SOC managé et MDR : guide pour les PME et ETI

Selon l'ANSSI, le délai moyen de détection d'une intrusion en France est de 197 jours et seulement 1 PME sur 10 dispose d'une supervision sécurité 24/7. Recruter une équipe SOC interne (analystes N1, N2, N3, threat hunter, ingénieur SIEM) coûte 600 000 à 1 M€ par an : hors de portée pour une PME ou une ETI. C'est pourquoi le SOC managé et le MDR explosent en 2025. Ce guide vous explique les différences, les services à exiger, les prix réels et les critères de choix.
SOC, SOC managé, MDR : quelles différences ?
SOC interne
Équipe et outils déployés en interne (SIEM, EDR, SOAR). Maîtrise totale mais coût annuel ≥ 600 k€ et difficulté de recrutement (pénurie d'analystes).
SOC managé (MSSP)
Externalisation de la supervision. Le prestataire opère son SIEM, ingère vos logs (firewall, AD, M365, EDR), détecte et notifie les alertes 24/7. Périmètre large mais souvent réactif : à vous de mener l'investigation et la réponse.
MDR (Managed Detection & Response)
Évolution premium du SOC managé : centré sur l'EDR/XDR + threat hunting humain proactif + actions de remédiation à distance (isolation d'un poste, kill process, blocage d'IP). Plus rapide, plus efficace contre les ransomware modernes.
XDR managé
Variante MDR couvrant aussi cloud, identités (Azure AD), email et OT. Vision unifiée multi-domaines, recommandé pour les ETI matures.
Que doit inclure un bon SOC managé ?
Combien coûte un SOC managé ou un MDR en 2026 ?
Les prix dépendent du modèle (par utilisateur, par endpoint, par EPS – events per second), du périmètre et du niveau de service. Voici des fourchettes réalistes observées sur le marché français en 2025-2026 :
| Taille entreprise | SOC managé | MDR / XDR |
|---|---|---|
| PME 20–50 postes | 15–30 k€/an | 20–40 k€/an |
| PME 50–200 postes | 30–80 k€/an | 40–100 k€/an |
| ETI 200–1000 postes | 80–250 k€/an | 120–350 k€/an |
| ETI > 1000 postes | 250 k€+ /an | 350 k€+ /an |
À comparer au coût moyen d'une cyberattaque pour une PME française : 330 k€ (rapport Hiscox 2024).
Les 8 critères pour choisir son SOC managé
Qualification PASSI / PDIS
Idéal : prestataire qualifié PDIS (Prestataire de Détection d'Incidents de Sécurité) par l'ANSSI, gage d'exigence.
SOC opéré en France ou UE
Souveraineté des données et conformité RGPD/NIS2. Vérifier la localisation physique des analystes.
Couverture 24/7/365 réelle
Méfiance vis-à-vis du « 24/7 best effort » avec un seul analyste de garde la nuit.
Engagements de service (SLA)
MTTD, MTTR contractuels, pénalités en cas de manquement.
Capacité de réponse à incident (CSIRT)
Équipe DFIR dédiée mobilisable en moins de 4 h, retainer inclus ou optionnel.
Technologies utilisées
SIEM (Splunk, Sentinel, Elastic), EDR/XDR (CrowdStrike, SentinelOne, Defender), SOAR. Compatibilité avec votre stack.
Reporting et transparence
Portail client, accès aux logs bruts, rapports lisibles pour le COMEX.
Références et taille du SOC
Nombre d'analystes, nombre de clients supervisés, secteurs d'activité similaires au vôtre.
Les 5 erreurs à éviter
Discutons de votre besoin de supervision
15 minutes pour évaluer si un SOC managé ou un MDR est adapté à votre contexte, et identifier les questions clés à poser à vos prestataires. Sans engagement.
Réserver mon échange gratuit