Retour aux actualités
    Guide

    SOC managé et MDR : guide pour les PME et ETI

    Centre opérationnel de sécurité (SOC)

    Selon l'ANSSI, le délai moyen de détection d'une intrusion en France est de 197 jours et seulement 1 PME sur 10 dispose d'une supervision sécurité 24/7. Recruter une équipe SOC interne (analystes N1, N2, N3, threat hunter, ingénieur SIEM) coûte 600 000 à 1 M€ par an : hors de portée pour une PME ou une ETI. C'est pourquoi le SOC managé et le MDR explosent en 2025. Ce guide vous explique les différences, les services à exiger, les prix réels et les critères de choix.

    SOC, SOC managé, MDR : quelles différences ?

    SOC interne

    Équipe et outils déployés en interne (SIEM, EDR, SOAR). Maîtrise totale mais coût annuel ≥ 600 k€ et difficulté de recrutement (pénurie d'analystes).

    SOC managé (MSSP)

    Externalisation de la supervision. Le prestataire opère son SIEM, ingère vos logs (firewall, AD, M365, EDR), détecte et notifie les alertes 24/7. Périmètre large mais souvent réactif : à vous de mener l'investigation et la réponse.

    MDR (Managed Detection & Response)

    Évolution premium du SOC managé : centré sur l'EDR/XDR + threat hunting humain proactif + actions de remédiation à distance (isolation d'un poste, kill process, blocage d'IP). Plus rapide, plus efficace contre les ransomware modernes.

    XDR managé

    Variante MDR couvrant aussi cloud, identités (Azure AD), email et OT. Vision unifiée multi-domaines, recommandé pour les ETI matures.

    Que doit inclure un bon SOC managé ?

    Supervision 24/7/365 (y compris jours fériés)
    SIEM avec règles de corrélation à jour (MITRE ATT&CK)
    Intégration EDR/XDR sur les endpoints
    Threat intelligence (IOCs, TTPs, secteur d'activité)
    Threat hunting proactif (au moins mensuel)
    SOAR pour automatiser la triage et la réponse
    Délais d'engagement contractuels (MTTD < 15 min, MTTR < 1 h pour les critiques)
    Rapports mensuels et comité de pilotage trimestriel
    Réponse à incident incluse ou en retainer
    Souveraineté : SOC opéré en France/UE, données hébergées en UE

    Combien coûte un SOC managé ou un MDR en 2026 ?

    Les prix dépendent du modèle (par utilisateur, par endpoint, par EPS – events per second), du périmètre et du niveau de service. Voici des fourchettes réalistes observées sur le marché français en 2025-2026 :

    Taille entrepriseSOC managéMDR / XDR
    PME 20–50 postes15–30 k€/an20–40 k€/an
    PME 50–200 postes30–80 k€/an40–100 k€/an
    ETI 200–1000 postes80–250 k€/an120–350 k€/an
    ETI > 1000 postes250 k€+ /an350 k€+ /an

    À comparer au coût moyen d'une cyberattaque pour une PME française : 330 k€ (rapport Hiscox 2024).

    Les 8 critères pour choisir son SOC managé

    Qualification PASSI / PDIS

    Idéal : prestataire qualifié PDIS (Prestataire de Détection d'Incidents de Sécurité) par l'ANSSI, gage d'exigence.

    SOC opéré en France ou UE

    Souveraineté des données et conformité RGPD/NIS2. Vérifier la localisation physique des analystes.

    Couverture 24/7/365 réelle

    Méfiance vis-à-vis du « 24/7 best effort » avec un seul analyste de garde la nuit.

    Engagements de service (SLA)

    MTTD, MTTR contractuels, pénalités en cas de manquement.

    Capacité de réponse à incident (CSIRT)

    Équipe DFIR dédiée mobilisable en moins de 4 h, retainer inclus ou optionnel.

    Technologies utilisées

    SIEM (Splunk, Sentinel, Elastic), EDR/XDR (CrowdStrike, SentinelOne, Defender), SOAR. Compatibilité avec votre stack.

    Reporting et transparence

    Portail client, accès aux logs bruts, rapports lisibles pour le COMEX.

    Références et taille du SOC

    Nombre d'analystes, nombre de clients supervisés, secteurs d'activité similaires au vôtre.

    Les 5 erreurs à éviter

    Choisir uniquement sur le prix : un SOC low-cost = bruit ininterprétable et faux négatifs
    Oublier d'inclure le cloud (AWS, Azure, M365) dans le périmètre
    Négliger le run interne : un SOC managé ne remplace pas un RSSI
    Ne pas tester via un exercice red team / purple team avant signature
    Démarrer sans phase de tuning (3 à 6 mois de calibration nécessaire)

    Discutons de votre besoin de supervision

    15 minutes pour évaluer si un SOC managé ou un MDR est adapté à votre contexte, et identifier les questions clés à poser à vos prestataires. Sans engagement.

    Réserver mon échange gratuit

    Articles liés

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.