Métriques SOC : quels indicateurs suivre pour la cybersécurité
Un SOC efficace ne se juge pas au volume d’alertes. Voici les KPI utiles pour mesurer la détection, la réponse et l’amélioration continue — sans noyer l’équipe sous les tableaux de bord inutiles.
Jean-Vincent QUILICHINI
Le centre d’opérations de sécurité (SOC) est souvent évalué sur des métriques trompeuses — nombre de tickets fermés, heures travaillées — qui ne disent rien de la réduction du risque. Pour piloter un SOC moderne, il faut un équilibre entre indicateurs opérationnels (charge, qualité du triage) et indicateurs de sécurité (couverture, temps de détection et de correction).
Indicateurs de processus
- MTTD (Mean Time to Detect) : délai entre le début d’une activité malveillante et sa détection par le SOC.
- MTTR (Mean Time to Respond) : temps jusqu’à la neutralisation ou le confinement — à segmenter par gravité.
- Taux de faux positifs par règle ou par source : une source qui génère 95 % de bruit mérite un recalibrage.
- File d’attente : âge du plus ancien incident non assigné ; signal critique de sous-effectif ou de mauvaise priorisation.
Indicateurs de couverture
- Couverture MITRE ATT&CK : part des tactiques techniques testées en purple team pour lesquelles vous avez une détection documentée.
- Enrichissement des alertes : pourcentage d’alertes où le contexte (réputation IP/domaine, utilisateur, actifs) est disponible en un clic — moins l’analyste jongle entre outils, plus le MTTR baisse.
Qualité plutôt que quantité
Un SOC qui « réussit » en fermant des milliers d’alertes triviales peut masquer une défaillance de détection sur les incidents sérieux. Ajoutez des revues périodiques :
- Incidents non détectés par le SOC mais révélés par un tiers (client, autorité, ransomware).
- Red team ou exercices tabletop pour valider les chaînes d’escalade.
Comment la threat intelligence nourrit les métriques
Des flux CTI de qualité améliorent le rapport signal/bruit et réduisent les investigations oiseuses. L’intégration d’APIs de réputation (isMalicious, flux IOC, etc.) permet de mesurer concrètement : temps gagné par analyste, taux d’escalade justifiée, alignement avec les campagnes observées dans votre secteur.
Conclusion
Choisissez quelques KPI alignés sur vos objectifs (conformité, résilience, réduction des pertes) et revoyez-les trimestriellement. Un tableau de bord utile est celui que les analystes consultent sans y passer plus de quelques minutes par jour — le reste doit servir au management et à la preuve d’amélioration continue.
Related articles
May 24, 2026Pourquoi les CVE sont critiques pour les SOC, même quand tout semble déjà monitoréLes CVE ne sont pas seulement un sujet patch management : elles structurent la priorisation SOC, le threat hunting, les contrôles compensatoires et la communication de crise.
May 24, 2026Sources de données CVE : comment construire une vision fiable du risque vulnérabilitéNVD, OpenCVE, CISA KEV, GCVE, EPSS, CERT-FR, MSRC, GHSA, Exploit-DB, Nuclei et advisories fournisseurs : comprendre le rôle de chaque source dans une plateforme CVE exploitable.
Apr 23, 2026OSINT for SOC Analysts: Turning Open Source Intelligence Into Actionable Threat IntelligenceA complete guide to open source intelligence (OSINT) for security operations—tools, techniques, workflows, and legal considerations for collecting, analyzing, and operationalizing open threat data in a modern SOC.
Protect Your Infrastructure
Check any IP or domain against our threat intelligence database with 500M+ records.
Try the IP / Domain Checker