Indicateurs et KPI de cybersécurité : ce qu'il faut suivre en 2025

Face à la multiplication et à la sophistication croissante des cybermenaces, les organisations ont besoin de moyens concrets pour mesurer l'efficacité de la protection de leurs actifs critiques. Les indicateurs de cybersécurité nous apportent cette clarté en montrant si les investissements dans les technologies, la formation et les processus sont rentables. Cependant, seules 23 % des entreprises déclarent que leurs indicateurs sont bien compris par leurs dirigeants, ce qui révèle un décalage entre les opérations de sécurité et la direction de l'entreprise. Nous allons donc prendre le temps de comprendre quels sont les indicateurs de cybersécurité qui comptent vraiment, pourquoi ils sont importants et comment commencer à les suivre correctement dans les écosystèmes informatiques modernes d'aujourd'hui.

Tout d'abord, nous définissons les indicateurs de cybersécurité, leur rôle dans la gestion des risques, la conformité et la démonstration du retour sur investissement. Ensuite, nous expliquons pourquoi les indicateurs sont importants, en laissant parler les chiffres relatifs à l'augmentation des paiements liés aux ransomwares et en soulignant la nécessité d'une surveillance continue. Sur la base des indicateurs et mesures de cybersécurité du NIST, nous détaillerons ensuite les principales catégories d'indicateurs et dresserons une liste d'une trentaine d'indicateurs à suivre.

Que sont les indicateurs de cybersécurité ?

Les indicateurs de cybersécurité évaluent la posture de sécurité d'une organisation en mesurant des points de données spécifiques au fil du temps (par exemple, les délais moyens de correction, le taux de réussite des interventions en cas d'incident, la fréquence des tentatives de phishing réussies). Au-delà des évaluations générales des risques, il s'agit d'une approche structurée qui examine en profondeur les critères de performance aux niveaux opérationnel, stratégique et de conformité. Qu'il s'agisse des mesures et indicateurs de cybersécurité du NIST ou de cadres internes, des KPI bien choisis nous donnent une vision objective de l'efficacité des défenses face aux menaces émergentes.

Mais ils contribuent également à l'alignement : les équipes de sécurité peuvent fournir aux dirigeants des résultats étayés par des données. D'ici la fin 2025, les journaux provenant des appareils mobiles, des capteurs IoT, des charges de travail dans le cloud et d'autres sources afflueront, ce qui rendra encore plus difficile le choix et la compréhension des indicateurs appropriés.

Pourquoi les indicateurs de cybersécurité sont-ils importants ? Les indicateurs de cybersécurité ont plusieurs objectifs essentiels pour l'entreprise, qu'il s'agisse de justifier des demandes budgétaires ou de détecter plus rapidement les intrusions furtives. Grâce à elles, les organisations fixent des objectifs réalistes, identifient les faiblesses des processus et démontrent leur conformité avec les réglementations en constante évolution.

Alors que le montant moyen des rançongiciels est passée de 812 380 dollars en 2022 à 1 542 333 dollars en 2023, les risques liés à la cybersécurité ont considérablement augmenté. Maintenant que nous connaissons un aspect, examinons les cinq autres raisons pour lesquelles les indicateurs sont importants.

1. Démontrer le retour sur investissement à la direction : Comme les RSSI doivent toujours justifier les dépenses de sécurité auprès des dirigeants qui considèrent souvent la cybersécurité comme un centre de coûts, ils doivent démontrer le retour sur investissement à la direction. Les dirigeants peuvent constater les avantages tangibles des investissements en matière de sécurité grâce à la présentation d'indicateurs clés de cybersécurité tels que les taux de réduction des incidents, l'amélioration des accords de niveau de service (SLA) en matière de correctifs ou l'amélioration des délais de récupération. Comblant le fossé entre le jargon technique et les priorités du conseil d'administration axées sur le retour sur investissement, ce discours fondé sur des données est un outil puissant pour les spécialistes du marketing. Ce sont les indicateurs factuels, et non les suppositions, qui justifient des budgets solides à mesure que les menaces s'intensifient.
2. Priorités en matière de risques : Toutes les vulnérabilités ou tous les événements ne présentent pas le même niveau de risque. Les équipes analysent des exemples d'indicateurs de cybersécurité afin de déterminer quels domaines, tels que les terminaux, les comptes privilégiés ou les applications accessibles au public, présentent le plus grand risque. Elles allouent ensuite des ressources et du personnel à ces points sensibles et évitent de gaspiller leurs efforts sur des vulnérabilités à faible impact. Cette précision permet d'avoir une vision plus stratégique des tâches quotidiennes et des risques.
3. Accélération de la détection et de la réponse aux incidents : Les attaquants prospèrent grâce à la lenteur de la détection : plus ils ont de temps pour opérer sans être détectés, plus ils peuvent exfiltrer ou saboter de données. Les équipes peuvent suivre la rapidité avec laquelle elles détectent et atténuent les menaces grâce à des indicateurs tels que le temps moyen de détection (MTTD) ou le temps moyen de réponse (MTTR). Au fil du temps, ces indicateurs témoignent de la maturité d'un programme de sécurité lorsqu'ils continuent de s'améliorer. Il est clair que les indicateurs et les mesures de cybersécurité sont liés à une détection plus rapide, ce qui permet de réaliser des économies, de préserver la réputation et d'assurer la continuité des activités.
4. Conformité et alignement réglementaire : Avec des réglementations telles que le RGPD et la norme PCI DSS, il est nécessaire de fournir la preuve de l'existence de contrôles de sécurité efficaces. Les indicateurs relatifs à la conformité des correctifs, aux contrôles d'accès des utilisateurs ou à la couverture du chiffrement permettent de démontrer l'existence de ces contrôles lors d'un audit. Les organisations qui ont mis en place des cadres d'indicateurs fournissent des rapports immédiats et vérifiables au lieu de se démener pour trouver des données ad hoc. La conformité est plus facile à assurer lorsqu'elle s'aligne sur des cadres tels que les mesures et indicateurs de cybersécurité du NIST.
5. Soutenir les cycles d'amélioration continue : La sécurité n'est pas statique, les attaques évoluent, et les défenses doivent en faire autant. La révision mensuelle ou trimestrielle des mesures de cybersécurité permet d'identifier les tendances : y a-t-il une baisse des tentatives de phishing après une nouvelle formation ? Les retards dans l'application des correctifs sont-ils toujours trop importants ? Il s'agit d'une évaluation cyclique qui encourage une culture itérative où chaque amélioration ou régression est évidente. Au fil du temps, les indicateurs deviennent le guide de la transformation de la sécurité, permettant de prendre des décisions fondées sur des preuves plutôt que sur l'intuition.

Catégories de mesures de cybersécurité

La portée et la fonction des mesures sont très différentes. Certaines organisations évaluent les tâches opérationnelles quotidiennes, tandis que d'autres surveillent les niveaux de conformité et de risque de manière plus générale. Cette section présente les trois principales catégories : les indicateurs opérationnels, les indicateurs de conformité et les indicateurs de gestion des risques.

En reconnaissant ces regroupements, il est facile de comprendre comment les organisations peuvent organiser les indicateurs de cybersécurité afin d'atteindre divers objectifs, tels que le respect des obligations légales et le contrôle des risques stratégiques.

1. Indicateurs opérationnels : Ils comprennent des indicateurs opérationnels tels que la correction des vulnérabilités, la recherche de nouvelles menaces ou l'analyse de l'activité des utilisateurs. Ils indiquent si les processus fondamentaux fonctionnent correctement et si des retards s'accumulent. Il peut s'agir, par exemple, du temps nécessaire pour corriger des vulnérabilités critiques ou du nombre de terminaux qui restent non protégés. Le suivi régulier de ces indicateurs permet d'améliorer immédiatement la santé du système et la sécurité des utilisateurs. Si vous négligez les petites failles, elles peuvent rapidement se transformer en brèches gigantesques pour les pirates.
2. Indicateurs de conformité : Les gouvernements et les organismes de réglementation du secteur exigent de plus en plus souvent des preuves en temps réel des contrôles de sécurité. La conservation des données, l'authentification multifactorielle ou les calendriers de rotation des mots de passe sont des indicateurs de conformité courants. Ces indicateurs peuvent être enregistrés et utilisés pour produire rapidement des preuves lors d'audits et réduire les risques juridiques. Tout manquement à cet égard peut entraîner des amendes ou nuire à la réputation de l'entreprise, ce qui signifie que les indicateurs de conformité sont essentiels.
3. Indicateurs basés sur les risques : Il s'agit notamment des indicateurs basés sur le niveau de risque, tels que les menaces avancées ou l'exposition des systèmes non corrigés. Ils quantifient la vulnérabilité des actifs de l'entreprise (comme les CVEs connus) et produisent un score de risque pour orienter l'allocation des ressources. Ces indicateurs combinent la gravité technique et l'impact commercial afin de relier les indicateurs et mesures de cybersécurité du NIST aux décisions prises au niveau du conseil d'administration. Les scores de risque agrégés permettent de voir si votre posture face aux menaces s'est améliorée, détériorée ou est restée stable au fil du temps grâce à de nouvelles stratégies de sécurité.

Indicateurs clés de cybersécurité à suivre

Il est difficile de choisir les indicateurs à sélectionner. La question est la suivante : faut-il tout mesurer ou se concentrer sur un ensemble stratégique ? Pour y répondre, nous avons compilé une trentaine d'indicateurs significatifs à partir de multiples références, notamment des exemples d'indicateurs de cybersécurité issus de cadres de référence de premier plan.

Chaque indicateur représente une dimension spécifique de votre posture de sécurité, qu'elle soit opérationnelle, axée sur la conformité ou stratégique. Examinons chacune de ces mesures.

1. Temps moyen de détection (MTTD)

Le temps moyen de détection (MTTD) est l'un des indicateurs clés de la cybersécurité. Il mesure le temps pendant lequel les menaces peuvent se développer sans être détectées. Un MTTD élevé indique que les processus de détection sont lents ou que la surveillance est insuffisante. Les organisations peuvent prouver l'amélioration de leurs capacités de détection en suivant le MTTD. Une baisse continue du MTTD implique un environnement de sécurité plus proactif.

2. Temps moyen de réponse (MTTR)

Lorsqu'une anomalie est détectée, combien de temps faut-il aux équipes pour contenir la menace, combler les failles ou éliminer les logiciels malveillants ? Un MTTR indique que les workflows sont bien coordonnés et que les incidents sont bien gérés. Associé au MTTD, il offre une vue d'ensemble de l'efficacité de la sécurité. Le MTTD/MTTR est fortement pris en compte par de nombreux conseils d'administration lors de la détermination des budgets ou des solutions fournisseurs.

3. Temps moyen de confinement (MTTC)

Ceci concerne le temps nécessaire pour arrêter la propagation de la menace, par opposition à sa correction complète. Si un terminal a été compromis, l'attaquant s'est-il tourné vers d'autres terminaux ? Un MTTC court indique que les contrôles des mouvements latéraux sont efficaces et que les mises en quarantaine sont rapides. Les indicateurs qui trouvent un écho dans la dimension cybersécurité sont la détection, la réponse et la segmentation de l'environnement.

4. Taux de clics sur les liens de phishing

Le phishing reste l'un des principaux vecteurs d'attaque, pouvant conduire au vol d'identifiants ou à une infection par un ransomware. L'un des exemples de métriques de cybersécurité consiste à savoir combien d'employés cliquent sur les liens de phishing simulés. Il s'agit là du résultat d'une formation efficace et d'un comportement prudent de la part des utilisateurs. Les taux de clics peuvent être élevés, ce qui nécessite des sessions de remise à niveau ou des campagnes de sensibilisation plus avancées.

5. Taux de conformité des correctifs

Les vulnérabilités qui ne sont pas corrigées laissent la porte ouverte à des exploits, ce qui est mesuré par le taux de conformité des correctifs. La conformité des correctifs fait référence au pourcentage de terminaux qui disposent de la dernière version des correctifs critiques ou de haute gravité. Un taux de conformité élevé est conforme aux mesures et indicateurs de cybersécurité du NIST et implique un risque d'exploitation minimal des bogues connus. De nombreuses organisations ont des objectifs de conformité des correctifs (par exemple, 95 % ou 99 %) afin d'effectuer en temps opportun vulnérabilité.

6. Récurrence des vulnérabilités

La même vulnérabilité réapparaît parce que les correctifs ne sont pas entièrement appliqués ou que le code est réintroduit. Cette mesure permet de suivre la fréquence à laquelle une vulnérabilité précédemment corrigée réapparaît dans l'environnement. Une récurrence élevée implique un problème de processus plus profond avec DevOps ou une gestion des correctifs mal alignée. L'amélioration robuste et cohérente des mesures de cybersécurité passe par la réduction de la récurrence.

7. Tentatives d'intrusion bloquées

Ceci inclut le nombre de tentatives de connexion malveillantes, de scans de ports ou de charges utiles d'exploits connus que vos défenses ont réussi à bloquer. Cependant, ce chiffre peut être gonflé par des robots de scan aléatoires. Même s'il peut être gonflé par des robots de scan aléatoires, il reflète l'exposition au risque dans l'environnement. Différenciez les attaques ciblées du bruit de fond Internet en établissant une corrélation avec les données des honeypots. L'examen des tentatives d'intrusion au fil du temps permettra d'affiner les ensembles de règles ou la posture de sécurité.

8. Taux d'échec de connexion

Surveillez le nombre de tentatives de connexion échouées par jour ou par semaine. Certains échecs de base sont normaux (fautes de frappe), mais une augmentation soudaine pourrait être le signe de campagnes de force brute ou de tests d'identifiants volés. Ces mesures sont généralement générées par un système d'analyse des journaux dédié ou un SIEM. Mettez en évidence les comportements potentiellement malveillants en les recoupant avec le contexte des utilisateurs (emplacement ou heures inhabituelles).

9. Gravité des incidents

Classez les incidents détectés (par exemple, les alertes ou les violations potentielles) en fonction de leur niveau de gravité (faible, moyen, élevé, critique). La surveillance des tendances vous permettra de savoir si votre environnement est soumis à des attaques plus graves ou si les améliorations apportées à la détection réduisent le nombre d'alertes de niveau élevé. En outre, cette mesure peut faciliter la planification des ressources : des incidents critiques fréquents peuvent nécessiter davantage de personnel ou des outils spécialisés.

10. Cause première des incidents de sécurité

Déterminez si les problèmes sont dus à des erreurs de configuration, au phishing, à des logiciels obsolètes ou à une utilisation abusive des privilèges. Les incidents peuvent être classés par catégorie de cause première, et les équipes peuvent investir dans les solutions appropriées (formation avancée anti-phishing ou amélioration des processus de correction). L'évolution de la répartition au fil du temps indique si les politiques permettent de traiter efficacement les vulnérabilités majeures. Cet indicateur favorise une approche fondée sur les données pour la définition des priorités.

11. Achèvement de la formation de sensibilisation des utilisateurs

Il s'agit du nombre de modules de formation obligatoires sur la sécurité ou d'exercices de phishing achevés. Ce chiffre est également lié aux indicateurs et mesures de cybersécurité relatifs à la préparation du personnel, tels que le taux de clics sur les liens de phishing ou le potentiel de menaces internes. Il s'agit d'un personnel qui affiche des taux d'achèvement élevés et de bons résultats aux quiz et qui, est donc plus à même d'identifier les liens suspects ou les tactiques d'ingénierie sociale. Si la conformité prend du retard, vous pouvez vous attendre à des vulnérabilités dues à des négligences au niveau des utilisateurs.

12. Pourcentage de systèmes couverts par l'EDR

Les terminaux non intégrés à l'EDR ou à un antivirus de nouvelle génération sont des angles morts qui ne sont pas couverts par l'EDR. Il s'agit d'une mesure du nombre d'appareils disposant d'une détection des terminaux à jour. La couverture peut diminuer pour les systèmes distants ou nouvellement ajoutés dans les grandes organisations décentralisées. Le maintien d'une couverture proche de 100 % est conforme aux dimensions de la cybersécurité pour la protection des terminaux, garantissant une détection cohérente des intrusions.

13. Coût moyen des incidents

Il s'agit d'un indicateur de performance clé (KPI) à caractère financier qui est calculé comme le coût total des interventions en cas d'incident, des temps d'arrêt, des frais juridiques et de l'impact sur la marque pendant une période donnée, divisé par le nombre d'incidents. Une tendance à la hausse peut refléter une infiltration plus importante ou des temps de réponse plus lents. Les dirigeants qui exigent trop souvent un retour sur investissement ou une quantification des risques réagissent bien aux mesures de coût. La baisse du coût moyen des incidents au fil du temps atteste de l'efficacité des mesures de sécurité.

