité pour réparer ou restaurer un service suite à un incident. Le MTTR peut prêter à confusion en raison des différents termes qui peuvent se substituer à R. Cela peut être « résolution », « réponse » ou encore « récupération ». Il s’agit de métriques qui ont des significations différentes.

Le temps moyen de résolution, par exemple, désigne le temps nécessaire pour résoudre entièrement un incident afin qu’il ne se reproduise plus. Il peut donc être plus long que le temps moyen de réparation puisqu’il faut aussi tenir en compte de la mise en place des mesures visant à renforcer le système.

Comme pour le MTTD, le MTTR est le résultat du rapport entre le temps total d’arrêt suite à un incident et le nombre total d’incidents. Imaginons qu’un système rencontre trois incidents au cours du mois. Il a fallu six heures pour résoudre le premier incident et restaurer le système, ensuite quatre heures, puis deux heures. Cela signifie que le temps total cumulé est de 12 heures. Le MTTR sur un mois de l’organisation est donc de 4 heures. À noter que l’indicateur comptabilise également le processus de détection.

Lorsque le MTTR est élevé, cela signifie de longs arrêts qui peuvent causer des dégâts pour l’entreprise : réclamation des clients, annulations, non-renouvellement, etc. L’indicateur est dépendant du MTTD. Plus la détection met du temps, plus la réparation sera longue également. C’est pourquoi il est important d’obtenir le MTTD le plus bas possible pour améliorer le MTTR.

Néanmoins, il est possible d’agir sur l’indicateur via d’autres biais :

• mise en place d’un plan de gestion des incidents structuré et efficace avec une assignation de rôles bien définis à chaque membre de l’équipe.
• utilisation des outils automatisés pour répondre aux incidents.

Pour obtenir le MTTR (temps moyen de résolution), il faut ajouter au temps consacré à la réparation du système le temps nécessaire à la résolution de l’incident. Imaginons qu’une entreprise rencontre deux incidents sur son système en un mois. L’équipe a mis une heure à le remettre en marche lors du premier incident, deux heures lors du second incident. Face à ces problèmes successifs, elle décide également de renforcer le système pour que le problème ne se reproduise plus. L’équipe y passe alors six heures.

Le temps moyen de résolution correspond au rapport entre nombre total d’heures consacrées aux incidents pendant un mois, soit neuf heures, par le nombre d’incidents, en l’occurrence deux. Le MTTR (temps moyen de résolution) est donc de 4,5 heures.