Temps moyen de remédiation (MTTR)

Le temps moyen de remédiaiton (MTTR) mesure le temps moyen nécessaire à votre équipe pour détecter et corriger complètement une vulnérabilité ou un problème de sécurité. Le MTTR comprend toutes les étapes nécessaires pour combler une lacune de sécurité, telles que la vérification, la priorisation, le correctif ou les changements de configuration. C'est l'une des mesures les plus importantes pour comprendre la rapidité avec laquelle vos équipes de sécurité réagissent et éliminent les expositions dans votre environnement.

Dans les opérations de sécurité, le MTTR est plus complet que des termes similaires tels que le temps moyen de réparation (axé sur la réparation des fonctionnalités) ou le temps moyen de résolution (couvrant l'ensemble du cycle de vie de l'incident). Le MTTR se concentre spécifiquement sur la remédiation complète de la vulnérabilité ou de la mauvaise configuration. Vous pouvez utiliser le MTTR pour évaluer l'efficacité du programme de sécurité et suivre les progrès réalisés.

Le calcul du MTTR vous aide à identifier les goulets d'étranglement dans les processus de remédiation de votre entreprise. Par exemple, des retards importants peuvent indiquer une mauvaise visibilité des assets, un manque d'automatisation ou une priorisation insuffisante. Reconnaître ces défis est la première étape de la maturité de votre posture de sécurité globale.

Si vous souhaitez en savoir plus sur les indicateurs clés de performance (KPI) et leur influence sur la stratégie de cybersécurité, consultez notre article de blog intitulé «  Comment mesurer l'efficacité de votre programme de cybersécurité ».

Dans le contexte actuel d’évolution rapide des menaces, les attaquants recherchent les vulnérabilités et les exploitent en quelques heures, voire quelques minutes, après qu’elles ont été rendues publiques. Votre capacité à détecter rapidement ces vulnérabilités, à les classer par ordre de priorité et à y remédier a une incidence directe sur l'exposition aux risques de votre entreprise.

Le MTTR est un indicateur critique de l'efficacité avec laquelle votre programme de sécurité réduit votre surface d'attaque. Un MTTR plus faible signifie que vos équipes éliminent les failles plus rapidement, réduisant ainsi la fenêtre d’opportunité des attaquants pour exploiter les vulnérabilités. Il protège vos assets critiques, votre propriété intellectuelle et les données de vos clients.

Au-delà de la réduction des risques, l'amélioration du MTTR favorise le respect de la réglementation. Des cadres tels que le NIST Cybersecurity Framework et les Contrôles CIS recommandent une remédiation rapide des vulnérabilités et des mauvaises configurations. Les entreprises qui réduisent régulièrement leur MTTR peuvent plus facilement rester en conformité et passer les audits sans surprise.

De nombreuses équipes intègrent même le MTTR dans leurs indicateurs de performance clés (KPI) et leurs accords de niveau de service (SLA) afin que chacun soit responsable et s'efforce de s'améliorer au fil du temps.

Lorsque vous suivez le MTTR en même temps que d'autres indicateurs, vous obtenez une image plus claire de votre posture de sécurité et de la façon dont votre équipe fonctionne sous pression.

Le calcul du MTTR est simple. Prenez le temps total que vous avez passé à corriger les vulnérabilités et divisez-le par le nombre total que vous avez remédié dans un délai spécifique.

MTTR = Durée totale de la remédiation ÷ Nombre de problèmes remédiés

Supposons que votre équipe résolve 20 vulnérabilités en 200 heures au cours d'un mois. Cela correspond à un MTTR de 10 heures par vulnérabilité. En d'autres termes, il faut généralement une dizaine d'heures pour corriger entièrement chaque problème de sécurité, du début à la fin.

La clé de l'utilité des données MTTR est la cohérence. Décidez exactement des points de départ et d'arrivée avant de commencer le suivi. De nombreuses équipes prennent des mesures à partir du moment où elles détectent une vulnérabilité ou reçoivent une alerte jusqu'à la remédiation complète ou la clôture.

Vos outils et processus peuvent légèrement modifier la mesure.Certaines équipes vont de la création d'un ticket à sa résolution, tandis que d'autres vont du premier scan au déploiement d'un correctif. L'important est de s'en tenir à une seule méthode afin de pouvoir suivre les performances avec précision au fil du temps.

Les analyses comparatives du MTTR peuvent varier en fonction du secteur d'activité, de la complexité de l'infrastructure et de la maturité de la sécurité. 

Un objectif ambitieux pour les environnements cloud-natifs à déploiement rapide est de corriger les vulnérabilités critiques dans les 24 heures.  Les grandes entreprises dotées de systèmes hérités complexes peuvent accepter des délais de remédiation plus longs pour les problèmes non critiques.

Des cadres tels que FedRAMP, NIST SP 800-53 et PCI-DSS recommandent de remédier aux problèmes de haute criticité dans un délai de 30 à 90 jours, en fonction du niveau de risque. Ces chiffres reflètent des plafonds obligatoires, et non des moyennes réelles.

En fin de compte, les critères de référence devraient refléter la tolérance au risque, les capacités et l'impact sur l'activité de votre entreprises. Fixer des objectifs réalistes mais ambitieux favorise l'amélioration.

Plusieurs facteurs retardent le MTTR et ralentissent la remédiation :

• Une visibilité incomplète des assets se produit lorsque les équipes de sécurité ne connaissent pas tous les appareils, logiciels ou configurations du réseau. Les assets inconnus ou « shadow » créent des angles morts qui retardent la détection et la remédiation.
• La non-intégration des données sur les vulnérabilités, l'inventaire des assets et les systèmes de tickets crée des silos d’outils et de données. La corrélation manuelle ralentit la réponse.
• Lorsque vous n'automatisez pas l'attribution des tickets, le déploiement des correctifs ou la vérification, les équipes consacrent un temps excessif aux tâches administratives.
• Sans une priorisation des vulnérabilités basée sur le risque, les équipes perdent du temps sur des problèmes à faible risque alors que des vulnérabilités critiques restent ouvertes.
• Sans collaboration entre les équipes, les équipes de sécurité, IT et de développement ont souvent des priorités différentes, ce qui entraîne des retards et des frictions.

La prise en compte de ces facteurs nécessite une plateforme unifiée combinant visibilité, priorisation et automatisation pour rationaliser la remédiation.

Réduire le MTTR en améliorant la découverte des assets et la précision de l'inventaire. Les outils qui analysent et mettent à jour en permanence les bases de données d'assets permettent de s'assurer qu'aucun appareil ou application ne passe entre les mailles du filet.

Ensuite, mettez en œuvre la priorisation des vulnérabilités basée sur le risque pour vous concentrer sur les expositions les plus critiques :

• L'évaluation des vulnérabilités en fonction de l'exploitabilité, de l'impact sur l'activité et de la threat intelligence permet de réduire le bruit et d'orienter les efforts là où ils sont nécessaires.
• L'automatisation est cruciale.
• Intégrez votre système de gestion des vulnérabilités à la gestion des correctifs, au système de tickets, à SOAR (Security Orchestration, Automation and Response) et aux pipelines CI/CD afin d'attribuer automatiquement des tâches de remédiation, de déclencher des déploiements de correctifs et de suivre les progrès réalisés. Cela permet d'éliminer les transferts manuels et d'accélérer les workflows.
• Pour des processus tels que la gestion des correctifs, une automatisation efficace nécessite la confiance. De nombreuses équipes hésitent à automatiser par crainte de casser les systèmes de production. La solution consiste à mettre en œuvre un système de gestion des correctifs doté de puissants garde-fous, en s'appuyant sur des moteurs de règles et des flux de travail d'approbation pour garantir le déploiement automatique des correctifs uniquement dans des scénarios approuvés et à faible risque.Cette approche contrôlée accélère les workflows sans sacrifier la stabilité.

