Retour aux actualitésSOC managé

    SOC managé et SIEM pour PME : détecter les attaques 24/7 sans recruter une équipe cyber

    16 min de lecture

    Avec la directive NIS2 et l'explosion des attaques par ransomware, les PME françaises doivent désormais être capables de détecter et répondre à un incident en quelques minutes, 24h/24 et 7j/7. Recruter une équipe interne de 5 analystes cyber étant hors de portée pour la plupart des PME, le SOC managé(Security Operations Center externalisé) couplé à un SIEM est devenu la solution de référence.

    SOC, SIEM, EDR, XDR, MDR : démêler le vocabulaire

    • SOC (Security Operations Center) : équipe humaine + processus + outils chargés de la détection et de la réponse aux incidents.
    • SIEM (Security Information and Event Management) : plateforme qui collecte, corrèle et analyse les logs de tout le SI (pare-feu, AD, cloud, applications).
    • EDR (Endpoint Detection and Response) : agent installé sur les postes et serveurs pour détecter les comportements malveillants.
    • XDR (Extended Detection and Response) : extension de l'EDR à l'email, au cloud, au réseau et à l'identité.
    • MDR (Managed Detection and Response) : service externalisé combinant outils (EDR/XDR) et analystes 24/7. C'est souvent la porte d'entrée des PME vers un SOC managé.
    • SOAR : automatisation des réponses (playbooks) au-dessus du SIEM.

    Pourquoi un SOC interne est rarement viable en PME

    Pour assurer une couverture 24/7/365, il faut au minimum 5 à 6 analystes (3 niveaux × astreintes + congés). Coût annuel chargé : 350 000 à 500 000 € HT, hors outillage SIEM (50 à 150 k€/an), hors threat intelligence et hors locaux sécurisés. Inaccessible pour 95 % des PME.

    Le SOC managé : mutualisation et expertise

    Un MSSP (Managed Security Service Provider) mutualise ses analystes sur des dizaines de clients et facture généralement entre 1 500 et 8 000 € HT par mois pour une PME, selon le périmètre (nombre d'endpoints, sources de logs, niveau de service).

    Les KPIs à exiger d'un SOC managé

    • MTTD (Mean Time To Detect) : objectif < 15 minutes pour les alertes critiques.
    • MTTR (Mean Time To Respond) : objectif < 60 minutes pour le confinement.
    • Couverture MITRE ATT&CK : pourcentage de techniques détectées (viser > 70 %).
    • Taux de faux positifs : < 5 % pour ne pas saturer vos équipes.
    • SLA de réponse : engagement contractuel par sévérité (P1, P2, P3).
    • Rapports mensuels exploitables par la direction et l'audit NIS2.

    Architecture type d'un SOC managé pour PME

    Un déploiement standard combine généralement :

    • EDR/XDR sur 100 % des endpoints (Microsoft Defender XDR, CrowdStrike, SentinelOne, Sophos).
    • Collecte de logs Active Directory / Entra ID, Microsoft 365, pare-feu, VPN, applications métier critiques.
    • SIEM cloud (Microsoft Sentinel, Splunk, Elastic, Sekoia) avec règles de détection MITRE ATT&CK.
    • Threat intelligence intégrée (IOC, IOA, secteurs ciblés).
    • Playbooks SOAR : isolation automatique d'un poste compromis, blocage IP, désactivation de compte.
    • Astreinte humaine 24/7 avec procédure d'escalade vers votre DSI/RSSI.

    Ce que dit NIS2 sur la détection et la réponse

    L'article 21 de NIS2 impose des « mesures de détection, traitement et signalement des incidents ». Les obligations de notification ANSSI sont strictes :

    • Pré-notification : 24 heures après prise de connaissance d'un incident significatif.
    • Notification complète : 72 heures.
    • Rapport final : 1 mois.

    Sans SOC ni SIEM, ces délais sont quasi impossibles à tenir : la majorité des PME découvrent encore une intrusion plusieurs semaines après le début de l'attaque (rapport Mandiant 2025 : dwell time médian de 10 jours en Europe).

    Combien ça coûte ? Fourchettes 2026

    • MDR endpoints uniquement (50–100 postes) : 1 500 à 3 000 € HT/mois.
    • SOC managé complet (PME 100–250 salariés) : 3 000 à 6 000 € HT/mois.
    • SOC managé ETI (250–1000 salariés) : 6 000 à 15 000 € HT/mois.
    • Frais de mise en service (one-shot) : 5 000 à 20 000 € HT.

    À comparer au coût moyen d'un ransomware sur PME française : 250 000 à 1 200 000 € tout compris (rançon, reconstruction, perte d'exploitation, juridique, communication).

    Comment choisir son SOC managé ? Les 10 critères clés

    1. Centre d'opérations basé en France ou en UE (souveraineté, RGPD).
    2. Qualification PASSI ou SecNumCloud selon le niveau de criticité.
    3. Couverture 24/7/365 humaine, pas seulement automatisée.
    4. SIEM cloud-natif ou possibilité de SIEM on-premise selon vos contraintes.
    5. Compatibilité avec votre stack (Microsoft 365, Google Workspace, AWS, Azure, GCP).
    6. Intégration des logs OT/IoT si environnement industriel.
    7. SLA contractuels mesurables (MTTD, MTTR, disponibilité).
    8. Capacité de réponse à incident (CSIRT) incluse ou en option.
    9. Rapports mensuels alignés sur NIS2 / ISO 27001.
    10. Réversibilité : récupération de vos logs en cas de changement de prestataire.

    SOC managé ou RSSI externalisé : que choisir ?

    Les deux sont complémentaires, pas concurrents. Le RSSI externalisé (vCISO) pilote la gouvernance, la conformité et la stratégie. Le SOC managé opère la détection et la réponse au quotidien. Une PME mature combine idéalement les deux : vCISO 1 à 3 jours/mois + SOC managé 24/7.

    Erreurs fréquentes à éviter

    • Acheter un SIEM sans analystes : la donnée s'accumule sans personne pour l'exploiter.
    • Ne brancher que les pare-feu : 80 % des attaques modernes passent par l'identité (Entra ID, Active Directory).
    • Oublier le cloud (Microsoft 365 audit logs, AWS CloudTrail) où se déroulent désormais la majorité des attaques.
    • Ne pas tester les playbooks (exercices red team / purple team annuels).
    • Confondre antivirus et EDR : un AV traditionnel ne détecte pas un attaquant « living off the land ».

    Conclusion

    Un SOC managé n'est plus un luxe réservé aux grands groupes : c'est une brique essentielle de la conformité NIS2 et de la résilience cyber des PME. Bien choisi, il transforme une organisation aveugle en une organisation capable de détecter et de contenir une attaque avant qu'elle ne devienne une crise existentielle.

    CyberConform aide les PME et ETI à cadrer leur besoin SOC, à rédiger l'appel d'offres et à piloter le MSSP retenu. Contactez nos experts pour un diagnostic gratuit de 15 minutes.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit