Expliquez la différence entre les KPI et les KRI de sécurité, avec des exemples.
Réponse courte
Un KPI (Key Performance Indicator) mesure la performance d'une activité de sécurité par rapport à son objectif — par exemple le délai moyen de détection, le respect du SLA de correctifs, ou le pourcentage de systèmes avec MFA. Un KRI (Key Risk Indicator) est un signal prospectif indiquant que l'exposition au risque augmente vers un niveau inacceptable, avec un seuil censé déclencher une action — par exemple le nombre de correctifs critiques en retard, le compte d'appareils non gérés, ou les revues d'accès échouées en hausse. Les KPI vous disent comment vous vous en sortez ; les KRI vous avertissent de la direction que vous prenez.
Les métriques sont la façon dont la sécurité communique avec le reste de l'entreprise. Les recruteurs posent cette question parce que confondre KPI et KRI est courant, et la différence détermine si un tableau de bord pousse à l'action ou ne fait que décorer une diapositive.
KPI : à quel point sommes-nous performants ?
Un Key Performance Indicator mesure la performance par rapport à un objectif. Il est largement rétrospectif ou centré sur le présent et vous dit si un contrôle ou un processus fait son travail. Exemples :
- Délai moyen de détection / réponse (MTTD / MTTR).
- Respect du SLA de correctifs — pourcentage de critiques corrigées dans la cible.
- Couverture MFA — pourcentage de comptes avec MFA activé.
- Taux de signalement des simulations de phishing.
Les KPI répondent à : sommes-nous bons à cela ?
KRI : vers où nous dirigeons-nous ?
Un Key Risk Indicator est un signal prospectif et avancé indiquant que l'exposition au risque augmente vers un niveau inacceptable. La caractéristique déterminante est un seuil et une tolérance liés à l'appétence au risque, de sorte que le franchir déclenche une action. Exemples :
- Nombre de correctifs critiques en retard en hausse.
- Compte d'appareils non gérés ou inconnus sur le réseau.
- Revues d'accès échouées ou ignorées en augmentation.
- Volume d'exceptions / d'acceptations de risque accordées.
Les KRI répondent à : cela devient-il dangereux ?
Le recoupement
Les mêmes données brutes peuvent alimenter les deux : le respect des correctifs comme KPI (performance) et les correctifs critiques en retard au-delà d'un seuil comme KRI (avertissement). Ce qui en fait un KRI, c'est le lien avec un seuil de risque et un déclencheur d'escalade.
Pourquoi c'est important
Les bons candidats expliquent que les KPI mesurent la performance tandis que les KRI sont des signaux avancés liés à l'appétence au risque avec des seuils d'action. Montrer comment une métrique peut jouer les deux rôles — et adapter la présentation selon qu'on s'adresse à un conseil d'administration ou à des ingénieurs — démontre une vraie maturité en matière de reporting.
Questions de suivi probables
- Comment fixer un seuil et une tolérance pertinents pour un KRI ?
- Une même métrique sous-jacente peut-elle servir à la fois de KPI et de KRI ? Donnez un exemple.
- Comment les présenteriez-vous à un conseil d'administration par rapport à une équipe d'ingénierie ?