Points clés
- Le framework MITRE ATT&CK for Enterprise fournit une base de référence pour les indicateurs de sécurité réseau : chaque technique d'attaque réseau documentée dans ATT&CK peut être traduite en une détection spécifique dont la présence ou l'absence est mesurable — un lien direct entre les indicateurs de sécurité et les techniques d'attaque réelles.
- Le CIS Controls v8 (Control 13 — Network Monitoring and Defense) définit six métriques spécifiques pour piloter la sécurité réseau, dont le taux de flux réseau analysés par rapport au volume total et le délai moyen de détection des comportements réseau anormaux.
- Gartner identifie dans son Magic Quadrant SOC 2023 que les organisations avec des KPI réseau formalisés et présentés au COMEX détectent les incidents réseau en moyenne 40 % plus rapidement que celles sans programme de métriques réseau — l'accountability favorisant la performance opérationnelle.
Le pilotage de la sécurité réseau par des indicateurs transforme une discipline technique en un programme mesurable avec une valeur démontrable pour la direction. Sans indicateurs, il est impossible de répondre à des questions fondamentales : la sécurité réseau s'améliore-t-elle ? Les investissements produisent-ils des résultats ? Sommes-nous plus vulnérables que l'année dernière ?
Indicateurs de couverture et de configuration
Les indicateurs de couverture mesurent l'étendue du programme de sécurité réseau : pourcentage des équipements réseau inclus dans le programme de gestion des correctifs (cible : 100 %), pourcentage des équipements réseau dont les configurations sont vérifiées automatiquement contre les baselines de sécurité (cible : 100 %), pourcentage des flux réseau couverts par des règles de filtrage documentées et justifiées, et pourcentage des équipements réseau dont les logs sont centralisés dans le SIEM.
Indicateurs de détection et de réponse
Les indicateurs de détection mesurent l'efficacité de la surveillance réseau : Mean Time to Detect (MTTD) pour les anomalies réseau (délai entre l'événement réseau et sa détection par les équipes), taux de faux positifs dans les alertes réseau (un taux élevé indique des règles de détection trop sensibles qui noient les vrais incidents), et couverture des techniques ATT&CK réseau (proportion des techniques documentées pour lesquelles une détection est configurée).
Indicateurs de remédiation
Les indicateurs de remédiation mesurent la réactivité face aux vulnérabilités réseau : délai moyen de déploiement des correctifs critiques sur les équipements réseau (cible : moins de 72h pour les CVE CISA KEV), nombre de CVE critiques non patchées sur les équipements réseau exposés sur internet (cible : 0), et délai moyen de clôture des alertes réseau confirmées comme incidents.
Cas opérationnel : Tableau de bord réseau dans un SOC bancaire (UE)
Une grande banque européenne (non nommée dans les publications ENISA) a documenté son programme de métriques de sécurité réseau dans le cadre de son rapport de conformité DORA 2024. Le tableau de bord réseau présente mensuellement au COMEX : le taux de couverture NetFlow (99,7 %), le MTTD réseau (moyenne 4,2 heures, objectif 2 heures), le nombre de CVE critiques non patchées sur équipements périmètriques (0 depuis 8 mois consécutifs), et la tendance du taux de faux positifs réseau dans le SIEM (réduit de 67 % en 12 mois grâce à un programme de tuning des règles). Ces métriques permettent au COMEX d'évaluer la trajectoire du programme de sécurité réseau et de prendre des décisions d'investissement basées sur des données objectives plutôt que sur des appréciations subjectives.
Le CIS Control 13 (Network Monitoring and Defense) du CIS Controls v8 définit 8 safeguards spécifiques pour la surveillance réseau, chacune associée à des métriques de mise en œuvre. Ces métriques sont directement utilisables pour construire un tableau de bord de sécurité réseau et évaluer la maturité d'un programme de surveillance réseau selon les standards de l'industrie.
Le Digital Operational Resilience Act impose aux entités financières de définir et suivre des indicateurs de performance pour leurs mesures de résilience numérique, incluant la sécurité réseau. Les lignes directrices techniques DORA publiées par l'EBA précisent les catégories de métriques attendues pour la sécurité réseau — MTTD, MTTR, taux de couverture — créant un cadre réglementaire pour les indicateurs réseau dans le secteur financier européen.
Les Technology Risk Management Guidelines de la MAS de Singapour définissent des indicateurs de risque clés (KRI) spécifiques pour la sécurité réseau dans les institutions financières. Ces KRI incluent le nombre d'incidents de sécurité réseau, le délai de détection moyen, le taux de conformité des configurations réseau aux politiques de sécurité et le nombre de vulnérabilités critiques non corrigées — un référentiel directement applicable au-delà du secteur financier.