Il y a dix ans, dire à quelqu’un que votre organisation disposait d’un Centre d’Opérations de Sécurité (SOC) signifiait quelque chose de précis. Cela impliquait une équipe dédiée d’analystes surveillant des écrans 24 heures sur 24, recherchant des menaces dans l’ensemble de l’environnement informatique, avec les personnes, les processus et la technologie nécessaires pour détecter, contenir et répondre aux incidents à toute heure.
Aujourd’hui, le terme a été étiré jusqu’à presque se rompre. Un fournisseur commercialise un « SOC » qui fonctionne 24h/24 et 7j/7 avec de multiples rôles, une chasse aux menaces et une réponse aux incidents. Un autre commercialise un « SOC » qui surveille les alertes des terminaux pendant les heures de bureau et transmet tout ce qui est suspect par e-mail. Les deux utilisent la même appellation.
Pour toute personne responsable de la cyber-résilience, qu’il s’agisse d’un CISO dans une organisation de taille moyenne, d’un responsable informatique se préparant à NIS2 ou d’un membre du conseil d’administration évaluant les risques, cela est crucial. Choisir le mauvais type de SOC signifie payer pour une capacité que vous n’obtenez pas, ou pire, supposer que vous êtes protégé alors que vous ne l’êtes pas.
Ce guide répond aux questions que les acheteurs se posent réellement, dans l’ordre où ils ont tendance à les poser. Il explique ce qu’est réellement un Centre d’Opérations de Sécurité, comment il se rapporte au terme de plus en plus courant de Détection et Réponse Gérées (MDR), pourquoi la définition s’est érodée, les principaux types de SOC que vous rencontrerez sur le marché aujourd’hui et comment sélectionner celui qui correspond à votre risque, votre secteur et votre budget.
Une courte note sur notre positionnement avant de commencer : Guardian360 n’exploite pas de SOC. Nous fournissons une vision continue de la surface d’attaque et une gestion des vulnérabilités qui renforce n’importe quel SOC avec lequel une organisation choisit de travailler. Tout au long de cet article, nous utilisons cinq de nos partenaires, à savoir NFIR, SLTN, Intermax, Beterbeschermd et Trustteam, comme exemples concrets de l’apparence des différents modèles de SOC dans la pratique. L’objectif n’est pas d’en recommander un plutôt qu’un autre, mais de vous aider à reconnaître quel modèle correspond le mieux à votre situation.
Qu’est-ce qu’un Centre d’Opérations de Sécurité, réellement ?
Un Centre d’Opérations de Sécurité est, à la base, la fonction au sein ou à l’extérieur d’une organisation qui est responsable de la surveillance, de la détection, de l’analyse et de la réponse continues aux cybermenaces. C’est une combinaison de trois éléments : les personnes, les processus et la technologie. Enlevez-en un seul et vous n’avez pas de SOC.
Le côté technologique comprend généralement une plateforme SIEM (Security Information and Event Management) qui agrège les journaux de l’ensemble de l’environnement informatique, des outils EDR (Endpoint Detection and Response) ou XDR (Extended Detection and Response), une capacité de détection réseau et un système de gestion des cas. De plus en plus, les SOC modernes ajoutent des outils SOAR (Security Orchestration, Automation and Response), des flux de renseignement sur les menaces (threat intelligence) et l’analyse du comportement des utilisateurs et des entités (UEBA).
Le côté processus couvre les cas d’utilisation de détection, les guides de procédure (playbooks), les chemins d’escalade, les procédures de réponse aux incidents, les cadences de reporting et l’amélioration continue. Un SOC sans playbooks documentés est, en termes pratiques, un groupe de personnes avec des tableaux de bord.
Le côté humain est l’endroit où de nombreux « SOC » échouent discrètement. Un véritable SOC dispose d’analystes à plusieurs niveaux, généralement le triage L1, l’investigation L2, la chasse aux menaces L3 et la réponse aux incidents. Il dispose également d’ingénieurs qui affinent les détections, d’un responsable SOC et, idéalement, d’un lien de niveau CISO avec l’organisation cliente. Il fonctionne en continu, car les attaquants ne travaillent pas de neuf à cinq.
Si un fournisseur vous propose ce qu’il appelle un SOC, le test le plus simple consiste à demander : qui surveille à trois heures du matin un dimanche, que font-ils réellement et quelle autorité ont-ils pour agir ?