14. Nombre de violations de la politique de sécurité

Surveillez le nombre de fois où les employés ou les processus enfreignent vos règles de sécurité : classification des données, installations de logiciels non autorisés, utilisation de supports amovibles, etc. Ce nombre peut augmenter en raison d'une méconnaissance des politiques ou d'une formation insuffisante des utilisateurs. Une correction ciblée de cette mesure est facilitée par son alignement sur les groupes d'utilisateurs. Le respect des politiques est souvent identifié comme un facteur clé pour une posture de risque robuste par les mesures et indicateurs de cybersécurité du NIST.

15. Délai de déploiement des correctifs de sécurité

Contrairement au taux de conformité, cet indicateur mesure le délai moyen entre la publication d'un correctif et son déploiement dans l'environnement. Plus ce délai est court, moins il y a de temps pour l'exploitation. Combinez cela avec un objectif SLA, tel que des correctifs hautement prioritaires, en moins de 7 jours. Les délais sont mesurés par les équipes, ce qui permet d'identifier les goulots d'étranglement (planification des temps d'arrêt, dépendance vis-à-vis des fournisseurs, etc.) et d'affiner les pipelines de correctifs.

16. Cas d'exploitation zero-day

Comptez le nombre de fois où des exploits inconnus ou " dans la nature " provoquent des incidents dans votre environnement. Les zero-days sont encore difficiles à bloquer, mais cet indicateur vous permet de savoir si vous les bloquez à l'aide d'outils de détection avancés ou d'informations sur les menaces. Si le nombre est constant ou en augmentation, vous savez que vous devez améliorer votre réponse aux incidents ou segmenter davantage votre réseau.

17. Tentatives d'exfiltration de données

Enregistrez le nombre de tentatives de transferts de fichiers volumineux suspects ou de téléchargements de données anormaux. Un système de détection perfectionné signalera les exfiltrations véritablement malveillantes, mais certains faux positifs apparaîtront. Des taux aussi élevés indiquent un environnement compromis ou une menace interne tentant de voler des données IP ou client. Au fil du temps, les modèles peuvent être analysés pour voir si les attaques ciblent certains segments ou groupes d'utilisateurs.

18. Volume de trafic DNS et de commande et contrôle

Les logiciels malveillants communiquent généralement avec des serveurs externes pour recevoir des commandes ou exfiltrer des données, générant ainsi du trafic DNS et de commande et contrôle. Vous évaluez les tentatives d'infiltration en suivant les requêtes DNS suspectes ou les modèles de commande et contrôle. Les domaines malveillants nouvellement découverts peuvent être signalés par une augmentation des anomalies DNS. Cela permet également d'isoler rapidement les terminaux infectés ou de bloquer les adresses IP malveillantes connues à l'aide des journaux de détection d'intrusion.

19. État de renforcement du système

Combien de serveurs ou de terminaux respectent les directives de configuration de sécurité de base (c'est-à-dire les benchmarks CIS) ? Il s'agit d'un exemple de mesure opérationnelle de cybersécurité qui relève des mesures permettant de vérifier que les configurations sont conformes aux normes recommandées. Si de nombreux systèmes s'écartent de ces normes, l'environnement est mûr pour être exploité. Cela crée une culture de suivi des améliorations et met l'accent sur des configurations à privilèges minimaux et des paramètres de cryptographie à jour.

20. Surveillance des comptes privilégiés

Ceci peut être suivi en comptant le nombre de comptes administrateur ou root ainsi que la fréquence à laquelle ils sont utilisés. L'impact des violations se multiplie avec un nombre excessif de comptes privilégiés ou une utilisation non surveillée. Cet indicateur permettra de contrôler les indicateurs et mesures de cybersécurité du NIST liés au contrôle d'accès. Une mauvaise hygiène d'identité se traduit par une prolifération excessive, . Chaque trimestre, essayez donc de réduire ou d'affiner ces comptes.

21. Efficacité de la sauvegarde et de la restauration

Il s'agit de mesurer si vos sauvegardes s'exécutent quand elles le devraient, si elles sont accessibles quand vous en avez besoin et de la rapidité avec laquelle vous pouvez restaurer les données après un incident. La résilience se caractérise par des taux de réussite élevés et des temps de récupération courts. La récupération après un ransomware est compromise si les sauvegardes échouent ou sont rarement testées. En associant cela aux mesures des tests de reprise après sinistre, vous obtenez une image claire de la robustesse réelle de la continuité de vos activités.

22. Tentatives d'escalade des privilèges utilisateur

Surveillance des journaux pour détecter les événements répétés ou suspects d'élévation des privilèges. Les escalades peuvent être tentées par des attaquants ou des initiés malveillants afin de contourner les restrictions normales. Les tentatives de compromission plus profondes des ressources critiques sont associées à une fréquence constante ou croissante. Détecte les tentatives d'infiltration et affine les règles de détection afin de bloquer ou d'enquêter rapidement avant que la menace ne se propage.

23. Efficacité de l'anti-hameçonnage / de la passerelle de messagerie

Combien d'e-mails malveillants ou indésirables vos systèmes de filtrage de messagerie bloquent-ils chaque jour par rapport au nombre que vous recevez ? Ainsi, une passerelle de messagerie performante se caractérise par un taux de blocage élevé avec un minimum de faux négatifs. En revanche, des infiltrations répétées indiquent que les règles sont obsolètes ou que le filtre est défaillant. Ces indicateurs sont conformes aux indicateurs de cybersécurité et aux mesures d'efficacité de la défense périmétrique.

24. Niveau de correctif des navigateurs et des applications

Outre les mises à jour du système d'exploitation, les navigateurs populaires ou les applications tierces constituent souvent des vecteurs d'infiltration privilégiés. Une approche partielle des correctifs consiste à compter le nombre de terminaux qui exécutent des versions plus anciennes. Le fait d'avoir un objectif (par exemple, " 95 % des navigateurs mis à jour dans les deux jours suivant la publication du correctif ") favorise la cohérence en matière de conformité. Ne pas suivre les statistiques relatives aux correctifs des navigateurs crée une vulnérabilité majeure, car les exploits basés sur le Web sont couramment utilisés pour cibler les navigateurs.

25. Notes d'évaluation de la formation à la sensibilisation à la sécurité

Découvrez les notes obtenues par les employés lors de simulations d'ingénierie sociale ou de quiz sur la sécurité. Il est urgent de dispenser une formation si les notes moyennes baissent ou si un service échoue à plusieurs reprises. Ces notes complètent le taux de clics sur les liens de phishing et fournissent des preuves pour les dimensions de la cybersécurité basées sur les utilisateurs. L'amélioration des notes au fil du temps reflète une culture de la sécurité qui mûrit.

26. Score de risque des fournisseurs tiers

De nombreuses violations proviennent d'un fournisseur ou d'un prestataire de services dont l'accès au réseau a été compromis. Le score de risque des fournisseurs permet de mesurer dans quelle mesure un tiers répond à vos attentes en matière de sécurité : politiques de correctifs, normes de chiffrement, réponse aux incidents, etc. L'examen régulier des scores vous permet de rester informé de toute détérioration de la posture de vos partenaires avant qu'elle n'ait un impact sur votre environnement. Cette approche comble une lacune dans les mesures et indicateurs de cybersécurité du NIST en étendant la surveillance des risques au-delà des limites de votre organisation.

27. Taux de mauvaise configuration du cloud

À mesure que l'utilisation du cloud augmente, les dangers liés à un compartiment S3 mal configuré, à des volumes de stockage ouverts ou à des interfaces administratives exposées augmentent également. Cette métrique nous indique quel pourcentage des ressources cloud ne sont pas configurées selon les normes de sécurité de base. Des pipelines DevSecOps plus solides et de meilleurs contrôles de l'environnement permettent de réduire le taux de mauvaise configuration. Cependant, lorsque les chiffres persistent ou augmentent, il est urgent d'y prêter attention, car les bases de données ouvertes ou les blobs lisibles publiquement restent les principales voies d'infiltration.

28. Vulnérabilités critiques non résolues au fil du temps

Cet indicateur permet non seulement de suivre le taux de conformité des correctifs, mais aussi d'identifier le nombre de CVE critiques qui restent ouvertes pendant de longues périodes. Lorsque ce chiffre augmente ou stagne, les systèmes restent vulnérables à des exploits de haute gravité. Les équipes de sécurité considèrent les " vulnérabilités critiques non résolues " comme des retards urgents qui doivent être corrigés ou atténués immédiatement. Il s'agit d'un indicateur clair de la manière dont l'organisation gère les vulnérabilités logicielles les plus graves.

