SOC managé vs MDR vs MSSP, quelle différence ?
Ces termes sont souvent utilisés de façon interchangeable par les commerciaux, mais recouvrent des réalités très différentes
| Service | Surveillance | Réponse active | Threat Hunting | Engagement typique |
|---|---|---|---|---|
| MSSP | ✅ Oui | ❌ Alerte seulement | ❌ Non | Alertes + ticket |
| SOC managé | ✅ Oui | ⚠️ Partiel | ⚠️ Basique | Triage + escalade |
| MDR | ✅ Oui | ✅ Containment inclus | ✅ Proactif | Détection + réponse + hunt |
Un vrai service MDR inclut la réponse active, l'équipe peut isoler un endpoint, bloquer un compte, couper une connexion réseau dans votre environnement sans attendre votre validation, sur la base de procédures convenues à l'avance. Si votre prestataire ne fait qu'envoyer des alertes, c'est un MSSP, pas un MDR.
Les 8 questions à poser à tout prestataire MDR
- Quel est votre MTTD (Mean Time To Detect) garanti contractuellement ? Un MDR sérieux garantit sous 15–30 minutes. Si la réponse est vague, méfiez-vous.
- Où sont situés vos analystes SOC ? Externalisés offshore ? La souveraineté des données et la qualité de réponse en nuit/week-end sont directement liées à cette question.
- Vos analystes ont-ils accès à mon environnement ou seulement à des flux de logs ? Un vrai MDR nécessite un accès contrôlé aux endpoints pour le containment.
- Quelle est votre stack SIEM/EDR ? Propriétaire ? Splunk ? Microsoft Sentinel ? La flexibilité d'intégration avec vos outils existants est critique.
- Comment gérez-vous les faux positifs ? Le taux de faux positifs non qualifiés est un indicateur de maturité. Exigez des métriques des 3 derniers mois.
- Proposez-vous un déploiement on-premises ou cloud uniquement ? Pour les secteurs sensibles, la possibilité de garder les données on-premises est non-négociable.
- Quel est le processus de threat hunting mensuel ? Demandez un exemple de rapport de threat hunting d'un client (anonymisé).
- Êtes-vous qualifié PSSII par l'ANSSI ? Cette qualification est un gage de sérieux pour les prestataires intervenant sur des OIV/OSE.
Les pièges à éviter
Certains prestataires commercialisent un SOC 24/7 mais les alertes hors heures ouvrées sont gérées par une équipe réduite offshore avec des SLAs différents. Demandez le nombre d'analystes par shift, notamment la nuit et le week-end.
Un contrat MDR de 3 ans minimum avec des clauses de sortie pénalisantes doit être un signal d'alarme. Un bon prestataire vous offre 12 mois renouvelables. Votre confiance doit être gagnée par les résultats, pas par les clauses contractuelles.
Si le prestataire exige que vous remplaciez votre EDR ou SIEM existant par sa propre plateforme propriétaire pour accéder au service, posez-vous des questions sur son intérêt à vous garder dépendant de sa technologie plutôt que de votre sécurité.
Grille d'évaluation synthétique
| Critère | Poids | Questions clés |
|---|---|---|
| SLA et métriques | ⭐⭐⭐⭐⭐ | MTTD, MTTR garantis contractuellement ? |
| Qualité des analystes | ⭐⭐⭐⭐⭐ | Certifications, séniorité, localisation ? |
| Réponse active | ⭐⭐⭐⭐ | Containment inclus ? Playbooks documentés ? |
| Intégration technique | ⭐⭐⭐⭐ | Compatible votre stack ? On-prem possible ? |
| Threat Hunting | ⭐⭐⭐ | Mensuel ? Rapport fourni ? |
| Conformité | ⭐⭐⭐ | Rapports NIS2/ISO 27001 inclus ? |
| Transparence tarifaire | ⭐⭐⭐ | Tout compris ou frais cachés ? |
Évaluation gratuite de votre posture de sécurité
ONYX-CYBER propose une évaluation initiale de votre infrastructure et vous présente notre approche MDR transparente, sans engagement. Réponse sous 24h.
Demander une évaluation gratuite