Rapport du SANS Institute

Comment mesurer la performance d’un SOC?

Pour évaluer leur efficacité, les SOC s'appuient sur des KPI tels que la rigueur de l'éradication des menaces et des métriques comme le nombre d'incidents traités, selon le SANS Institut.

(Source: ©Ruslan Grumble - stock.adobe.com)
(Source: ©Ruslan Grumble - stock.adobe.com)

Mesurer l’efficacité d’un centre opérationnel de sécurité (SOC) requiert l’utilisation d’indicateurs multiples, incluant des fonctions à la fois externalisées et gérées en interne. Selon un rapport récent de l'Institut SANS, des indicateurs tels que «la  possibilité d'éviter l'incident» ou la «rigueur de l'éradication » sont couramment employés pour les fonctions externalisées.

Concernant les métriques, le «nombre d’incidents traités» s’impose comme la plus employée. Pour une évaluation optimale, les métriques basées sur le temps sont efficaces lorsqu'elles sont associées à des indicateurs de qualité, précisent les auteurs du rapport. 

En interne, les SOC se jugent souvent sur des critères similaires. Toutefois, bien que le «nombre d'incidents traités» soit fréquemment utilisé, il s’avère difficile de lier cet indicateur à un accord de niveau de service. 

Lire aussi:
Quelles tâches assume un SOC aujourd’hui?
Où en est l’automatisation des SOC?
Quels sont les outils les plus populaires des SOC?
 

Webcode
hejhXwXC