Enfin, favorisez la collaboration entre les équipes en alignant la sécurité, l'IT et le développement sur des objectifs et des canaux de communication communs. Utiliser des dashboards et des rapports pour avoir une visibilité sur l'état de la remédiation et les succès obtenus.

La surveillance et l'alerte continues peuvent aider vos équipes à détecter plus rapidement les nouvelles vulnérabilités et à démarrer immédiatement la remédiation, raccourcissant ainsi les cycles.

Prêt à accélérer votre remédiation ? Découvrez comment Tenable One unifie la découverte, la priorisation et l'automatisation pour vous aider à réduire le MTTR.

Dans la gestion des vulnérabilités, le MTTR est un indicateur clé qui permet de mesurer la rapidité avec laquelle votre programme de sécurité détecte et corrige les failles avant que les attaquants ne les exploitent. En réduisant cette fenêtre, vous diminuez la surface d'attaque de votre entreprise.

Par exemple, la réduction du temps moyen de remédiation de 30 à 7 jours réduit considérablement la probabilité d'une brèche, en particulier pour les vulnérabilités à haute sévérité. Il faut une analyse continue des vulnérabilités, une priorisation automatisée et un déploiement simplifié des correctifs pour y parvenir.

La gestion des vulnérabilités basée sur le risque, une capacité essentielle de Tenable, permet de concentrer la remédiation sur les vulnérabilités ayant l'impact commercial le plus important et les exploits connus. Une approche de la gestion des vulnérabilités basée sur le risque contraste avec les systèmes existants qui traitent toutes les vulnérabilités de la même manière ou qui s'appuient uniquement sur un score de vulnérabilité statique, comme CVSS.

Le MTTR est également étroitement lié à des mesures connexes telles que le temps moyen de détection (MTTD), qui mesure la rapidité avec laquelle vous identifiez les vulnérabilités ou les incidents, et le temps moyen d'accusé de réception (MTTA), qui mesure la rapidité avec laquelle votre équipe répond aux nouvelles alertes ou aux nouveaux tickets. Le raccourcissement des délais de détection et d'acquittement permet de lancer la remédiation plus tôt et de réduire davantage les risques.

Pour en savoir plus sur la priorisation des priorités et l'accélération de la remédiation, consultez le guide de priorisation des vulnérabilités de Tenable.

En rassemblant des données provenant d'une diversité de sources, la gestion de l'exposition élargit la gestion des vulnérabilités en ajoutant un contexte tel que la criticité des assets, la threat intelligence et les chemins d'attaque pour évaluer le risque commercial global sur l'ensemble de votre surface d'attaque, y compris sur site, dans le cloud, dans l'OT et au-delà. 

Cette distinction modifie fondamentalement la manière d'appliquer le MTTR. Dans la gestion des vulnérabilités traditionnelle, le MTTR se concentre souvent sur la vitesse de correction d'une vulnérabilité de grande sévérité prise isolément. 

Dans la gestion de l'exposition, le MTTR mesure la rapidité avec laquelle votre équipe peut remédier aux vulnérabilités afin d'interrompre les chemins d'attaque vers vos assets les plus critiques.

Cette approche est critique car les attaquants n'opèrent pas en silos. Ils enchaînent de manière créative de multiples vulnérabilités, des configurations erronées et des autorisations excessives pour passer d'un système à l'autre. Cela les rapproche de vos joyaux de la couronne. 

L'arrêt de ces attaques complexes nécessite une visibilité et un contexte approfondi pour comprendre quelles vulnérabilités mettent réellement en danger vos actifs les plus critiques.

La gestion continue de l'exposition aux menaces (CTEM) utilise le MTTR comme indicateur clé de réussite. Ils priorisent les vulnérabilités, non seulement par sévérité, mais aussi par exploitabilité et par impact sur l'activité. Le CTEM réduit le bruit et oriente les mesures correctives là où c'est important.

Réduire le MTTR dans la gestion des expositions nécessite d'intégrer des informations basées sur le risque aux workflows automatisés afin que vos équipes puissent rapidement clôturer les expositions à haut risque.