29. Taux d'achèvement des évaluations de sécurité

De nombreuses entreprises exigent des évaluations de sécurité internes ou externes (par exemple, des tests de pénétration et des audits de conformité par des tiers) à intervalles réguliers. Il s'agit de la proportion d'évaluations prévues qui sont entièrement réalisées dans les délais impartis. Des taux faibles indiquent des goulots d'étranglement dans la planification ou des contraintes budgétaires dans l'utilisation des mesures et indicateurs de cybersécurité. Des taux d'achèvement élevés permettent de valider l'état de préparation et d'identifier les lacunes où la détection des risques n'est pas continue.

30. Incident d'exposition des ePHI (informations de santé protégées électroniques)

L'exposition des ePHI pour les organismes de santé traitant des informations médicales représente un risque énorme en termes de réputation et de réglementation. Cet indicateur est calculé en comptant le nombre de fois où des informations relatives aux patients sont consultées ou divulguées sans autorisation. Le respect de la loi HIPAA ou de lois similaires est souligné par le suivi des expositions des ePHI, ce qui incite à mettre en place des contrôles d'accès et un cryptage stricts. Une hausse soudaine est une lacune urgente à combler en matière de gouvernance des données, tandis qu'une tendance à la baisse indique que le traitement des données s'améliore.

Les défis liés à la mesure des indicateurs de cybersécurité

Si les avantages sont évidents, la mise en place d'un cadre d'indicateurs efficace est loin d'être facile. La mesure des indicateurs de cybersécurité peut être un processus fastidieux, en raison notamment des contraintes liées au volume des données et des menaces intangibles.

Voici cinq défis majeurs qui empêchent un suivi cohérent et fiable, et comment les organisations peuvent les surmonter :

1. Absence de normalisation : Les incidents ou les vulnérabilités sont définis différemment selon les équipes ou les fournisseurs. Cette incohérence entraîne une confusion des données entre les services ou les environnements multicloud. Sans définitions normalisées ni système de classification commun, il est impossible de comparer des éléments disparates. La solution consiste à élaborer des conventions de nommage cohérentes qui sont validées par un comité de gouvernance ou des cadres de référence (tels que les mesures et indicateurs de cybersécurité du NIST).
2. La dépendance excessive aux outils automatisés : L'automatisation peut accélérer la collecte de données, mais certaines mesures nécessitent une interprétation humaine (par exemple, la cause profonde ou l'évaluation de la gravité). Les mesures purement automatisées sont plus susceptibles de produire des faux positifs ou des corrélations incomplètes. L'efficacité des machines et l'analyse qualifiée sont équilibrées. Cette synergie contribue à fournir une image précise de la posture de sécurité de l'environnement.
3. Données et systèmes cloisonnés : Les grandes entreprises ont souvent des journaux et des analyses de vulnérabilité répartis entre différents SIEM, EDR ou tableaux de bord cloud. Si vous ne disposez pas d'une plateforme unifiée ou, d'une manière ou d'une autre, d'une intégration entre les outils, il est difficile de créer des exemples de mesures de cybersécurité significatives. Les données restent enfermées dans des silos départementaux. Cela signifie qu'il faut une architecture consolidée ou des pipelines de données bien orchestrés pour surmonter ce problème.
4. Mauvaise interprétation des indicateurs par les parties prenantes : Les dirigeants ou les membres du conseil d'administration peuvent mal interpréter ou sous-estimer certaines mesures, en ne tenant compte que des coûts ou des données générales. Cet écart peut poser problème si les équipes de sécurité prennent des décisions basées sur des mesures opérationnelles nuancées. Les tableaux de bord ou les traductions telles que la notation basée sur les risques ou l'impact commercial sont clairs. L'objectif est de combler le fossé linguistique entre le personnel technique chargé de la sécurité et les dirigeants de l'entreprise.
5. Évolution du paysage des menaces : Une mesure pertinente aujourd'hui peut devenir obsolète si les attaquants modifient leurs TTP. Par exemple, les logiciels malveillants basés sur la mémoire ou sans fichier sont devenus plus populaires que les anciennes menaces basées sur les signatures. Cette itération continue de votre ensemble de mesures vous permet de suivre les nouveaux angles d'infiltration ou les taux d'exploitation zero-day. Si vous ne vous adaptez pas, vous mesurez les anciennes menaces et passez à côté des menaces actuelles.

Meilleures pratiques pour tirer parti des indicateurs de cybersécurité

Disposer d'un ensemble d'indicateurs bien défini aide les équipes à s'y retrouver dans des environnements à risques complexes. Cependant, les indicateurs n'ont un impact réel que s'ils font partie intégrante des processus quotidiens d'une entreprise.

