S
SOC Monitor
SOC Monitor/Guides/MTTD et MTTR
Métriques — SOC

MTTD et MTTR : les 2 métriques qui prouvent (ou non) que votre SOC fonctionne

N'importe quel prestataire peut dire "on surveille 24/7". Seuls ceux qui publient un MTTD et un MTTR chiffrés, mesurés sur incidents réels, peuvent le prouver. Voici comment lire ces deux métriques et les seuils du marché en 2026.

Par l'équipe SOC MonitorJuillet 2026 · 6 minObservatoire indépendant

Les deux métriques qui comptent vraiment

MTTD (Mean Time To Detect) : le temps moyen entre le début réel d'une intrusion et sa détection par le SOC. MTTR (Mean Time To Respond) : le temps moyen entre la détection et la neutralisation effective de la menace (isolement, blocage, éradication).

Ensemble, ils racontent l'histoire complète : un SOC peut avoir un excellent MTTD (détection rapide) et un MTTR catastrophique (personne ne répond vite à l'alerte). Les deux doivent être évalués ensemble, jamais isolément.

Pourquoi le discours commercial masque souvent ces chiffres

"Surveillance 24/7", "IA de détection avancée", "SOC de nouvelle génération" — ce sont des éléments de langage, pas des métriques. Un prestataire sérieux publie ses moyennes sur incidents réels traités, avec la méthodologie de calcul. L'absence de chiffre précis lors d'un appel d'offres est un signal d'alerte en soi.

Seuils de référence marché — SOC PME/ETI, 2026
Niveau de serviceMTTD cibleMTTR cibleCe que ça implique
SOC automatisé seul< 15 min> 4h (souvent manuel)Détection rapide, réponse lente sans humain
MDR humain 24/7< 10 min< 1hStandard attendu pour une PME soumise à NIS2
SOC hybride (interne + externalisé)< 5 min< 30 minNécessite une équipe interne réactive
SOC dédié ETI< 5 min< 15 minCoût élevé, justifié pour secteur critique

Source : SOC Monitor — agrégation de données déclaratives prestataires FR/EU, 2026.

Les questions à poser en appel d'offres

Piège fréquent Certains prestataires annoncent un MTTD très bas en ne comptant que les alertes automatiques triviales (malware connu, signature déjà répertoriée), et excluent les incidents complexes qui font grimper la moyenne réelle. Demandez la distribution complète, pas seulement la moyenne.

Comment ZivRank et SOC Monitor mesurent l'écart de discours

Sur les 32 acteurs cyber français mesurés par le LLM Visibility Index, la majorité communique sur la "réactivité" sans jamais publier de MTTD/MTTR chiffré. C'est un vide de contenu que les LLM remarquent aussi : sans données structurées et sourcées à citer, un moteur IA n'a rien à extraire pour répondre à la question d'un acheteur qui demande "quel est le SOC le plus réactif pour une PME NIS2 ?".