Le temps moyen de détection, ou MTTD (Mean Time To Detect en anglais), est le délai moyen nécessaire à l’équipe DevOps d’une organisation pour détecter un problème comme un bug logiciel ou une défaillance matérielle.
Le MTTD est l’un des indicateurs clés de performance de la gestion des incidents. Bien évidemment, si un problème survient dans une organisation, plus il est découvert tôt, mieux c’est. Les incidents peuvent souvent aboutir à un arrêt du système dont le coût moyen, selon l’agence Gartner, est de 5 600 $ par minute.
Même si le MTTD n’est pas le seul indicateur dont disposent les équipes DevOps, c’est l’un des plus faciles à suivre et à mesurer, et il est essentiel pour les organisations qui souhaitent éviter les problèmes de type panne système.
Pour calculer le MTTD :
Imaginons par exemple que l’équipe de support 24x7 des opérations d’un gros constructeur de pièces automobiles suive le MTTD hebdomadaire de l’usine entière. Sur la semaine du 7 au 11 février 2022, quatre incidents ont été enregistrés. Grâce aux journaux système, l’équipe a pu déterminer l’heure de début et l’heure de détection de chaque incident et les a consignées dans le tableau suivant :
Le temps moyen de détection est calculé comme suit :
(118 + 53 + 148 + 85)/4
MTTD = 101 minutes
Avec ce chiffre, le fabricant de pièces automobiles pourra ensuite comparer le MTTD de la semaine en question avec ceux des autres semaines, ou avec celui de la même semaine l’année précédente. S’il avait calculé le MTTD pour une équipe donnée, il pourrait utiliser le résultat pour évaluer la progression dans le temps de la performance de l’équipe. Certaines sociétés décident de ne pas tenir compte des valeurs aberrantes, et beaucoup d’entre elles classent les incidents par ordre de gravité pour déterminer si le MTTD obtenu est différent selon la gravité des problèmes.
La surveillance du MTTD consiste essentiellement à suivre tout ce qui peut constituer un événement ou un problème, avec des critères très différents selon les organisations.
Les principaux outils nécessaires pour surveiller le MTTD sont les suivants :
Journaux : les journaux sont des documents, produits et horodatés automatiquement, sur les événements relatifs à un système informatique ou à une application logicielle donnés. Par exemple, le journal d’accès d’un serveur Web répertorie tous les fichiers demandés sur un site Web, y compris les fichiers HTML et tous les autres fichiers associés qui sont transmis. On peut également prendre l’exemple d’un journal de base de données qui enregistre toutes les activités au niveau de la base de données, et notamment les modifications apportées aux enregistrements.
Support technique : le support technique est un centre d’assistance centralisé pour les utilisateurs d’un produit qui demandent de l’aide sur différents sujets relatifs à ce produit, en particulier en cas de problème informatique. Il peut s’agir d’un service physique, d’un centre d’appel en ligne ou d’un système de création de tickets utilisant des applications en mode SaaS. Les centres de support technique sont équipés d’une base de connaissances qui conserve une trace des problèmes rencontrés par les clients (description du problème, heure d’identification et modalité de résolution).
Systèmes de détection d’intrusion : un système de détection d’intrusion (IDS) est un système qui surveille le trafic réseau à la recherche d’activités suspectes et qui, s’il en détecte, génère des alertes. Les principales fonctions d’un système de détection d’intrusion sont le signalement et la détection des anomalies. Mais certains systèmes IDS peuvent également agir s’ils détectent une activité malveillante, par exemple bloquer le trafic en provenance d’une adresse IP suspecte.
La définition d’un MTTD « correct » varie considérablement selon la société concernée, le produit, le secteur et la menace ou l’intrusion que la société souhaite empêcher ou intercepter. De toute évidence, le meilleur MTTD serait un MTTD nul, qui signifierait que vous attrapez l’auteur de la menace avant même qu’il ait pu causer des dégâts.
Un MTTD de zéro est, bien sûr, très difficile à atteindre. Selon le Ponemon Institute, créateur du banc d’essai de référence pour le MTTD, le délai moyen d’identification et d’endiguement d’une violation des données étaient de 280 jours en 2020 et de 279 jours en 2019.
Pour déterminer quel serait un MTTD correct pour votre société, vous devez regarder la moyenne globale de l’ensemble des sociétés, mais également essayer d’obtenir des informations sur le niveau de MTTD des autres entreprises de votre secteur. Vous devez également calculer le coût d’une violation des données moyenne pour votre société, et le montant qu’elle peut se permettre de perdre à chaque violation sans entraîner de graves difficultés financières.
Différentes mesures permettent de réduire le MTTD :
Parmi les autres actions qui peuvent aider les organisations à réduire leur MTTD, on peut noter les technologies SOAR (Orchestration, automatisation et réponse aux incidents) et les plans de réponse aux incidents.
Toute société dont les systèmes ou les réseaux doivent rester en état de fonctionnement et en sécurité peuvent tirer profit d’une mesure régulière du MTTD.
Le MTTD doit être systématiquement mesuré aux moments où la survenue d’un incident provoquerait des dégâts. Par exemple, pour une usine de fabrication fonctionnant uniquement de nuit, la détection d’incidents n’est utile que de nuit. L’inclusion des données de la journée n’aurait pas de sens.
Le MTTD rend compte du délai nécessaire à votre équipe pour détecter un incident de sécurité potentiel. Mais la détection doit être suivie d’une résolution.
Le temps moyen de résolution, ou MTTR, est le délai nécessaire pour maîtriser, résoudre et/ou éradiquer une menace une fois découverte.
Vous avez des questions ou des commentaires concernant des produits ou certifications Pure ? Nous sommes là pour vous aider.
Planifiez une démo en direct et découvrez comment Pure peut vous aider à transformer vos données.
Tél. : +33 1 89 96 04 00
Services Médias : pr@purestorage.com
Pure Storage France
32 rue Guersant
75017 Paris