Le choix entre SOC interne ou externe pour une ETI ne se résume pas au coût, mais à la définition de l’autorité et de la vitesse de remédiation en cas d’attaque.
- Le modèle choisi (interne/externe) impacte directement la boucle de remédiation, c’est-à-dire votre capacité à contenir et corriger une faille rapidement.
- Un prestataire externe apporte un « effet de réseau » : sa vision de menaces sur des centaines de clients permet une détection proactive que peu d’ETI peuvent s’offrir.
Recommandation : Auditez votre capacité de réponse actuelle (qui a l’autorité pour isoler un serveur ?) pour définir le modèle de SOC qui comblera réellement vos lacunes opérationnelles, au-delà des tableaux de coûts.
En tant que DSI d’une ETI, la professionnalisation de votre cybersécurité n’est plus une option. La question n’est plus « faut-il surveiller ? » mais « comment surveiller efficacement, 24/7 ? ». Naturellement, le dilemme du Security Operations Center (SOC) se pose : faut-il bâtir une équipe en interne ou confier cette tour de contrôle à un prestataire spécialisé ? Le débat se cristallise souvent autour de deux axes : le coût et la disponibilité des compétences. On vous dira que l’interne offre le contrôle mais coûte cher, tandis que l’externe mutualise les coûts mais implique une perte de maîtrise.
Ces arguments, bien que justes, restent en surface. Ils masquent la question opérationnelle fondamentale qui devrait guider votre décision. La véritable différence entre un SOC interne et un SOC externe ne réside pas seulement dans le modèle économique, mais dans la dynamique de la réponse à incident. Qui a l’autorité pour isoler un serveur compromis à 3 heures du matin ? À quelle vitesse une configuration dangereuse est-elle corrigée ? Comment passez-vous de la détection d’une anomalie à sa remédiation concrète ?
Cet article propose de dépasser la simple comparaison de coûts pour analyser ce choix stratégique sous un angle opérationnel. Nous allons décortiquer, point technique par point technique, comment chaque modèle impacte votre agilité, votre autorité et, in fine, votre capacité réelle à vous défendre. L’objectif est de vous donner les clés pour définir la matrice de responsabilité qui correspond à votre culture d’entreprise et à votre niveau de maturité.
Pour naviguer cette décision complexe, nous allons examiner les implications pratiques de chaque modèle sur les piliers de votre défense. Ce guide vous aidera à comprendre quel type de SOC répondra le mieux à vos enjeux opérationnels spécifiques.
Sommaire : SOC pour ETI : le guide opérationnel pour choisir entre interne et externe
- Gestion des logs : comment détecter une aiguille dans une botte de foin de 1 million d’événements ?
- Segmentation réseau : comment empêcher un virus de se propager du PC comptable au serveur de production ?
- Hardening des OS : quelles configurations par défaut devez-vous absolument désactiver ?
- Pentest régulier vs Scan automatisé : quelle stratégie pour identifier vos failles ?
- Antivirus vs EDR : pourquoi l’antivirus classique est aveugle face aux menaces modernes ?
- Pourquoi l’authentification forte est non négociable pour les comptes administrateurs ?
- Emails sortants : comment détecter et bloquer l’envoi de pièces jointes « Confidentiel » ?
- Data Loss Prevention (DLP) : comment empêcher un commercial démissionnaire de partir avec le fichier client ?
Gestion des logs : comment détecter une aiguille dans une botte de foin de 1 million d’événements ?
La base de toute détection est la collecte et l’analyse des logs. Pour une ETI, cela représente des millions, voire des milliards d’événements par jour. La première question est donc économique et technologique. Monter un SOC interne implique un investissement initial lourd en infrastructure (SIEM) et en personnel. Une analyse des coûts pour une ETI de 1000 endpoints estime qu’un SOC interne peut coûter 330 000 € par an, contre une fourchette de 150 000 € à 220 000 € pour un service externalisé. Cette différence s’explique par la mutualisation des ressources humaines et technologiques.
Mais le coût n’est que la partie visible de l’iceberg. Le choix technologique sous-jacent est déterminant. Un SIEM traditionnel en interne est souvent limité en capacité de corrélation avancée, alors que les prestataires de SOC modernes s’appuient sur des « Security Data Lakes » et des briques d’IA pour une détection plus fine. La question n’est plus seulement de stocker les logs, mais d’avoir la puissance de calcul pour y déceler des schémas d’attaque complexes.
Ce tableau comparatif illustre bien les différences de modèle au-delà du simple coût facial :
| Critère | SOC Interne (SIEM traditionnel) | SOC Externe (Security Data Lake) |
|---|---|---|
| Modèle de coûts | CAPEX lourd (matériel, licences) | OPEX pay-as-you-go |
| Coût humain annuel (3 ETP 24/7) | ~280 000 € | Mutualisé dans l’abonnement |
| Licences et outils (SIEM, EDR, SOAR) | ~50 000 € par an | Inclus dans le service |
| Technologies IA/corrélation avancée | Limitées aux capacités SIEM | Data Lakes avec IA intégrée |
| Souveraineté des données | Contrôle total | Dépend du prestataire (Cloud Act) |
Le choix initial de la gestion des logs conditionne donc toute votre capacité de détection. Un SOC interne vous donne un contrôle total sur les données, mais avec des capacités d’analyse potentiellement limitées par votre budget. Un SOC externe vous offre une puissance de détection de pointe, mais nécessite une confiance et un cadre contractuel solides concernant la souveraineté de vos données.
Segmentation réseau : comment empêcher un virus de se propager du PC comptable au serveur de production ?
La segmentation réseau est votre première ligne de défense pour contenir une attaque. Si un poste est compromis, il est vital de l’isoler pour empêcher l’attaquant de se déplacer latéralement vers des actifs critiques. Mais en cas d’alerte à 3h du matin, qui appuie sur le bouton « isoler » ? C’est là que le modèle de SOC prend tout son sens. Dans un SOC interne, la chaîne de communication peut être très courte. L’analyste de garde, après validation, peut contacter directement l’admin réseau d’astreinte pour isoler le VLAN concerné. L’agilité est potentiellement maximale.
Avec un SOC externe, le processus est formalisé par un playbook de réponse à incident. C’est un scénario d’actions pré-défini. Selon la maturité de votre organisation et le niveau de confiance avec le prestataire, ce playbook peut varier. Au niveau le plus simple, le SOC externe alerte votre équipe interne qui se charge de la remédiation. Au niveau le plus avancé, grâce à des outils de SOAR (Security Orchestration, Automation and Response), le SOC externe peut avoir l’autorisation de déclencher automatiquement, via des API, l’isolation du poste ou du segment réseau. Cela permet un confinement quasi-instantané, bien plus rapide qu’une intervention humaine.
La vraie question à vous poser en tant que DSI n’est donc pas « ma technologie permet-elle la segmentation ? », mais « qui détient l’autorité d’isolation et en combien de temps peut-elle être exercée ? ». Un prestataire externe avec des capacités SOAR peut être plus rapide qu’une équipe interne peu réactive ou limitée par des processus bureaucratiques. Ce point doit être un élément central de votre matrice de responsabilité contractuelle.
Hardening des OS : quelles configurations par défaut devez-vous absolument désactiver ?
Le « hardening » ou durcissement de vos systèmes d’exploitation est un travail de fond. Il s’agit de désactiver les services inutiles, de changer les mots de passe par défaut et d’appliquer des configurations sécurisées pour réduire la surface d’attaque. Mais la sécurité n’est pas un état, c’est un processus. Une configuration peut dériver suite à une mise à jour ou une intervention humaine. La question est : qui surveille ces déviations et à quelle vitesse sont-elles corrigées ? C’est ce que l’on appelle la boucle de remédiation.
Dans un SOC interne, la boucle peut être très courte. L’équipe SOC, qui connaît parfaitement le parc, peut développer des « baselines » de configuration ultra-personnalisées pour les serveurs critiques. À la moindre alerte de déviation, l’analyste peut directement interagir avec l’équipe système pour une correction immédiate. L’inconvénient est que cette expertise est souvent concentrée sur une petite équipe, avec un risque de perte de connaissance et des difficultés à se maintenir à jour sur l’état de l’art.
