Qu’est-ce que le MTTD ?

Le temps moyen de détection, ou MTTD (Mean Time To Detect en anglais), est le délai moyen nécessaire à l’équipe DevOps d’une organisation pour détecter un problème comme un bug logiciel ou une défaillance matérielle.

Le MTTD est l’un des indicateurs clés de performance de la gestion des incidents. Bien évidemment, si un problème survient dans une organisation, plus il est découvert tôt, mieux c’est. Les incidents peuvent souvent aboutir à un arrêt du système dont le coût moyen, selon l’agence Gartner, est de 5 600 $ par minute.

Même si le MTTD n’est pas le seul indicateur dont disposent les équipes DevOps, c’est l’un des plus faciles à suivre et à mesurer, et il est essentiel pour les organisations qui souhaitent éviter les problèmes de type panne système.

Comment calculer le MTTD : procédure pas à pas

Pour calculer le MTTD :

1. Suivre l’ensemble des incidents à l’aide de différents outils : journaux, support technique et/ou système de détection d’intrusion (vous trouverez davantage d’informations sur ces outils plus bas).
2. Déterminer l’objectif du calcul du MTTD et les équipements ou personnels concernés. Le MTTD est généralement calculé pour une installation ou un système donnés et sur une période donnée, par exemple une nuit, une semaine, un mois ou un an. Il peut également être calculé pour un technicien ou une équipe spécifique.
3. Avec les outils indiqués précédemment, calculer la différence entre l’heure de début et l’heure de détection de chaque incident sur la période choisie.
4. Diviser la somme des délais de détection des incidents par le nombre d’incidents.

Imaginons par exemple que l’équipe de support 24x7 des opérations d’un gros constructeur de pièces automobiles suive le MTTD hebdomadaire de l’usine entière. Sur la semaine du 7 au 11 février 2022, quatre incidents ont été enregistrés. Grâce aux journaux système, l’équipe a pu déterminer l’heure de début et l’heure de détection de chaque incident et les a consignées dans le tableau suivant :

Le temps moyen de détection est calculé comme suit :

(118 + 53 + 148 + 85)/4

MTTD = 101 minutes

Avec ce chiffre, le fabricant de pièces automobiles pourra ensuite comparer le MTTD de la semaine en question avec ceux des autres semaines, ou avec celui de la même semaine l’année précédente. S’il avait calculé le MTTD pour une équipe donnée, il pourrait utiliser le résultat pour évaluer la progression dans le temps de la performance de l’équipe. Certaines sociétés décident de ne pas tenir compte des valeurs aberrantes, et beaucoup d’entre elles classent les incidents par ordre de gravité pour déterminer si le MTTD obtenu est différent selon la gravité des problèmes.

Quels outils sont nécessaires pour surveiller le MTTD ?

La surveillance du MTTD consiste essentiellement à suivre tout ce qui peut constituer un événement ou un problème, avec des critères très différents selon les organisations.

Les principaux outils nécessaires pour surveiller le MTTD sont les suivants :

Journaux : les journaux sont des documents, produits et horodatés automatiquement, sur les événements relatifs à un système informatique ou à une application logicielle donnés. Par exemple, le journal d’accès d’un serveur Web répertorie tous les fichiers demandés sur un site Web, y compris les fichiers HTML et tous les autres fichiers associés qui sont transmis. On peut également prendre l’exemple d’un journal de base de données qui enregistre toutes les activités au niveau de la base de données, et notamment les modifications apportées aux enregistrements.

Support technique : le support technique est un centre d’assistance centralisé pour les utilisateurs d’un produit qui demandent de l’aide sur différents sujets relatifs à ce produit, en particulier en cas de problème informatique. Il peut s’agir d’un service physique, d’un centre d’appel en ligne ou d’un système de création de tickets utilisant des applications en mode SaaS. Les centres de support technique sont équipés d’une base de connaissances qui conserve une trace des problèmes rencontrés par les clients (description du problème, heure d’identification et modalité de résolution).

Systèmes de détection d’intrusion : un système de détection d’intrusion (IDS) est un système qui surveille le trafic réseau à la recherche d’activités suspectes et qui, s’il en détecte, génère des alertes. Les principales fonctions d’un système de détection d’intrusion sont le signalement et la détection des anomalies. Mais certains systèmes IDS peuvent également agir s’ils détectent une activité malveillante, par exemple bloquer le trafic en provenance d’une adresse IP suspecte.

Qu’est-ce qu’un MTTD correct ?

La définition d’un MTTD « correct » varie considérablement selon la société concernée, le produit, le secteur et la menace ou l’intrusion que la société souhaite empêcher ou intercepter. De toute évidence, le meilleur MTTD serait un MTTD nul, qui signifierait que vous attrapez l’auteur de la menace avant même qu’il ait pu causer des dégâts.

Un MTTD de zéro est, bien sûr, très difficile à atteindre. Selon le Ponemon Institute, créateur du banc d’essai de référence pour le MTTD, le délai moyen d’identification et d’endiguement d’une violation des données étaient de 280 jours en 2020 et de 279 jours en 2019.

Pour déterminer quel serait un MTTD correct pour votre société, vous devez regarder la moyenne globale de l’ensemble des sociétés, mais également essayer d’obtenir des informations sur le niveau de MTTD des autres entreprises de votre secteur. Vous devez également calculer le coût d’une violation des données moyenne pour votre société, et le montant qu’elle peut se permettre de perdre à chaque violation sans entraîner de graves difficultés financières.

Différentes mesures permettent de réduire le MTTD :

• Investir dans les meilleurs talents et les meilleures solutions de cybersécurité.
• S’assurer que toutes les équipes internes sont en accord et qu’elles communiquent sur les cybermenaces potentielles.
• Enregistrer les incidents de façon précise et constante et maintenir à jour un journal d’événements fiable et complet.
• Toujours étudier la cause de chaque incident, ainsi que les moyens de l’éviter ou de le détecter plus rapidement à l’avenir.

Parmi les autres actions qui peuvent aider les organisations à réduire leur MTTD, on peut noter les technologies SOAR (Orchestration, automatisation et réponse aux incidents) et les plans de réponse aux incidents.

Qui doit utiliser le MTTD et à quel moment ?

Toute société dont les systèmes ou les réseaux doivent rester en état de fonctionnement et en sécurité peuvent tirer profit d’une mesure régulière du MTTD.

Le MTTD doit être systématiquement mesuré aux moments où la survenue d’un incident provoquerait des dégâts. Par exemple, pour une usine de fabrication fonctionnant uniquement de nuit, la détection d’incidents n’est utile que de nuit. L’inclusion des données de la journée n’aurait pas de sens.

Quel indicateur utiliser après le MTTD ?

Le MTTD rend compte du délai nécessaire à votre équipe pour détecter un incident de sécurité potentiel. Mais la détection doit être suivie d’une résolution.

Le temps moyen de résolution, ou MTTR, est le délai nécessaire pour maîtriser, résoudre et/ou éradiquer une menace une fois découverte.

En savoir plus sur le MTTR.