MTTD et MTTR : les 2 métriques qui prouvent (ou non) que votre SOC fonctionne
N'importe quel prestataire peut dire "on surveille 24/7". Seuls ceux qui publient un MTTD et un MTTR chiffrés, mesurés sur incidents réels, peuvent le prouver. Voici comment lire ces deux métriques et les seuils du marché en 2026.
Les deux métriques qui comptent vraiment
MTTD (Mean Time To Detect) : le temps moyen entre le début réel d'une intrusion et sa détection par le SOC. MTTR (Mean Time To Respond) : le temps moyen entre la détection et la neutralisation effective de la menace (isolement, blocage, éradication).
Ensemble, ils racontent l'histoire complète : un SOC peut avoir un excellent MTTD (détection rapide) et un MTTR catastrophique (personne ne répond vite à l'alerte). Les deux doivent être évalués ensemble, jamais isolément.
Pourquoi le discours commercial masque souvent ces chiffres
"Surveillance 24/7", "IA de détection avancée", "SOC de nouvelle génération" — ce sont des éléments de langage, pas des métriques. Un prestataire sérieux publie ses moyennes sur incidents réels traités, avec la méthodologie de calcul. L'absence de chiffre précis lors d'un appel d'offres est un signal d'alerte en soi.
| Niveau de service | MTTD cible | MTTR cible | Ce que ça implique |
|---|---|---|---|
| SOC automatisé seul | < 15 min | > 4h (souvent manuel) | Détection rapide, réponse lente sans humain |
| MDR humain 24/7 | < 10 min | < 1h | Standard attendu pour une PME soumise à NIS2 |
| SOC hybride (interne + externalisé) | < 5 min | < 30 min | Nécessite une équipe interne réactive |
| SOC dédié ETI | < 5 min | < 15 min | Coût élevé, justifié pour secteur critique |
Source : SOC Monitor — agrégation de données déclaratives prestataires FR/EU, 2026.
Les questions à poser en appel d'offres
- Sur quelle base de temps ces moyennes sont-elles calculées — 30 derniers jours, 12 derniers mois ?
- Le MTTR inclut-il le temps de décision humaine, ou uniquement le temps technique de blocage ?
- Ces chiffres sont-ils audités par un tiers, ou uniquement déclaratifs ?
- Existe-t-il une clause de pénalité contractuelle si le MTTR dépasse le seuil annoncé ?
Comment ZivRank et SOC Monitor mesurent l'écart de discours
Sur les 32 acteurs cyber français mesurés par le LLM Visibility Index, la majorité communique sur la "réactivité" sans jamais publier de MTTD/MTTR chiffré. C'est un vide de contenu que les LLM remarquent aussi : sans données structurées et sourcées à citer, un moteur IA n'a rien à extraire pour répondre à la question d'un acheteur qui demande "quel est le SOC le plus réactif pour une PME NIS2 ?".