MTTD et MTTR : comprendre ces métriques clés en cybersécurité

Dans le quotidien d’un centre opérationnel de sécurité (SOC), les analystes sont submergés d’alertes issues de multiples sources : un SIEM (Security Information and Event Management), des sondes réseau, un EDR (Endpoint Detection & Response) ou encore une solution XDR. Dans ces environnements où la réactivité est primordiale, deux indicateurs sont systématiquement suivis : le MTTD (Mean Time To Detect) et le MTTR (Mean Time To Respond/Repair/Restore/Resolve). 

MTTD et MTTR : qu’est-ce que c’est ? 

Ces métriques ne sont pas de simples acronymes techniques : elles sont le reflet du niveau de maturité d’une organisation face aux menaces. Elles indiquent combien de temps une attaque reste invisible et combien de temps elle perturbe l’activité avant un retour à la normale. 

MTTD : le temps moyen de détection 

Le MTTD correspond au délai moyen entre la compromission et sa détection par l’équipe de sécurité. Dans certains contextes, on le retrouve sous le terme Mean Time To Acknowledge, MTTA, c’est-à-dire le temps nécessaire pour reconnaître officiellement une alerte et l’intégrer dans le processus de réponse. 

Exemple de MTTD  

Imaginons qu’un employé clique sur un mail de phishing à 10h00. L’alerte générée par l’EDR n’est remontée qu’à 14h00 dans le SOC. Dans ce cas, le MTTD est de quatre heures. Quatre heures pendant lesquelles l’attaquant peut explorer le réseau, déposer d’autres charges malveillantes ou exfiltrer des données sensibles. Cet exemple illustre concrètement la valeur de l’indicateur : il traduit la durée de la « zone aveugle » entre attaque et détection. 

Enjeux du MTTD 

Un MTTD élevé est révélateur d’un manque de visibilité ou d’outils mal configurés. À l’inverse, un MTTD bas signifie que l’organisation est capable d’identifier rapidement les signaux faibles et de contenir plus vite la menace. Réduire le MTTD, c’est réduire la fenêtre d’opportunité de l’attaquant. 

MTTR : le temps moyen de réponse ou de restauration 

Une fois l’incident détecté, commence la seconde étape : la réponse. Le MTTR mesure le temps moyen nécessaire pour contenir, éradiquer la menace et rétablir les services impactés. Mais attention, MTTR peut se décliner en plusieurs interprétations selon le contexte : 

Mean Time To Respond : temps de réaction immédiate pour initier les actions de confinement. 

Mean Time To Repair : délai pour corriger techniquement la faille. 

Mean Time To Restore : durée nécessaire pour remettre en service une infrastructure. 

Mean Time To Resolve : temps global jusqu’à résolution complète et retour à la normale. 

Exemple de MTTR  

Un serveur critique est infecté par un ransomware à 15h00. L’équipe de sécurité l’isole immédiatement pour contenir la propagation, puis restaure les sauvegardes valides. Le service est de nouveau disponible à 23h00. Le MTTR est donc de huit heures : c’est le temps qu’il a fallu pour passer de la détection initiale à un retour complet en production. Cet indicateur mesure donc la vitesse de remédiation réelle de l’entreprise. 

Enjeux du MTTR 

Un MTTR court limite considérablement les pertes financières, les arrêts de production et les atteintes à l’image. À l’inverse, un MTTR long peut amplifier l’impact d’un incident, transformer un problème localisé en crise majeure et compliquer la reprise.  

Les entreprises qui réduisent efficacement leur MTTR sont celles qui investissent dans la préparation, l’automatisation et la disponibilité des équipes. La préparation ne se limite pas à rédiger un plan de réponse à incident qu’on range dans un tiroir : elle implique de concevoir des scénarios réalistes (attaque par ransomware, compromission d’un compte administrateur, fuite de données sensibles), de tester régulièrement ces scénarios par des exercices pratiques, et de documenter les rôles et responsabilités de chacun. Ce qui implique aussi la mise à jour des procédures au rythme de l’évolution des menaces, la vérification régulière des sauvegardes et la simulation de restauration complète de systèmes critiques. Une organisation préparée est donc celle qui aura déjà « répété la crise » avant qu’elle ne survienne, et qui sait exactement quoi faire, qui alerter et comment communiquer en interne comme en externe. 

Quand et comment apparaissent ces métriques ? 

Ces indicateurs apparaissent dès qu’une organisation formalise un dispositif de cybersécurité. Dans une PME, le suivi peut être aussi simple que noter combien de temps s’écoule entre le signalement d’un poste infecté et son nettoyage complet.  

Dans une grande entreprise équipée d’un SOC, les MTTD et MTTR sont généralement collectés automatiquement via le SIEM ou les plateformes XDR, puis consolidés dans des rapports réguliers. 

Ils interviennent dans plusieurs cadres : pilotage opérationnel des équipes SOC, mise en œuvre des Plans de Reprise d’Activité (où MTTR se rapproche des notions de RTO/RPO, ce que nous verrons plus loin), ou encore audits de sécurité et de conformité. 

Deux métriques complémentaires et stratégiques 

Le MTTD et le MTTR ne doivent jamais être considérés isolément. Détecter une attaque en dix minutes mais mettre une semaine à la contenir reste catastrophique. À l’inverse, réagir rapidement n’apporte rien si la menace n’est découverte qu’après plusieurs jours. L’enjeu est donc de réduire simultanément ces deux délais. 

Un SOC mature vise une détection en moins de 24 heures et une remédiation en moins de 72 heures. Pour les PME, atteindre de tels résultats nécessite souvent de s’appuyer sur des prestataires d’infogérance spécialisés capables d’assurer une surveillance et une réponse 24/7. 

MTTD et MTTR, leviers pour respecter le RTO/RPO d’un PRA 

Un Plan de Reprise d’Activité (PRA) définit les objectifs de continuité à atteindre en cas d’incident majeur. Deux indicateurs y tiennent une place centrale : le RTO (Recovery Time Objective), qui fixe le délai maximal pour rétablir un service, et le RPO (Recovery Point Objective), qui définit la perte de données maximale acceptable exprimée en temps (par exemple, pas plus de 4 heures de transactions perdues).  

Le MTTD et le MTTR viennent compléter ces notions : ce sont des mesures réelles, issues du suivi opérationnel, qui permettent de vérifier si les objectifs théoriques du PRA ont été respectés. Autrement dit, le PRA établit la cible (RTO/RPO), tandis que MTTD et MTTR révèlent la performance effective de l’organisation face à un incident. 

Le MTTD et le MTTR sont des indicateurs concrets de la résilience d’une organisation. Ils traduisent la vitesse à laquelle une attaque est identifiée et celle à laquelle elle est neutralisée. Et dans un environnement où les cybermenaces sont de plus en plus rapides et sophistiquées, chaque minute compte. 

Pour une PME, réduire ces délais ne relève pas du luxe mais de la survie. Externaliser la cybersécurité auprès d’une société d’infogérance permet d’accéder à des outils avancés, des procédures éprouvées et une expertise disponible en continu. C’est la meilleure manière de transformer deux acronymes techniques en un véritable levier de continuité et de compétitivité.