MTTD (temps moyen de détection)
Qu'est-ce que MTTD (temps moyen de détection) ?
MTTD (temps moyen de détection)Temps moyen écoulé entre le début d'un incident de sécurité et le moment où les défenseurs l'identifient.
Le MTTD mesure la rapidité avec laquelle une équipe de sécurité prend conscience d'une activité malveillante, généralement du compromis initial jusqu'à la première alerte validée dans le SIEM, le SOAR ou le système de ticketing. C'est l'un des KPIs majeurs de l'efficacité du SOC et il dépend étroitement de la couverture de télémétrie, de l'ingénierie de détection et du triage par les analystes. Un MTTD plus court limite le temps de présence de l'attaquant, réduit le rayon d'impact et améliore la qualité du confinement. Les références varient selon les secteurs et la maturité ; les équipes matures suivent le MTTD par technique MITRE ATT&CK plutôt qu'un seul chiffre global.
● Exemples
- 01
Passer d'un MTTD de 200 jours à 4 heures en déployant un EDR et des détections sur logs.
- 02
Publier hebdomadairement le MTTD pour les techniques liées au ransomware dans les indicateurs SOC.
● Questions fréquentes
Qu'est-ce que MTTD (temps moyen de détection) ?
Temps moyen écoulé entre le début d'un incident de sécurité et le moment où les défenseurs l'identifient. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie MTTD (temps moyen de détection) ?
Temps moyen écoulé entre le début d'un incident de sécurité et le moment où les défenseurs l'identifient.
Comment se défendre contre MTTD (temps moyen de détection) ?
Les défenses contre MTTD (temps moyen de détection) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de MTTD (temps moyen de détection) ?
Noms alternatifs courants : Délai de détection, Temps de détection.