Quelle est la différence entre un SOC et la Détection et Réponse Gérées (MDR) ?
Les termes « SOC » et « MDR » sont utilisés de manière si interchangeable sur le marché qu’il vaut la peine de les distinguer.
Un SOC est la fonction opérationnelle : les personnes, les processus et la technologie qui surveillent, détectent, analysent et répondent. L’expression décrit une capacité, pas une offre commerciale particulière. Une organisation peut gérer son propre SOC, louer le SOC d’un fournisseur ou exécuter un modèle hybride.
Le Managed Detection and Response (MDR) est l’enveloppe commerciale la plus couramment utilisée pour packager la capacité SOC pour le marché intermédiaire. Dans un service MDR, le fournisseur prend la responsabilité des outils de surveillance, souvent l’EDR ou l’XDR, applique ses propres analystes et playbooks à votre environnement et rapporte les résultats et les actions au client. Dans la pratique, presque tous les services SOC externalisés proposés aujourd’hui aux entreprises de taille moyenne sont vendus sous le label MDR ou une variante proche.
Ce que cela signifie pour les acheteurs est simple. Le label « MDR » vous renseigne sur le modèle commercial, mais pas sur la profondeur des analystes, les heures de couverture, l’étendue de la détection ou l’autorité de réponse incluse. Un MDR spécialisé 24/7 avec une réponse complète aux incidents peut être très différent d’un MDR 5j/8 uniquement sur les terminaux ; les deux sont vendus sous les mêmes trois lettres. Les questions posées plus loin dans cet article sont conçues pour faire ressortir la différence.
Pourquoi le terme « SOC » s’est-il dilué ?
Trois forces ont fragmenté la définition.
La première est l’inflation marketing. À mesure que les cybermenaces sont devenues prioritaires, le « SOC » est devenu un label qui a aidé à vendre des services. La surveillance des terminaux avec un service de suivi 5j/8 a été rebaptisée SOC. Les tableaux de bord de gestion des vulnérabilités ont été rebaptisés composants SOC. Là où un label se vend, le label se propage.
La seconde est la diversité des fournisseurs entrant dans l’espace. Les entreprises proposant aujourd’hui des services de type SOC proviennent de points de départ très différents. Certaines sont des entreprises de cybersécurité pures qui ont construit leur SOC autour de la réponse aux incidents. D’autres sont des fournisseurs d’hébergement managé qui ont ajouté un Cyber Defence Centre pour protéger leur propre plateforme et l’ont ensuite proposé aux clients. D’autres sont de larges intégrateurs informatiques où la sécurité est un domaine d’expertise parmi d’autres. D’autres encore sont des fournisseurs de services managés (MSP) régionaux qui ont reconnu que leurs clients PME avaient besoin de quelque chose de plus que l’antivirus et un pare-feu. Chacun de ces modèles a ses mérites, mais ce n’est pas le même produit.
La troisième est l’absence d’une norme unique et exécutoire. Il existe de bons cadres, notamment MITRE ATT&CK, le modèle des fonctions SOC du SANS et le NIST CSF, mais aucune certification qu’un acheteur puisse exiger et à laquelle il puisse faire confiance comme comparateur à parts égales. ISO 27001 et SOC 2 disent quelque chose sur la façon dont une organisation gère la sécurité de l’information, mais ils ne certifient pas la profondeur opérationnelle d’un SOC.
Le résultat est un marché où le même mot couvre des services très différents à des prix très différents. L’acheteur doit faire le travail de distinction.
Quels sont les principaux types de SOC sur le marché aujourd’hui ?
En examinant les fournisseurs avec lesquels nous travaillons, quatre grands modèles couvrent la plupart de ce que vous rencontrerez. Chacun a des forces claires, des compromis clairs et un client idéal défini.
Type 1 : Le SOC spécialiste pur de la cybersécurité
C’est le modèle le plus proche de la définition originale. L’ensemble de l’activité du fournisseur est la cybersécurité. Le SOC est le cœur de l’opération, entouré de capacités adjacentes telles que les tests d’intrusion, la réponse aux incidents, l’informatique légale (forensics) et la formation à la sensibilisation à la sécurité. Les analystes sont des spécialistes de haut niveau, et l’entreprise détient généralement des accréditations spécifiques au travail de sécurité plutôt qu’aux services informatiques en général.