Un SOC externe, lui, apporte une expertise mutualisée. Il a vu des milliers de configurations et bénéficie d’une connaissance des menaces constamment mise à jour. Il appliquera des standards de hardening robustes, enrichis par l’expérience de multiples clients. Cependant, la boucle de remédiation est plus formelle : elle passe par un système de ticketing avec des SLA (Service Level Agreements). La correction n’est pas immédiate mais contractuellement garantie dans un certain délai. L’agilité est moindre, mais le processus est plus structuré et auditable.
Votre plan d’action : auditer votre boucle de remédiation
- Points de contact : Listez tous les canaux de communication entre vos équipes de détection (SOC) et vos équipes d’opération (Système, Réseau). Sont-ils formels (ticketing) ou informels (téléphone, chat) ?
- Collecte des configurations : Inventoriez vos configurations actuelles. Avez-vous des « golden images » ou des baselines de sécurité documentées pour vos OS critiques (Windows Server, Linux) ?
- Cohérence : Confrontez vos configurations actuelles à des référentiels reconnus (ex: CIS Benchmarks). Identifiez les écarts les plus critiques à corriger en priorité.
- Agilité vs. Processus : Évaluez le temps moyen actuel entre la détection d’une mauvaise configuration et sa correction. Est-il acceptable ? Un processus plus formel (SLA) serait-il un progrès ou un frein ?
- Plan d’intégration : Quel que soit le modèle (interne/externe), définissez la matrice de responsabilité : qui est responsable de la mise à jour des baselines ? Qui est responsable de l’application des correctifs ?
Le choix dépend de votre culture : préférez-vous l’agilité et la connaissance intime de l’interne, au risque de dépendre de quelques personnes clés, ou la robustesse et l’expertise mutualisée de l’externe, avec une boucle de remédiation plus formalisée ?
Pentest régulier vs Scan automatisé : quelle stratégie pour identifier vos failles ?
Pour identifier vos failles, deux approches s’offrent à vous : le scan de vulnérabilités automatisé, qui recherche des failles connues, et le pentest (test d’intrusion), où un expert tente d’exploiter les failles de manière créative. Un SOC a pour mission d’utiliser les résultats de ces activités pour améliorer la détection. Mais là encore, la maturité du SOC, qu’il soit interne ou externe, change radicalement la donne.
Un SOC de premier niveau, qu’il soit interne ou externe, se contentera souvent d’intégrer les rapports de scans automatisés. Il vérifiera que les vulnérabilités critiques détectées sont bien corrigées et mettra en place des règles de détection pour les signatures d’attaques correspondantes. C’est la base, mais c’est une approche purement réactive. On attend de connaître une faille pour apprendre à la détecter.
Un SOC mature adopte une posture radicalement différente : le Threat Hunting, ou la chasse aux menaces. Comme le souligne une analyse de l’externalisation de la cybersécurité, un SOC mature ne se contente pas de détecter des failles connues, il « chasse » activement les comportements suspects basés sur de la Threat Intelligence, pour trouver des attaques inconnues. Au lieu de chercher une signature de virus, un « threat hunter » cherchera une exécution anormale de PowerShell sur le poste d’un comptable, même si aucun antivirus ne s’est déclenché. C’est une activité pro-active, basée sur l’hypothèse que vous êtes déjà compromis.
Cette compétence de Threat Hunting est rare et chère. Pour une ETI, il est souvent plus réaliste d’accéder à cette expertise via un prestataire externe qui peut la mutualiser sur plusieurs clients, plutôt que d’essayer de recruter et de retenir un tel profil en interne. C’est un des avantages les plus tangibles de l’externalisation vers un fournisseur de services de sécurité managés (MSSP) de haut niveau.
Antivirus vs EDR : pourquoi l’antivirus classique est aveugle face aux menaces modernes ?
L’antivirus traditionnel, basé sur la reconnaissance de signatures de logiciels malveillants connus, est aujourd’hui obsolète. Les attaquants modernes utilisent des techniques « fileless » (sans fichier) ou polymorphes qui le rendent complètement aveugle. La nouvelle génération de protection des postes de travail est l’EDR (Endpoint Detection and Response). L’EDR ne cherche pas des fichiers malveillants, il surveille les comportements : un processus Word qui lance une commande PowerShell, une connexion suspecte vers un serveur inconnu, etc.
