Métriques SOC : quels indicateurs suivre pour la cybersécurité
Jean-Vincent QUILICHINI
Le centre d’opérations de sécurité (SOC) est souvent évalué sur des métriques trompeuses — nombre de tickets fermés, heures travaillées — qui ne disent rien de la réduction du risque. Pour piloter un SOC moderne, il faut un équilibre entre indicateurs opérationnels (charge, qualité du triage) et indicateurs de sécurité (couverture, temps de détection et de correction).
Indicateurs de processus
- MTTD (Mean Time to Detect) : délai entre le début d’une activité malveillante et sa détection par le SOC.
- MTTR (Mean Time to Respond) : temps jusqu’à la neutralisation ou le confinement — à segmenter par gravité.
- Taux de faux positifs par règle ou par source : une source qui génère 95 % de bruit mérite un recalibrage.
- File d’attente : âge du plus ancien incident non assigné ; signal critique de sous-effectif ou de mauvaise priorisation.
Indicateurs de couverture
- Couverture MITRE ATT&CK : part des tactiques techniques testées en purple team pour lesquelles vous avez une détection documentée.
- Enrichissement des alertes : pourcentage d’alertes où le contexte (réputation IP/domaine, utilisateur, actifs) est disponible en un clic — moins l’analyste jongle entre outils, plus le MTTR baisse.
Qualité plutôt que quantité
Un SOC qui « réussit » en fermant des milliers d’alertes triviales peut masquer une défaillance de détection sur les incidents sérieux. Ajoutez des revues périodiques :
- Incidents non détectés par le SOC mais révélés par un tiers (client, autorité, ransomware).
- Red team ou exercices tabletop pour valider les chaînes d’escalade.
Comment la threat intelligence nourrit les métriques
Des flux CTI de qualité améliorent le rapport signal/bruit et réduisent les investigations oiseuses. L’intégration d’APIs de réputation (isMalicious, flux IOC, etc.) permet de mesurer concrètement : temps gagné par analyste, taux d’escalade justifiée, alignement avec les campagnes observées dans votre secteur.
Conclusion
Choisissez quelques KPI alignés sur vos objectifs (conformité, résilience, réduction des pertes) et revoyez-les trimestriellement. Un tableau de bord utile est celui que les analystes consultent sans y passer plus de quelques minutes par jour — le reste doit servir au management et à la preuve d’amélioration continue.
Related articles
Sep 15, 2025Building a Modern SOC with Threat Intelligence: A Practical GuideLearn how to build an effective Security Operations Center (SOC) powered by threat intelligence. Discover essential tools, processes, and best practices for detecting, analyzing, and responding to cyber threats in real-time.
Feb 28, 2026Building a Custom SOC Dashboard: Integrating Real-Time Threat FeedsEnhance your Security Operations Center visibility. A step-by-step guide to aggregating threat data, enriching logs, and building custom security dashboards using modern Threat Intelligence APIs.
Mar 14, 2026Understanding Threat Classification: A Guide for Modern SOCsEffective threat classification is the cornerstone of a modern SOC. Learn how to categorize threats to streamline incident response and reduce alert fatigue.
Protect Your Infrastructure
Check any IP or domain against our threat intelligence database with 500M+ records.
Try the IP / Domain Checker