Découvrez comment la gestion de l'exposition améliore l'efficacité de la remédiation dans le Centre de ressources sur la gestion de l'exposition de Tenable.

Le goulot d'étranglement entre les équipes de sécurité qui détectent les vulnérabilités et les équipes IT qui les corrigent est l'un des principaux facteurs d'augmentation du MTTR. Tenable réduit le délai de remédiation en unifiant ces deux fonctions au sein d'une plateforme unique. Voici comment :

• Cela commence par les capacités de gestion de l'exposition de Tenable, qui vous offrent une visibilité totale sur toutes les vulnérabilités de votre surface d'attaque, y compris sur site, dans le cloud, dans les conteneurs et dans l'OT. L'établissement de priorités en fonction des risques permet de se concentrer sur ce qui est le plus important.
• Tenable élimine des heures de recherche manuelle en établissant automatiquement une corrélation entre les vulnérabilités et le correctif qui les remplace. En veillant à ce que les équipes sécurité et IT travaillent à partir des mêmes données via des intégrations avec les systèmes de tickets, le SOAR et les pipelines CI/CD, vous éliminez les erreurs et exposez les bloqueurs de remédiation avant qu'ils n'entraînent des retards.
• Tenable Patch Management permet une automatisation plus intelligente et plus sûre. En définissant une logique conditionnelle, en exigeant une validation humaine pour les systèmes clés et en personnalisant les contrôles pour les déploiements, vous bâtissez un programme de correctifs de confiance qui s'aligne sur vos politiques exactes.Les administrateurs disposent ainsi de garde-fous et d'un contrôle en temps réel leur permettant de mettre en pause, d'annuler ou d'annuler les correctifs en fonction des besoins, afin de réduire les fenêtres de vulnérabilité tout en protégeant les services qui alimentent votre entreprise.
• Utilisez une console dédiée avec des dashboards en temps réel et des alertes pour suivre le progrès de remédiation et l'état de conformité. Cela fournit aux équipes de sécurité et IT les informations exploitables dont elles ont besoin et confirme que les expositions aux vulnérabilités ont été corrigées, pour une vision plus claire de votre réduction du risque au fil du temps.

Par exemple, si vous êtes une entreprise de services financiers mondiale, vous pourriez utiliser les capacités de Tenable pour réduire le MTTR moyen de plusieurs semaines à quelques jours grâce à la découverte continue d'assets et à la priorisation automatisée. Tenable peut vous aider à réduire votre surface d'attaque et à répondre plus rapidement aux exigences de conformité.

Les clients constatent des réductions significatives du MTTR, une atténuation plus rapide du risque et une meilleure préparation à la conformité. Découvrez comment ces éléments s'articulent dans cette présentation de Tenable One.

Suivez le MTTR parallèlement à ces mesures pour obtenir une vue d'ensemble de vos performances en matière de sécurité :

• MTTA (Temps moyen d'accusé de réception) : mesure la rapidité avec laquelle votre équipe répond aux nouvelles alertes ou tickets, indiquant la vitesse d'engagement initiale.
• MTTD (temps moyen de détection) : mesure la rapidité avec laquelle vous identifiez les vulnérabilités ou les incidents, ce qui est crucial pour commencer la remédiation plus tôt.
• MTBF (temps moyen entre les défaillances) : mesure le temps moyen entre les incidents de sécurité ou les défaillances, reflétant la fiabilité du système.

La surveillance conjointe de ces éléments permet à vos équipes de connaître l'efficacité de la détection, de la réponse et de la remédiation afin d'améliorer en permanence la position de votre entreprise en matière de sécurité.

Le MTTR permet de réduire le risque cyber en minimisant le temps pendant lequel les vulnérabilités sont exploitables. En outre :

• L'amélioration de la visibilité des assets, l'automatisation de la priorisation et l'intégration des workflows de remédiation sont les moyens les plus efficaces pour réduire le MTTR.
• Pour réaliser des progrès significatifs, alignez les objectifs de MTTR sur votre appétence au risque, les exigences réglementaires et l'impact sur l'activité.
• La plateforme de gestion unifiée de l'exposition de Tenable peut vous aider à accélérer la remédiation grâce à la découverte continue, aux informations basées sur le risque et à l'automatisation.
• Le suivi du MTTR avec des mesures connexes telles que le MTTA et le MTTD vous donne une vue d'ensemble sur les opérations de sécurité.