Vous trouverez ci-dessous cinq bonnes pratiques pour unifier les indicateurs avec des workflows de sécurité plus larges, allant de définitions cohérentes à des changements de culture axés sur les données :

1. Aligner les indicateurs sur les objectifs commerciaux: chaque indicateur doit être lié à un résultat commercial spécifique, tel que la confiance des utilisateurs, la conformité ou les économies réalisées grâce à la réduction du nombre de violations. Cet alignement empêche également que les indicateurs ne soient suivis par vanité ou par tradition. Ils contribuent plutôt à la croissance de l'entreprise ou à la réputation de la marque. Vous obtenez l'adhésion de la direction en montrant que les indicateurs de cybersécurité sont liés aux objectifs de chiffre d'affaires ou à la fidélité à la marque.
2. Rendre les indicateurs simples et exploitables : Une centaine d'indicateurs sur un tableau de bord est écrasant et inexploitable. Choisissez un ensemble d'indicateurs clés de cybersécurité qui influencent directement les décisions commerciales, par exemple la conformité des correctifs ou les taux de clics sur les liens de phishing. Chaque mesure doit également répondre à la question suivante : " Que ferons-nous différemment si ce chiffre change ? " Si la question n'est pas claire, la valeur de l'indicateur est discutable.
3. Créez une boucle de rétroaction pour une amélioration continue : Si les taux de phishing ont augmenté de 10 %, vous pouvez immédiatement former les services concernés. Organisez la nouvelle formation et mesurez les résultats. Si le taux ne diminue pas, il est temps de revoir vos stratégies. Grâce à ce cycle de rétroaction, les indicateurs de cybersécurité deviennent un moteur d'amélioration dynamique, et non des tableaux de bord statiques ou obsolètes.
4. Associez les indicateurs au risque ou au coût : Des indicateurs tels que " 75 vulnérabilités non corrigées " n'ont aucune signification sans le risque ou le coût lié au fait de ne pas corriger ces vulnérabilités. Par exemple, associez chaque vulnérabilité critique ouverte à une exposition potentielle des données ou à une atteinte à l'image de marque. La pondération basée sur le risque correspond à ce que souhaitent les cadres supérieurs et encourage l'adoption rapide des correctifs. Cette synergie favorise des décisions de sécurité plus éclairées et basées sur les priorités.
5. Promouvoir la visibilité des indicateurs et la collaboration : Mettez régulièrement à jour les indicateurs avec des équipes interfonctionnelles (DevOps, finances, RH, etc.) afin de voir comment évolue la posture de sécurité. Le personnel non technique prend conscience des menaces potentielles et la collaboration favorise une culture axée sur la sécurité. Les outils qui permettent de découper les données métriques par région, gamme de produits, environnement, etc. améliorent également la responsabilité. La sécurité devient progressivement une préoccupation partagée par l'ensemble de l'organisation, et non plus seulement par le service informatique.

Conclusion

Des indicateurs de cybersécurité efficaces sont essentiels pour prendre des décisions, car les vecteurs de menaces se multiplient et les conseils d'administration exigent un retour sur investissement concret. Les indicateurs transforment les risques intangibles en données mesurables en chiffres, créant ainsi un lien entre les détails techniques et la supervision exécutive. Qu'il s'agisse du cycle de mise à jour des correctifs, de l'utilisation des comptes privilégiés ou des taux de détection des menaces avancées, des indicateurs soigneusement sélectionnés rendent les progrès en matière de sécurité transparents. Si votre équipe adopte une approche structurée, telle que l'alignement sur les indicateurs et mesures de cybersécurité du NIST, elle sera en mesure d'identifier les points faibles, de renforcer la responsabilité et de déployer stratégiquement les ressources.

Cependant, les données seules ne suffisent pas pour réussir. Elles exigent une collaboration entre les équipes, une amélioration continue et des solutions qui rassemblent les journaux, les résultats des analyses de vulnérabilité et les informations sur les menaces dans un seul et même espace de visibilité. Vous pouvez obtenir des indicateurs personnalisés pour permettre à votre organisation de mesurer les tâches de sécurité quotidiennes ainsi que l'évolution des menaces.

"

FAQ sur les indicateurs de cybersécurité