Beaucoup de PME ont déjà mis en place l’essentiel : un pare-feu, un antivirus, des sauvegardes, parfois du MFA, parfois même une centralisation minimale des journaux.
C’est une bonne base.
Mais cela ne répond pas encore à la question la plus importante : savez-vous ce qu’il se passe réellement sur vos systèmes quand quelque chose commence à dévier ?
La supervision ne consiste pas seulement à stocker des logs. Elle consiste à repérer ce qui change, à relier les signaux entre eux et à comprendre assez tôt qu’un incident est peut-être en train de se former.
Pour une direction, quelques indicateurs bien choisis valent souvent mieux qu’un tableau de bord trop chargé. Voici les cinq KPI les plus utiles à suivre pour passer d’une logique de réaction à une logique d’anticipation.
1. Le taux d’authentifications anormales
C’est souvent l’un des premiers signaux utiles.
Quand un compte commence soudainement à accumuler les échecs de connexion, surtout à des horaires inhabituels ou depuis des localisations incohérentes, il faut regarder de plus près. Cela peut révéler un mot de passe compromis, une tentative de brute force, un usage automatisé ou un compte déjà ciblé.
L’intérêt de cet indicateur, c’est qu’il parle immédiatement au métier : un accès anormal, c’est souvent le début d’un vrai risque.
Pour le suivre correctement, il faut centraliser au minimum :
- les journaux d’authentification ;
- les accès VPN ;
- les accès aux services cloud ;
- les événements d’échec répétés.
Le bon réflexe n’est pas de tout alerter.
C’est d’identifier ce qui sort du comportement habituel.
2. Le volume de logs critiques non traités
Beaucoup d’entreprises collectent des événements.
Beaucoup moins savent lesquels comptent vraiment.
Le vrai sujet n’est pas le nombre total de logs remontés. Le vrai sujet, c’est la part des événements importants qui restent sans lecture, sans tri ou sans action.
Un système qui produit beaucoup de données mais peu de visibilité utile donne une fausse impression de contrôle.
Ce KPI aide à répondre à une question simple :
parmi les événements qui devraient attirer l’attention, combien ont réellement été analysés à temps ?
Pour qu’il soit utile, il faut classer les alertes par niveau de priorité. Sans cela, tout se mélange : le bruit, les faux positifs, les signaux faibles et les incidents potentiels.
Une PME n’a pas besoin d’un modèle trop complexe.
Elle a surtout besoin d’un tri clair entre ce qui est critique, ce qui mérite une revue et ce qui relève du bruit de fond.
3. Le délai moyen de détection
C’est probablement l’indicateur qui change le plus la trajectoire d’un incident.
Le délai moyen de détection mesure le temps qui s’écoule entre le début d’un comportement suspect et le moment où quelqu’un l’identifie comme un problème.
Plus ce délai est long, plus l’attaquant ou le dysfonctionnement a de temps pour s’installer, se déplacer, exfiltrer, persister ou perturber l’activité.
Une PME découvre souvent les incidents trop tard non pas parce qu’elle n’a aucun outil, mais parce que personne ne regarde les bons signaux au bon moment.
Réduire ce délai repose généralement sur trois leviers :
- une meilleure corrélation ;
- des alertes plus contextuelles ;
- une capacité à regarder les événements au fil de l’eau.
Le but n’est pas de tout détecter instantanément.
Le but est d’éviter qu’un incident ne reste invisible jusqu’au moment où il devient déjà coûteux.
4. Le ratio de faux positifs
Trop d’alertes finissent par rendre aveugle.
Quand une équipe reçoit une masse d’alertes peu utiles, elle développe vite un réflexe dangereux : considérer que “ça sonne toujours pour rien”. C’est exactement dans ce contexte qu’un vrai signal peut passer inaperçu.
Le ratio de faux positifs est donc un très bon indicateur de maturité. Il ne mesure pas seulement la qualité de détection. Il mesure aussi la capacité du système à rester crédible aux yeux de ceux qui l’utilisent.
Un bon objectif n’est pas de viser zéro faux positif, ce qui est rarement réaliste.
Le bon objectif est d’avoir un niveau suffisamment bas pour que chaque alerte conserve de la valeur.
Le moyen le plus simple d’améliorer cet indicateur consiste à documenter les alertes inutiles récurrentes, à supprimer les doublons et à ajuster les règles qui génèrent du bruit sans valeur réelle.
5. Le taux de sauvegardes réellement vérifiées
Ce KPI sort un peu du cadre strict de la détection, mais il est indispensable.
Une supervision utile ne sert pas seulement à voir l’incident plus tôt. Elle sert aussi à vérifier que l’entreprise peut encaisser un problème sans découvrir, au pire moment, que ses sauvegardes sont inexploitables.
Une sauvegarde non testée n’est pas une garantie.
C’est une hypothèse.
Ce que la direction doit suivre n’est pas seulement “est-ce que les sauvegardes tournent ?”, mais plutôt :
- est-ce qu’elles sont complètes ;
- est-ce qu’elles sont restaurables ;
- est-ce qu’elles couvrent les actifs critiques ;
- est-ce qu’elles ont été vérifiées récemment.
Sur ce point, un contrôle trimestriel sérieux vaut mieux qu’un statut vert jamais remis en question.
Synthèse des 5 KPI
| KPI | Ce qu’il permet de voir | Fréquence utile |
| Authentifications anormales | Tentatives d’intrusion, comptes à risque | Hebdomadaire |
| Logs critiques non traités | Niveau réel de visibilité | Hebdomadaire |
| Délai moyen de détection | Réactivité face aux incidents | En continu |
| Ratio de faux positifs | Qualité et crédibilité des alertes | Mensuel |
| Sauvegardes vérifiées | Capacité réelle de reprise | Trimestriel |
Pourquoi ces indicateurs doivent remonter à la direction
La supervision n’est plus un sujet qui peut rester uniquement dans un coin technique.
Quand ces indicateurs sont suivis proprement, ils permettent à la direction de voir :
- si l’entreprise gagne ou perd en maîtrise ;
- si les investissements servent réellement ;
- où se trouvent les angles morts ;
- quelles priorités doivent être financées.
Un bon tableau de bord sécurité ne doit pas noyer le comité de direction dans les événements techniques. Il doit montrer clairement ce qui évolue, ce qui inquiète et ce qui mérite une décision.
Conclusion
En matière de cybersécurité, le vrai problème n’est pas toujours l’absence d’outils. C’est souvent l’absence de lecture claire de ce qu’ils remontent.
Suivre ces cinq KPI permet de rendre la supervision beaucoup plus utile, parce qu’on ne regarde plus seulement des alertes : on commence à piloter des signaux qui ont du sens.
Et pour une PME, c’est souvent là que se joue la différence entre subir un incident… ou l’interrompre avant qu’il ne devienne une crise.