NFIR est un exemple clair de cet archétype. Ils gèrent un service MDR 24/7/365 depuis leur propre SOC, aux côtés d’une équipe de réponse aux urgences informatiques (CERT) qui gère la réponse aux incidents, d’une pratique de tests d’intrusion certifiée CCV et d’une branche de criminalistique numérique. Leur personnel fait l’objet d’un filtrage formel et l’entreprise détient des accréditations ISO et BSI axées sur le domaine de la sécurité. La proposition est simple : lorsqu’un événement grave se produit, la même entreprise qui surveille votre environnement peut également enquêter, contenir et rendre compte de l’incident, y compris les détails médico-légaux qui pourraient être nécessaires pour les assureurs, les régulateurs ou les forces de l’ordre.
La force de ce modèle est la profondeur. Le compromis est qu’il attend un client avec un environnement informatique relativement mature. Le SOC détectera et répondra, mais il ne gère pas votre informatique au sens large.
Meilleure adéquation : les organisations qui disposent déjà d’une fonction informatique compétente, souhaitent un partenaire de sécurité spécialisé et apprécient une forte capacité de réponse aux incidents et de criminalistique. Cela convient généralement aux grandes entreprises du marché intermédiaire et aux grands comptes, au gouvernement, à l’éducation et à tout secteur présentant un risque d’incident élevé.
Type 2 : Le SOC intégré dans un intégrateur informatique généraliste
Dans ce modèle, la sécurité et le SOC côtoient d’autres services informatiques (poste de travail, cloud, réseau, applications, données, hébergement) dans un portefeuille unique. La force du modèle est l’intégration : le partenaire qui surveille votre sécurité comprend également votre paysage informatique plus large, car il en a probablement construit des parties. Beaucoup de ces intégrateurs exploitent également eux-mêmes des capacités d’hébergement et de cloud privé, ce qui signifie qu’ils peuvent héberger, intégrer et surveiller sous un même toit.
SLTN en est un bon exemple. Ils se décrivent comme un partenaire pour « l’informatique à l’épreuve du futur » et offrent une expertise dans les services professionnels business et IT, le poste de travail numérique, le centre de données, le cloud, l’hébergement, le réseau, les services d’IA, les services de données, les services d’application et la cybersécurité. Crucialement, SLTN exploite son propre centre de données et sa capacité de cloud privé, de sorte qu’un client peut placer sa sécurité, son poste de travail et son infrastructure hébergée chez le même partenaire. Leur proposition de cybersécurité est consultative : guides de survie, conseils adaptés à l’organisation, analyse globale de la protection des systèmes tout en permettant au personnel de faire son travail.
Ce qui distingue également SLTN, c’est l’étendue des secteurs qu’ils desservent. Là où certains partenaires de cet article se concentrent étroitement sur un ou deux domaines (Intermax dans la santé, par exemple), la base de clients de SLTN s’étend à la santé, au commerce de détail, aux gouvernements locaux et centraux, à la finance, à l’industrie, à la logistique et aux services professionnels. Pour les organisations de taille moyenne dont les besoins informatiques et de sécurité se situent dans un secteur moins évident, ou pour les groupes opérant dans plusieurs secteurs, cette étendue signifie que SLTN est rarement étranger au contexte réglementaire, aux applications spécifiques au secteur ou au rythme opérationnel de l’activité du client.
Trustteam est un deuxième exemple avec une forme différente. Basée au Benelux et disposant de bureaux aux Pays-Bas, en Belgique, en France et au Luxembourg, Trustteam organise sa pratique de sécurité (« Next Gen Security ») explicitement autour du cadre de cybersécurité du NIST : Identifier et Protéger, Détecter et Répondre, Récupérer. Au sein du pilier Détecter et Répondre, ils proposent le MDR, le NDR (Network Detection and Response) et l’EDR en tant que produits packagés, aux côtés de la surveillance continue, de l’analyse, de l’atténuation, de la planification de la réponse, de la sensibilisation et de la sécurité des infrastructures. Pour les organisations ayant une empreinte au Benelux, la nature transfrontalière de l’entreprise est un avantage pratique significatif.
