Mesurez-vous le succès ou l’activité ?
Chaque RSSI que je rencontre peut montrer un tableau de bord. Nombre d’attaques bloquées. Nombre de formations de sécurité réalisées. Nombre de tickets fermés dans le système. Les chiffres semblent impressionnants. Les graphiques pointent vers le haut.
Mais la question que personne ne pose est : ces chiffres révèlent-ils quelque chose sur la sécurité réelle de l’organisation ? La réponse est presque toujours non.
La plupart des KPI de sécurité mesurent l’activité, pas l’efficacité. Le fait que le pare-feu bloque 50 millions de requêtes par mois ne dit rien sur le fait que les 50 requêtes qui ont passé étaient celles qui comptaient. Le fait que 100% du personnel ait suivi une formation de sécurité ne dit rien sur un éventuel changement de comportement.
Question fondamentale : Si votre principal indicateur de sécurité est le “nombre d’attaques bloquées”, vous mesurez le succès des pompiers au nombre de camions — pas aux vies sauvées.
Vanity metrics : des chiffres qui paraissent bien mais ne guident pas les décisions
Mesure le volume, pas le risque. Un chiffre élevé signifie que vous avez beaucoup de trafic, pas que vous êtes en sécurité. Les attaques les plus sophistiquées sont conçues pour ne pas être bloquées par les protections standards.
Mesure la participation, pas l'apprentissage. 100% de réalisation sur un cours e-learning que tout le monde clique en 10 minutes ne révèle rien sur le comportement des collaborateurs en situation réelle.
Mesure le débit, pas la qualité. Une équipe peut fermer des centaines de tickets par mois et manquer les vulnérabilités critiques — parce qu'elle privilégie le volume à la gravité.
99,9% de disponibilité sonne bien — mais cela ne dit rien sur la sécurité en soi. Un système peut avoir une disponibilité parfaite tout en étant complètement compromis par un acteur APT qui attend.
KPI qui comptent vraiment
Les KPI de sécurité efficaces partagent trois caractéristiques : ils sont liés au risque métier, ils sont mesurables dans le temps, et ils poussent à l’action. Si un indicateur ne mène pas à une question (“que devons-nous faire à ce sujet ?”), il n’a aucune valeur.
Exposition : À quelle vitesse détectez-vous et remédiez-vous ?
| KPI | Ce qu’il mesure | Pourquoi c’est important |
|---|---|---|
| MTTD (Mean Time to Detect) | Temps moyen de l’intrusion à la détection | Plus un attaquant reste à l’intérieur, plus il peut causer de dégâts |
| MTTR (Mean Time to Respond) | Temps moyen de la détection à la limitation | Une réponse rapide limite drastiquement l’étendue des dégâts |
| Temps de correction | Temps de la publication de vulnérabilité à l’implémentation | Montre votre capacité à gérer les menaces connues dans un délai raisonnable |
| Actifs exposés | Nombre de systèmes exposés à Internet sans protection complète | Mesure directe de votre surface d’attaque visible |
Maturité : À quel point votre travail de sécurité fonctionne-t-il bien ?
| KPI | Ce qu’il mesure | Pourquoi c’est important |
|---|---|---|
| Taux d’implémentation | % des contrôles requis entièrement implémentés | Montre où sont les lacunes — et à quelle vitesse vous les comblez |
| Écart de conformité | Distance à la pleine conformité avec la Loi de transposition NIS2 | Donne au conseil une image claire du risque réglementaire |
| Fréquence d’exercices | Nombre d’exercices d’incidents réalisés par an | Un plan jamais exercé est une liste de souhaits, pas une préparation |
| Couverture fournisseurs | % de fournisseurs critiques ayant subi une évaluation de sécurité | Mesure le contrôle de votre chaîne d’approvisionnement |
Impact métier : Combien cela coûte-t-il ?
Exprimez le risque dans des termes que le conseil comprend
Les membres du conseil ne prennent pas de décisions basées sur des numéros CVE ou des scores CVSS. Ils prennent des décisions basées sur l’impact métier.
Au lieu de : “Nous avons 47 vulnérabilités critiques dans notre infrastructure exposée”
Dites : “Nous avons des vulnérabilités dans le système client qui, si elles sont exploitées, peuvent entraîner 3 à 5 jours d’arrêt avec un coût estimé de 2 à 4 millions d’euros. La remédiation coûte 200 000 euros et prend deux semaines.”
Maintenant le conseil a des éléments de décision.
