Les KPI (Key Performance Indicators) de cybersécurité sont des indicateurs chiffrés qui mesurent l'efficacité de la posture de sécurité d'une organisation. Ils permettent de piloter la stratégie, prioriser les actions et rendre compte aux dirigeants de l'état réel de la sécurité du SI.
Sans KPI, les équipes sécurité travaillent à l'aveugle. Avec les bons indicateurs, elles peuvent démontrer les progrès, identifier les faiblesses et défendre les budgets. C'est d'autant plus important que selon le Baromètre annuel du CESIN, près d'une entreprise française sur deux déclare avoir subi au moins une cyberattaque réussie ces dernières années.
Qu'est-ce qu'un KPI en cybersécurité ?
Dans son Guide d'élaboration de tableaux de bord SSI, l'ANSSI définit un indicateur comme une « donnée statistique combinant la mesure d'un ou plusieurs points-clés, utilisée en comparaison avec un historique ou des valeurs cibles ».
Les KPI cyber se répartissent en deux grandes familles :
- Indicateurs opérationnels — mesurent l'efficacité quotidienne : nombre de vulnérabilités, couverture EDR, temps de détection
- Indicateurs stratégiques — mesurent l'avancement des objectifs : conformité réglementaire, maturité du programme de sécurité, couverture des plans d'action
L'enjeu est de choisir les indicateurs les plus pertinents pour son contexte, pas d'en accumuler des dizaines. Nos guides sur les 10 indicateurs ANSSI essentiels et les 20 indicateurs de conformité détaillent les KPI à suivre en priorité.
Les KPI essentiels à suivre
Indicateurs de posture
| KPI | Ce qu'il mesure | Cible type |
|---|---|---|
| Couverture EDR | % de postes avec un EDR actif et à jour | > 95 % |
| Taux de patch critique | % de vulnérabilités critiques corrigées dans les 30 jours | > 90 % |
| Shadow IT | Nombre d'actifs non inventoriés découverts | Tendance à la baisse |
| Actifs exposés | Nombre d'actifs directement accessibles depuis internet | Minimal, documenté |
| Couverture MFA | % de comptes avec authentification multi-facteurs | > 90 % sur les comptes à privilèges |
Indicateurs de détection et réponse
| KPI | Ce qu'il mesure | Cible type |
|---|---|---|
| MTTD (Mean Time To Detect) | Temps moyen entre l'intrusion et sa détection | < 24h (la médiane globale se compte encore en jours selon Mandiant M-Trends) |
| MTTR (Mean Time To Respond) | Temps moyen entre la détection et la résolution | < 72h |
| Taux de faux positifs | % d'alertes qui ne sont pas des vrais incidents | < 30 % |
| Alertes traitées | % d'alertes qualifiées dans les SLA définis | > 95 % |
Indicateurs de sensibilisation
| KPI | Ce qu'il mesure | Cible type |
|---|---|---|
| Taux de clic phishing | % d'employés qui cliquent lors des simulations | < 5 % |
| Signalements phishing | Nombre d'emails suspects signalés par les utilisateurs | Tendance à la hausse |
| Incidents par erreur humaine | Nombre d'incidents causés par une erreur utilisateur | Tendance à la baisse |
Comment choisir ses KPI ?
Tous les KPI ne conviennent pas à toutes les organisations. Le choix dépend de trois facteurs :
1. Les objectifs de sécurité
Les KPI doivent être alignés sur les objectifs business et sécurité. Une entreprise soumise à NIS2 priorisera les indicateurs de conformité. Une entreprise en forte croissance surveillera le Shadow IT et la couverture des nouveaux actifs.
2. La maturité de l'organisation
Une organisation qui débute en cybersécurité commencera par les fondamentaux : couverture antivirus/EDR, inventaire des actifs, taux de patch. Une organisation mature suivra des indicateurs plus fins : MTTD, MTTR, taux de faux positifs, couverture des scénarios d'attaque.
3. Le public cible
Les KPI opérationnels parlent aux équipes techniques. Les KPI stratégiques parlent à la direction. Présenter un MTTD de 10 jours au COMEX n'a pas d'impact. Présenter « une part significative des intrusions sont encore détectées par un tiers, pas par nos équipes » (les rapports Mandiant M-Trends documentent cette tendance année après année) a beaucoup plus d'effet.
La clé : traduire les métriques techniques en risques business. C'est ce qui débloque les budgets.
Méthodes pour évaluer sa posture en continu
Cartographier son SI
L'ANSSI considère la cartographie du SI comme un outil indispensable à sa maîtrise. La cartographie agrège naturellement les KPI clés :
- Inventaire complet des actifs (serveurs, postes, applications, cloud)
- Actifs exposés sur internet
- Couverture EDR et antivirus par machine
- Vulnérabilités par actif et par criticité
- Shadow IT détecté
C'est l'approche d'OverView : en connectant vos sources existantes (AD, EDR, CMDB, scanners de vulnérabilités), la plateforme produit automatiquement ces indicateurs dans un tableau de bord unifié. Plus besoin de consolider manuellement des exports Excel.
Tester avec des pentests et des simulations
Les tests d'intrusion (pentests) et les exercices de simulation d'attaque fournissent des KPI concrets : le MTTD, le MTTR, la capacité des équipes à suivre les procédures de réponse à incident.
Ces exercices permettent aussi de clarifier les rôles et responsabilités en situation de crise. Sans test régulier, le plan de réponse à incident reste théorique. L'ANSSI recommande au minimum un exercice par an.
Pour aller plus loin sur la réponse à incident : notre guide sur les événements, alertes et incidents de sécurité.
Suivre l'évolution dans le temps
Un KPI isolé a peu de valeur. C'est sa trajectoire qui compte. Un taux de patch à 70 % est médiocre, mais s'il était à 40 % il y a six mois, la dynamique est positive.
Les tableaux de bord doivent montrer l'historique et les tendances. C'est ce qui permet de démontrer le ROI des investissements en sécurité et de défendre les budgets face à la direction.
Aller au-delà de l'approche technique
Impliquer toutes les parties prenantes
La cybersécurité ne concerne pas que l'équipe IT. Les responsables métiers, les utilisateurs et la direction sont tous partie prenante de la posture de sécurité. Partager les KPI avec l'ensemble de l'organisation crée une culture de la sécurité et valorise les progrès collectifs.
Sensibiliser en continu
Les programmes de sensibilisation sont eux-mêmes mesurables : taux de clic lors des simulations de phishing, nombre de signalements, incidents causés par erreur humaine. Ces indicateurs montrent l'évolution de la « surface d'attaque humaine » — souvent le premier vecteur d'intrusion.
Ce qu'il faut retenir
- Les KPI cyber se choisissent en fonction des objectifs, de la maturité et du public cible.
- Les indicateurs de posture (couverture EDR, taux de patch, Shadow IT) et de réponse (MTTD, MTTR) forment le socle minimal.
- La cartographie du SI est le meilleur outil pour agréger et visualiser ces indicateurs en temps réel.
- Les KPI prennent toute leur valeur quand on suit leur évolution dans le temps et qu'on les traduit en risques business.
Vous voulez voir quels KPI OverView peut produire automatiquement à partir de vos outils existants ? Testez notre simulateur pour évaluer votre couverture, ou demandez une démo pour un aperçu personnalisé.