La force de ce modèle est la cohérence. Vous ne greffez pas la sécurité sur un environnement informatique inconnu ; le même partenaire peut aligner l’identité, le poste de travail, le cloud, l’hébergement et la sécurité en un seul programme. Le compromis est que le SOC peut ne pas être aussi profond que celui d’un spécialiste.
Meilleure adéquation : les organisations qui souhaitent qu’un seul partenaire assume la responsabilité de l’informatique et de la sécurité ensemble, en particulier lorsque l’environnement informatique lui-même est en cours de modernisation. Courant dans les organisations de taille moyenne traversant une transformation du poste de travail, du cloud ou du réseau, et les organisations du Benelux qui apprécient une présence transfrontalière.
Type 3 : Le SOC intégré à une plateforme d’hébergement managé ou de cloud
Ici, le SOC fait partie d’un service d’hébergement managé ou de cloud-sourcing, et cette capacité d’hébergement est le centre de gravité de l’entreprise. L’activité principale du fournisseur consiste à gérer l’infrastructure client, souvent au sein de ses propres centres de données ou en tant que cloud managé, avec une surveillance de la sécurité directement intégrée à la plateforme qu’il exploite. La différence avec le Type 2 est une question de focus : l’hébergement est l’identité de l’entreprise et la capacité de sécurité est construite autour de l’environnement hébergé.
Intermax en est un exemple probant. Il s’agit d’une société de cloud-sourcing basée à Rotterdam avec un large portefeuille de certifications, notamment ISO 27001, ISO 20000, ISO 9001, NEN 7510, ISAE 3402 type II et SOC 2. Ils exploitent un Cyber Defence Centre qui utilise des outils de détection modernes, notamment Elastic Security avec une découverte d’attaque pilotée par l’IA. Leur profondeur dans le secteur de la santé mérite d’être soulignée.
Pour les organisations de santé, Intermax est à bien des égards une solution exceptionnelle. La combinaison de la norme NEN 7510 (la norme néerlandaise de sécurité de l’information pour la santé), de l’ISO 27001 et du SOC 2, avec une base de clients existante comprenant des hôpitaux et des institutions psychiatriques, signifie qu’Intermax comprend déjà la charge réglementaire et la réalité quotidienne de l’hébergement des dossiers patients informatisés et d’autres applications cliniques. Pour une organisation de santé néerlandaise, le choix entre un partenaire d’hébergement qui a occasionnellement travaillé avec des systèmes cliniques et un autre dont l’activité est construite autour d’eux est rarement difficile.
La force de ce modèle est que la sécurité est « intégrée ». La plateforme d’hébergement et le SOC partagent la même équipe d’ingénierie, la même télémétrie et les mêmes preuves de conformité. Le compromis est que vous achetez un modèle d’hébergement ainsi qu’un SOC ; si vous souhaitez gérer votre informatique de manière indépendante et ne contracter que pour la surveillance, ce n’est pas la forme appropriée.
Meilleure adéquation : secteurs réglementés tels que la santé, la finance et le gouvernement, et organisations qui souhaitent externaliser leur hébergement et leur sécurité à un seul fournisseur hautement certifié. Particulièrement fort pour la santé néerlandaise étant donné l’expérience des applications cliniques.
Type 4 : Le SOC de niveau MSP, y compris les services SOC pour d’autres MSP
Le quatrième modèle s’est développé rapidement ces dernières années. Les fournisseurs de services managés régionaux, qui assurent déjà l’informatique au quotidien pour les clients PME et du marché intermédiaire, ont construit ou se sont associés à des services SOC accessibles à des organisations qui ne pourraient jamais justifier un contrat d’entreprise. Une sous-tendance significative est désormais visible : un certain nombre de ces entreprises positionnent délibérément leur capacité SOC comme un service que d’autres MSP peuvent utiliser.
Beterbeschermd en est un exemple clair. L’entreprise est née au sein du MSP BEEREPOOT basé en Hollande-Septentrionale, mais elle est délibérément positionnée comme une marque et une opération distinctes pouvant offrir sa capacité SOC à d’autres MSP et à leurs clients finaux. L’équipe combine des opérateurs SOC avec un rôle de responsable de la cybersécurité qui gère l’analyse des risques, les audits, la formation à la sensibilisation, NIS2 et l’accompagnement à la conformité ISO 27001. Pour un MSP qui n’a pas la taille nécessaire pour construire son propre SOC, s’associer à un MSP pair qui en a déjà construit un est souvent plus réalisable que de s’associer à un grand spécialiste d’entreprise.