Mais déployer un EDR n’est que la moitié du chemin. L’EDR est un outil extrêmement bavard qui génère un grand nombre d’alertes. La vraie question est : qui va analyser, trier et investiguer ces alertes 24/7 ?
Déployer un EDR sans personne pour traiter les alertes, c’est installer une alarme incendie que personne n’entend.
– Guardia Cybersecurity School, Guide EDR, XDR et antivirus 2026
C’est ici qu’apparaît le concept de MDR (Managed Detection and Response). Le MDR est un service (souvent proposé par des SOC externes) qui consiste à prendre en charge la gestion de votre EDR. Des analystes experts surveillent les alertes à votre place, filtrent le bruit (la « fatigue d’alerte »), et ne vous remontent que les incidents confirmés et qualifiés. Pour une ETI sans équipe de sécurité dédiée 24/7, le risque de déployer un EDR en mode « interne » est de se noyer sous les alertes et de finir par toutes les ignorer.
| Critère | EDR Auto-géré (Interne) | MDR Managé (Externe) |
|---|---|---|
| Profil recommandé | ETI avec SOC interne et ressources dédiées | PME/ETI sans équipe sécurité 24/7 |
| Solutions adaptées | CrowdStrike Falcon, SentinelOne | Sophos Intercept X + MDR, Microsoft Defender + Huntress |
| Budget annuel (par endpoint) | 50-120 € + coûts humains | 50-120 € tout inclus |
| Analyse des alertes | Équipe interne requise | Analystes 24/7 inclus |
| Autorité d’isolation | Contrôle total interne | Matrice de responsabilité à définir contractuellement |
| Fatigue d’alerte | Risque élevé sans équipe dédiée | Tri et qualification externalisés |
Pourquoi l’authentification forte est non négociable pour les comptes administrateurs ?
Les comptes administrateurs sont les clés du royaume. Une fois qu’un attaquant obtient ces accès, la partie est souvent terminée. Imposer l’authentification forte (MFA) sur tous les comptes à privilèges n’est donc pas une option, mais une nécessité absolue. Cependant, la surveillance de l’utilisation de ces comptes est tout aussi cruciale. Comment détecter une connexion légitime d’un admin depuis un lieu ou un appareil inhabituel ? Comment différencier une action de maintenance d’une action malveillante ?
C’est là qu’un SOC externe apporte une valeur ajoutée difficilement réplicable en interne pour une ETI : l’effet de réseau. Un prestataire de SOC qui surveille des centaines d’entreprises peut corréler des signaux faibles à grande échelle. Une tentative de connexion suspecte sur un de vos comptes admin, venant d’une adresse IP en Lituanie, pourrait être un simple faux positif. Mais si le SOC externe observe la même adresse IP tenter de se connecter simultanément à 50 autres de ses clients, il ne s’agit plus d’un incident isolé mais du début d’une campagne d’attaque. Il peut alors bloquer cette IP pour tous ses clients et déclencher une investigation proactive.
Cette capacité à contextualiser une menace grâce à une vision globale est un avantage concurrentiel majeur des SOC mutualisés. Une équipe interne, même compétente, n’aura jamais cette largeur de vue. Cet effet de réseau est un des facteurs qui explique la réduction de 40 à 60 % des coûts souvent observée avec l’externalisation : non seulement les ressources sont mutualisées, mais la qualité de la détection est augmentée par la diversité des sources de données.
En externalisant, vous ne payez pas seulement pour des analystes ; vous payez pour l’accès à une intelligence collective qu’il vous serait impossible de construire seul. Pour un DSI d’ETI, c’est un accélérateur de maturité cybersécurité considérable.
Emails sortants : comment détecter et bloquer l’envoi de pièces jointes « Confidentiel » ?
La fuite de données ne vient pas toujours de l’extérieur. Un employé malveillant ou simplement négligent peut être à l’origine d’une exfiltration d’informations sensibles. La surveillance des communications sortantes, notamment des emails, est une composante clé d’une stratégie de DLP (Data Loss Prevention). Le défi est de détecter l’envoi d’un fichier « Confidentiel-Stratégie-2025.xlsx » vers une adresse gmail personnelle, sans pour autant bloquer les échanges légitimes avec les clients et partenaires.
