- Quatre catégories d'indicateurs couvrent la sécurité des terminaux : visibilité (inventaire MDM), protection (conformité configuration), détection (couverture EDR, alertes), et réponse (délai de remédiation, taux de wipe exécutés dans les délais).
- Le taux de terminaux avec correctifs critiques appliqués dans les 30 jours suivant publication est l'indicateur opérationnel le plus directement lié à la réduction du risque d'exploitation — Equifax (2017) illustre les conséquences d'un patch non appliqué deux mois après sa disponibilité.
- Le délai moyen de détection d'une anomalie sur endpoint (MTTD - Mean Time to Detect) et le délai moyen de remédiation (MTTR - Mean Time to Remediate) sont les indicateurs de performance des équipes SOC sur les incidents terminaux.
- Les indicateurs de sécurité terminaux doivent être présentés en tendance sur 90 jours — la direction générale a besoin de savoir si le niveau de protection s'améliore ou se dégrade, pas uniquement son niveau absolu à un instant donné.
- Un tableau de bord de six indicateurs couvrant les quatre catégories est suffisant pour piloter efficacement la sécurité d'une flotte de terminaux sans noyer les équipes dans des métriques secondaires.
Le pilotage de la sécurité des terminaux repose sur des indicateurs mesurables, régulièrement mis à jour, et directement exploitables pour la prise de décision. Sans indicateurs définis, la gestion de la sécurité des terminaux est réactive : on traite les incidents au cas par cas, sans visibilité sur l'état général du parc ni sur les tendances. Avec des indicateurs appropriés, elle devient proactive : on identifie les dérives avant qu'elles ne se traduisent en incidents, et on peut mesurer l'impact des actions de remédiation.
La définition des indicateurs doit précéder leur mesure : avant de configurer des tableaux de bord, il faut s'accorder sur ce qu'on cherche à mesurer et pourquoi. Les indicateurs de sécurité terminaux répondent à quatre questions fondamentales : est-ce qu'on connaît l'ensemble des terminaux qui accèdent aux ressources d'entreprise (visibilité) ? Sont-ils correctement configurés (protection) ? Peut-on détecter une compromission sur ces terminaux (détection) ? Et si une compromission est détectée, peut-on y répondre rapidement (réponse) ?
Indicateurs de visibilité et d'inventaire
Le taux de couverture MDM mesure le pourcentage des terminaux actifs sur le réseau d'entreprise qui sont enrôlés dans la solution MDM. Un écart entre le nombre de terminaux détectés sur le réseau (par des outils de découverte passive) et le nombre de terminaux enrôlés MDM révèle des terminaux fantômes hors de tout contrôle. La fraîcheur de l'inventaire — délai moyen depuis la dernière synchronisation de chaque entrée avec la console MDM — indique si l'inventaire reflète la réalité actuelle du parc ou un état passé. Le taux de terminaux avec profil de configuration appliqué et à jour mesure si les politiques de sécurité sont effectivement propagées sur l'ensemble du parc enrôlé.
Indicateurs de protection et de conformité
Le taux de conformité aux politiques MDM est l'indicateur synthétique central : quel pourcentage du parc enrôlé respecte l'ensemble des politiques définies (version OS minimale, chiffrement, PIN, applications requises, applications interdites). Le taux de terminaux avec correctifs critiques (CVSS ≥ 7.0) appliqués dans les 30 jours est l'indicateur de la réactivité du processus de patch management — Equifax a été compromise sur une vulnérabilité connue et corrigée depuis deux mois, illustrant le coût réel d'un patch non appliqué dans les délais. Le taux de terminaux avec droits administrateur pour des profils non-IT mesure une exposition structurelle au risque d'escalade de privilèges.
T-Mobile a exposé les données de 50 millions de clients via une API accessible sans contrôle d'accès suffisant. L'absence d'indicateurs mesurant les volumes de données téléchargées par terminal ou par compte a permis à l'attaquant d'exfiltrer les données sur plusieurs jours sans déclencher d'alerte. En sécurité des terminaux, des indicateurs de volumes d'accès inhabituels — un terminal téléchargeant 10 Go depuis un référentiel interne en une nuit — permettraient de détecter des comportements anormaux avant l'exfiltration complète.
Indicateurs de détection et de couverture EDR
Le taux de couverture EDR mesure quel pourcentage du parc dispose d'un agent EDR actif et à jour. Un parc avec 95% de couverture EDR a encore 5% de terminaux sans détection comportementale — si ces terminaux sont concentrés sur des profils à risque élevé (administrateurs, développeurs, direction), la couverture réelle est inférieure à ce que le taux global suggère. Le nombre d'alertes EDR par période et leur taux de faux positifs évaluent la qualité de calibration des règles de détection. Le MTTD (Mean Time to Detect) sur les incidents terminaux mesure la performance du SOC dans la détection des compromissions. Ces indicateurs permettent d'évaluer si le programme de surveillance produit une détection effective ou simplement une couverture théorique.
Indicateurs de réponse et de remédiation
Le MTTR (Mean Time to Remediate) sur les incidents terminaux mesure la rapidité de la réponse — isolation du terminal compromis, analyse forensique, remédiation, remise en service. Le taux de wipes exécutés dans les délais définis (par exemple : dans les 4 heures suivant le signalement d'un terminal perdu) mesure l'efficacité opérationnelle du processus de réponse aux pertes. Le taux de terminaux réintégrés dans le parc après incident avec validation de la remédiation mesure la rigueur du processus de retour à la normale — un terminal "nettoyé" sans validation formelle reste un risque résiduel. Ces indicateurs de réponse sont souvent les plus révélateurs de la maturité opérationnelle réelle d'une équipe de sécurité terminaux.
Citibank a exposé les données de 360 000 comptes clients via une vulnérabilité dans son application de banque en ligne — les URLs contenaient les numéros de compte en clair et pouvaient être manipulées séquentiellement pour accéder aux comptes d'autres clients (IDOR - Insecure Direct Object Reference). La détection tardive illustre l'absence d'indicateurs surveillant les patterns d'accès anormaux. Des indicateurs mesurant les accès séquentiels à des données de comptes depuis un même terminal ou une même session auraient pu déclencher une alerte bien avant l'exposition massive.
Deutsche Bank a transmis par erreur les données personnelles de 1 200 employés à un mauvais destinataire suite à une erreur de configuration dans un processus de traitement de données. Des indicateurs DLP sur les transferts de données sensibles — alertant sur l'envoi de fichiers contenant des données personnelles en masse vers des destinataires externes — auraient pu détecter et bloquer ce transfert avant qu'il ne soit réalisé. Ce type d'indicateur de prévention est aussi important que les indicateurs de détection réactifs.
Toyota a découvert que les données de 2,15 millions de clients avaient été exposées pendant dix ans suite à une mauvaise configuration d'un environnement cloud. L'absence d'indicateurs surveillant la configuration des accès cloud (buckets S3 publics, droits IAM excessifs, API sans authentification) a permis cette exposition de longue durée sans détection. Des audits réguliers de la configuration des accès cloud, intégrés dans les indicateurs de sécurité des équipes IT, auraient identifié la déviation bien avant dix ans.