La force de ce modèle est l’accessibilité et l’adéquation culturelle. Les petites organisations bénéficient d’une surveillance, d’une formation à la sensibilisation et d’un accompagnement à la conformité dans une relation unique à un prix adapté à leur taille. Le compromis est que la profondeur des capacités de criminalistique et de chasse aux menaces peut ne pas égaler celle d’un pur spécialiste.
Meilleure adéquation : PME et organisations du bas du marché intermédiaire dont l’informatique passe par une relation MSP, et les MSP eux-mêmes qui souhaitent offrir une capacité SOC à leurs clients sans la construire de toutes pièces.
Alors, de quel type de SOC avez-vous besoin ?
La réponse honnête est que cela dépend de cinq facteurs, à peu près dans cet ordre.
Profil de risque. Quel est le pire des cas réaliste ? Une organisation gérant des données de patients, des données de paiement ou des infrastructures critiques a un pire cas différent d’une société de services B2B. Plus votre pire cas est grave, plus vous avez besoin de profondeur dans les capacités de détection et de réponse.
Pression réglementaire. NIS2, le RGPD, les règles spécifiques au secteur et les obligations contractuelles des clients poussent tous la barre vers le haut. Certains des types de SOC ci-dessus apportent des preuves de conformité difficiles à construire autrement.
Maturité informatique interne. Un SOC spécialiste suppose que vous puissiez agir sur ses conclusions. Si votre fonction informatique interne est réduite ou surchargée, un modèle intégré (soit avec un intégrateur informatique, soit avec un MSP) sera plus réalisable qu’une relation de spécialiste qui vous livre un flux d’alertes que vous ne pouvez pas traiter.
Relations informatiques existantes. Si vous faites déjà confiance à un MSP ou à un intégrateur pour votre informatique, placer votre SOC dans la même relation réduit les frictions. Si vous avez une fonction informatique interne forte et souhaitez un homologue spécialisé, un SOC pur vous apportera le plus de profondeur.
Budget. Un SOC spécialiste 24/7 n’a pas le même prix qu’un add-on de surveillance 5j/8. Soyez clair sur ce que vous êtes prêt à dépenser et soyez honnête avec les fournisseurs lorsque vous demandez des propositions.
Quelles questions poser à un fournisseur de SOC ?
Une liste de contrôle courte et utile lors de l’évaluation des fournisseurs :
Heures. La surveillance est-elle assurée 24/7/365, 5j/8 avec astreinte, ou autre chose ? Qui est réveillé à trois heures le dimanche matin, et qu’est-ce qu’il est autorisé à faire sans votre intervention ?
Périmètre. Qu’est-ce qui est exactement surveillé ? Les terminaux uniquement ? Terminaux, identité et e-mail ? Workloads cloud ? Technologie opérationnelle (OT) ? Serveurs et réseau sur site ? Plus le périmètre est large, plus le SOC est significatif.
Détection. Quels outils soutiennent le service ? Le SIEM et l’EDR sont la base ; renseignez-vous sur l’XDR, le NDR, la détection des menaces d’identité et les flux de threat intelligence. Demandez comment les règles de détection sont affinées et à quelle fréquence elles sont revues.
Personnes. Combien d’analystes, à quels niveaux, et où sont-ils basés ? L’équipe de nuit est-elle interne ou externalisée ? Quel est le roulement et comment la fatigue est-elle gérée ? Qui est votre contact senior attitré ?
Réponse. Lorsqu’un incident survient, que fait réellement le SOC ? Vous alerter et s’arrêter ? Contenir un hôte ? Intervenir dans votre environnement et agir ? Quelle autorité a le SOC, et comment cette autorisation est-elle testée ?
Contrat de réponse aux incidents (Retainer). Existe-t-il une fenêtre de réponse garantie pour les incidents graves ? La capacité de criminalistique fait-elle partie de l’accord ou est-elle contractée séparément ? Le SOC peut-il produire des rapports exploitables pour les assureurs ou les régulateurs ?