Techniquement, des solutions existent pour classifier les données (en apposant des étiquettes « Public », « Interne », « Confidentiel ») et pour créer des règles bloquant l’envoi de documents classifiés vers des domaines externes non autorisés. Mais qui définit ces règles ? Qui analyse les alertes de contournement ? Un SOC interne, connaissant parfaitement les processus métier, peut créer des politiques DLP très fines et sur mesure. Il saura faire la différence entre l’envoi normal d’un devis par un commercial et une tentative d’exfiltration.
Un SOC externe peut également gérer ces politiques, mais nécessitera une phase de configuration et d’apprentissage approfondie pour comprendre votre contexte métier. La difficulté est de trouver le bon équilibre entre sécurité et fluidité des opérations. Une règle trop stricte peut bloquer des processus légitimes et générer de la frustration, tandis qu’une règle trop lâche ne sert à rien. Le dialogue entre le SOC (qui voit les tentatives d’exfiltration) et les métiers (qui connaissent les besoins de communication) est ici fondamental. Que le SOC soit interne ou externe, cette collaboration est la clé du succès d’un projet DLP.
En fin de compte, la technologie DLP est un filet de sécurité. Son efficacité dépendra de la finesse de sa configuration, qui doit impérativement être le fruit d’une collaboration étroite entre les experts sécurité et les responsables métier, quel que soit le modèle de SOC que vous choisissez.
À retenir
- Le choix entre SOC interne et externe est moins une question de coût que de définition de l’agilité et de l’autorité de réponse à incident.
- L’externalisation permet d’accéder à des compétences rares (Threat Hunting) et à un « effet de réseau » qui améliore la détection proactive.
- Le succès de tout SOC, interne ou externe, repose sur une matrice de responsabilité claire et des playbooks de réponse définis pour chaque type d’incident.
Data Loss Prevention (DLP) : comment empêcher un commercial démissionnaire de partir avec le fichier client ?
Le scénario est un classique redouté : un commercial sur le départ copie le fichier client sur une clé USB ou se l’envoie sur son adresse email personnelle. C’est une fuite de données caractérisée, avec des conséquences potentiellement désastreuses tant sur le plan commercial que réglementaire. Une stratégie de DLP vise précisément à détecter et bloquer ce type de comportement. Cela implique la surveillance de multiples canaux : les transferts vers des périphériques USB (via l’EDR), les envois par email, mais aussi les partages vers des services cloud publics comme WeTransfer ou Dropbox.
Un SOC performant doit pouvoir corréler ces signaux faibles. Une copie de fichier vers une clé USB n’est pas suspecte en soi. Mais si elle est suivie d’un pic d’activité sur le CRM et de l’envoi d’un email avec une pièce jointe volumineuse vers un domaine inconnu, le tout par un utilisateur ayant posé sa démission, l’alerte doit être immédiate.
Cette corrélation est au cœur du métier d’un SOC. Mais la détection ne suffit pas. Si les données exfiltrées sont des données personnelles, le compte à rebours du RGPD est lancé. Conformément à l’article 33 du RGPD, vous disposez de 72 heures maximum après la découverte de la violation pour notifier l’autorité de contrôle compétente (la CNIL en France). Ce délai est extrêmement court. Votre organisation doit donc avoir un playbook de réponse parfaitement rodé qui implique non seulement le SOC, mais aussi votre Délégué à la Protection des Données (DPO) et votre direction juridique.
Que votre SOC soit interne ou externe, il doit être capable de fournir rapidement au DPO toutes les informations nécessaires pour qualifier l’incident : la nature de la violation, les catégories de données concernées, le nombre de personnes affectées, etc. La capacité de votre prestataire à s’intégrer dans cette procédure de gestion de crise est un critère de choix aussi important que ses capacités de détection technique.
En définitive, le choix entre un SOC interne et externe n’est pas binaire. Il s’agit d’une décision stratégique qui doit être alignée avec votre maturité, vos ressources et votre culture du risque. Pour une ETI, l’évaluation doit se concentrer sur la capacité de chaque modèle à fournir une remédiation rapide et efficace. L’étape suivante consiste à cartographier vos processus de réponse actuels et à identifier où un partenaire externe pourrait apporter une valeur opérationnelle maximale.