Le piège : mesurer ce qui est facile au lieu de ce qui est important
La plupart des organisations tombent dans le piège de mesurer ce que le système SIEM génère automatiquement. Nombre d’événements journalisés, nombre de déclenchements de règles, nombre de faux positifs. Ce sont des données disponibles — mais ce ne sont pas nécessairement des données significatives.
Les KPI vraiment précieux nécessitent souvent un traitement manuel, une compréhension du contexte et une connexion aux objectifs métier. C’est plus de travail — mais c’est un travail qui génère réellement des éléments de décision.
Posez-vous la question pour chaque indicateur :
- Que nous apprend-il sur notre sécurité réelle ?
- Si le chiffre change, que devons-nous faire différemment ?
- Le conseil peut-il comprendre et agir sur cette base ?
Si la réponse à l’une des questions est “je ne sais pas” — mesurez autre chose.
Construisez un tableau de bord qui guide les décisions
- Choisissez 5 à 8 KPI — pas plus Un tableau de bord avec 30 indicateurs ne guide aucune décision. Concentrez-vous sur les indicateurs clés qui reflètent vos plus grands risques et vos domaines d'amélioration les plus importants. Adaptez la sélection à votre profil de risque.
- Montrez les tendances, pas les instantanés Un chiffre sans contexte est sans signification. Montrez comment le MTTD a évolué ces derniers trimestres, comment l'écart de conformité se réduit (ou grandit), et comment le temps de correction change. Les tendances donnent au conseil une image de la direction.
- Incluez à la fois des indicateurs avancés et retardés Les indicateurs retardés (nombre d'incidents, coût par incident) montrent ce qui s'est passé. Les indicateurs avancés (fréquence d'exercices, temps de correction, qualité de formation) montrent où vous allez. Le conseil a besoin des deux.
- Liez chaque KPI à un objectif Si le MTTR est de 48 heures — quel est l'objectif ? 24 heures ? 4 heures ? Sans objectif, le chiffre ne donne aucune orientation. Et les objectifs doivent être basés sur votre appétit au risque et les standards sectoriels — pas sur ce qui est techniquement facile à atteindre.
Mesurez pour améliorer, pas pour impressionner
Les KPI qui montrent que tout est parfait sont probablement faux. Les organisations les plus matures ont des indicateurs qui rendent visibles les lacunes — car c’est ainsi qu’on sait où diriger les efforts d’amélioration. Un tableau de bord honnête qui montre les écarts et les tendances est infiniment plus utile qu’un tableau de bord vert auquel personne ne fait confiance.
Si votre travail de sécurité doit être guidé par les décisions, les décisions doivent être guidées par les bonnes données. Mesurez ce qui compte.
La fonctionnalité tableau de bord de Securapilot rassemble vos KPI de sécurité les plus importants dans une vue d’ensemble conçue pour la direction — avec tendances, statut de conformité et exposition au risque qui poussent à l’action au lieu de simplement informer.
Questions fréquentes
Quels KPI un RSSI doit-il présenter au conseil d'administration ?
Concentrez-vous sur les indicateurs sur lesquels le conseil peut agir : exposition au risque en euros, temps de détection et de réponse (MTTD/MTTR), statut de conformité en pourcentage, et tendances montrant l'amélioration ou la dégradation dans le temps.
Pourquoi le nombre d'attaques bloquées est-il un mauvais indicateur ?
Il mesure le volume, pas l'efficacité. Le fait que le pare-feu bloque des millions de requêtes quotidiennement ne dit rien sur la capacité de votre organisation à se protéger contre les menaces qui comptent vraiment. C'est comme mesurer le succès des pompiers au nombre de camions plutôt qu'aux vies sauvées.
À quelle fréquence faut-il rapporter les KPI de sécurité ?
Les KPI opérationnels (MTTD, statut des correctifs, niveau de vulnérabilité) doivent être suivis hebdomadairement ou mensuellement en interne. Les KPI stratégiques pour le conseil d'administration doivent être rapportés trimestriellement. Rapports extraordinaires en cas d'incidents ou de changements significatifs.
Quelle est la différence entre KPI retardés et KPI avancés ?
Les KPI retardés mesurent ce qui s'est déjà passé (nombre d'incidents, coût par intrusion). Les KPI avancés mesurent la préparation et les tendances (temps de correction, degré de formation, écart de conformité). Un bon tableau de bord nécessite les deux, mais les KPI avancés fournissent plus d'éléments de décision.