Voici quelques-unes des questions les plus fréquemment posées concernant le MTTR :

Quel est un bon MTTR pour les vulnérabilités de sécurité ?

Un bon MTTR dépend de votre environnement et de votre tolérance au risque, mais beaucoup visent à remédier aux vulnérabilités critiques dans les 24 à 72 heures.

Quelle est la différence entre MTTR (temps moyen de remédiation) et temps moyen de réparation ?

Dans le domaine de la sécurité, le MTTR se concentre sur la remédiation complète, et pas seulement sur la réparation, en mettant l'accent sur la fermeture complète de la vulnérabilité.

Pourquoi le MTTR est-il important en gestion des vulnérabilités ?

Le MTTR est important dans la gestion des vulnérabilités car une remédiation plus rapide signifie que les attaquants ont moins de temps pour exploiter les vulnérabilités, ce qui réduit les risques pour votre organisation.

Comment l'automatisation peut-elle réduire le MTTR ?

L'automatisation élimine les tâches manuelles, accélère le déploiement des correctifs et améliore la collaboration, ce qui accélère la remédiation.

Quel rôle joue la MTTR en gestion de l'exposition ?

Le MTTR engestion de l'exposition mesure la rapidité avec laquelle votre entreprise réduit l'exposition des assets pour limiter les chemins d'attaque.

Le MTTR peut-il être trop rapide ?

Une remédiation hâtive sans validation peut entraîner des perturbations. Trouvez un équilibre entre rapidité et qualité.

Comment Tenable aide-t-il à réduire le MTTR ?

Tenable offre une visibilité unifiée, une priorisation des risques et une automatisation des workflows qui, ensemble, réduisent le délai de remédiation.

Comment calculer le délai moyen de remédiation (MTTR) en cybersécurité ?

Vous pouvez calculer le MTTR en divisant le temps total de remédiation par le nombre de problèmes que vos systèmes et vos équipes ont résolus au cours d'une période donnée.

Quels sont les facteurs qui influencent le MTTR d'un programme de sécurité  ?

Les facteurs qui influencent le MTTR sont notamment la visibilité des assets, la priorisation des vulnérabilités, l'automatisation, la collaboration entre les équipes et les workflows de remédiation.

Comment améliorer le MTTR pour les vulnérabilités critiques ?

Le scan continu, la priorisation basée sur les risques, le correctif automatisé et les processus de remédiation intégrés améliorent le MTTR.

Quelle est la différence entre MTTR et MTTA dans le domaine de la cyber-sécurité ?

Le MTTR mesure le délai de remédiation des problèmes. L'ATMR mesure la rapidité avec laquelle votre équipe ou vos systèmes prennent en compte les alertes.

Pourquoi la gestion de l'exposition est-elle importante pour réduire le MTTR ?

La gestion de l'exposition fournit un contexte sur la criticité des assets et les chemins d'attaque, ce qui permet de prioriser et de remédier en premier lieu aux vulnérabilités les plus risquées.

Quels sont les outils permettant de réduire le MTTR en gestion des vulnérabilités ?

Les outils qui intègrent la découverte des assets, le score du risque, l'automatisation et les systèmes de tickets permettent de réduire le MTTR dans la gestion des vulnérabilités.

Quel est l'impact de la gestion continue de l'exposition aux menaces (CTEM) sur le MTTR ?

Les programmes CTEM évaluent en permanence les risques et les classent par ordre de priorité afin d'accélérer les cycles de remédiation et de réduire le MTTR.

Réduisez votre MTTR avec Tenable.
Voyez comment Tenable vous offre une visibilité complète, une priorisation précise et des workflows automatisés pour réduire les délais de remédiation. Démarrez avec Tenable One.