Ils sont des indicateurs clés du bon fonctionnement d’une architecture et des équipes de sécurité. Les MTTD et MTTR sont des indicateurs très synthétiques venus du monde DevOps. Les améliorer demandent beaucoup d’efforts et d’investissements, le prix d’une meilleure réactivité en cas d’attaque.
Le MTTD ou temps moyen de détection est, avec le MTTR l’un des indicateurs clefs dans le fonctionnement d’une cellule cybersécurité. On le sait, le délai entre le moment où un attaquant s’infiltre dans le système d’information et celui où l’attaque est détectée peut être très élevé. Dans l’édition 2023 de son rapport « Cost of a Data Breach Report », IBM Security révèle qu’il faut en moyenne 204 jours à une organisation pour détecter la fuite de données dont elle est victime. En dépit de l’arrivée en production des EDR et XDR, ce délai ne varie que très peu. Il était de 207 jours en 2022. Dans le même temps, le délai lié à la remédiation de la brèche est à la hausse : il atteint 73 jours contre 70 jours un an plus tôt.
Réduire ce délai devrait être une priorité absolue. On le voit notamment dans le cas des attaques par ransomware, il est possible de couper l’herbe sous le pied de l’attaquant qui a réussi à s’infiltrer dans le système d’information avant que celui-ci ne déclenche l’exfiltration des données et le chiffrement des serveurs. Dans un tel cas, plus de peur que de mal, les coûts de remédiation restent faibles. Généralement, l’EDR ou le SIEM peuvent repérer les mouvements latéraux de l’attaquant et déclencher l’alerte.
A l’opposé, si l’attaquant est présent depuis des mois dans le système d’information, celui-ci a pu évoluer à bas bruit dans le système d’information et, dans le pire des cas, a pu exfiltrer de gros volumes de données à l’insu des systèmes de protection. Le préjudice pour l’entreprise sera très élevé car celle-ci doit prévenir les autorités, ses clients avec un risque de pénalités à verser et un risque juridique potentiel. L’entreprise va aussi devoir lancer un vaste projet de refonte de sa sécurité interne. Les coûts en termes financiers mais aussi en termes d’image peuvent être dévastateurs. Réduire le MTTD implique d’être capable de détecter toute activité inhabituelle sur les machines et sur l’Active Directory, mais aussi analyser le trafic réseau pour détecter les mouvements latéraux et les exfiltrations de données à bas bruit.