Conformité. À quelles normes le SOC lui-même se conforme-t-il ? Le fournisseur peut-il produire des preuves qui facilitent vos propres audits (ISO 27001, NEN 7510, NIS2, SOC 2) ?
Reporting et transparence. Que recevez-vous chaque semaine, chaque mois, chaque trimestre ? Pouvez-vous voir les détections et les actions sous-jacentes, ou seulement des résumés ? Existe-t-il un portail ? Les exercices sur table (tabletop) sont-ils inclus ?
Adéquation et sortie. Comment le SOC s’intègre-t-il à vos outils existants (ticketing, identité, cloud) ? Si vous souhaitez partir, dans quelle mesure vos données de détection et votre historique sont-ils portables ?
Quels sont les pièges les plus courants lors de la sélection d’un SOC ?
Quelques erreurs se répètent sur le marché.
La première est d’acheter uniquement sur la base du prix. Un « SOC » qui coûte le quart du tarif habituel fait presque certainement le quart du travail. Le travail qu’il ne fait pas a tendance à être la partie dont vous avez le plus besoin quand les choses tournent mal.
La deuxième est de confondre outillage et service. Un SIEM n’est pas un SOC. Un EDR n’est pas un SOC. Sans les analystes et les playbooks, l’outillage produit du bruit.
La troisième est de ne pas tester la réponse. De nombreuses organisations signent un contrat SOC et ne font jamais d’exercice sur table pour voir ce qui se passe réellement lorsqu’un incident est soulevé.
La quatrième est le chevauchement des responsabilités. Si le SOC, le MSP, l’équipe informatique interne et le fournisseur de cloud croient tous que quelqu’un d’autre surveille un système particulier, personne ne le fait. Cartographiez la propriété avant de signer.
La cinquième est de signer un contrat long sans plan de sortie. Demandez, dès le premier jour, ce qu’il advient de vos données si vous souhaitez partir.
Un cadre court pour sélectionner votre SOC
En résumé, une séquence pratique pour choisir un SOC ressemble à ceci.
Commencez par définir ce que vous protégez et contre qui. Cartographiez vos actifs les plus critiques, vos scénarios catastrophes et les régimes réglementaires applicables. Soyez spécifique.
Décidez de ce que vous voulez garder en interne et de ce que vous voulez externaliser. Un modèle hybride est généralement le plus viable pour les entreprises de taille moyenne.
Fixez un budget réaliste. Ne vous attendez pas à une surveillance 24/7 de classe entreprise à des prix PME.
Présélectionnez par type de SOC, pas par nom. Décidez si vous avez besoin d’un spécialiste, d’un intégrateur, d’une plateforme axée sur l’hébergement ou d’un service dirigé par un MSP, puis recherchez le meilleur fournisseur dans cette catégorie.
Posez les questions ci-dessus, par écrit, et comparez les réponses.
Enfin, prenez des références. Demandez aux clients actuels ce qui s’est passé lors de leur dernier incident réel, pas de leur dernière détection réussie. L’écart entre les deux réponses est instructif.
Où Guardian360 intervient
Nous n’exploitons pas de SOC. Nous sommes restés délibérément en dehors de ce marché car nous pensons qu’un écosystème SOC sain profite plus au client qu’un seul fournisseur dominant. Ce que nous faisons, c’est intervenir une étape plus tôt dans la chaîne.
Un SOC est plus efficace lorsque l’environnement qu’il surveille est bien compris et que les expositions de base ont déjà été fermées. Guardian360 fournit un aperçu continu de votre surface d’attaque et de vos vulnérabilités, de sorte que le SOC passe son temps sur les menaces réelles plutôt que de chasser le bruit provenant de mauvaises configurations et de systèmes non patchés.
Si vous évaluez une décision relative à un SOC et souhaitez une conversation objective sur le modèle qui convient à votre organisation, nous serons ravis de l’avoir. Nous pouvons également vous présenter au partenaire concerné (NFIR, SLTN, Intermax, Beterbeschermd, Trustteam ou d’autres membres de notre réseau), selon vos besoins réels.
Le bon SOC est celui qui correspond à votre risque, votre maturité informatique, votre secteur et votre budget. Ce n’est pas forcément le plus grand, le moins cher ou celui qui a répondu en premier à votre demande. Avec le cadre ci-dessus, le choix devrait au moins être pleinement éclairé.
