Pourquoi les PME ont besoin du MDR
Une PME de 100 personnes fait face aux mêmes menaces qu’un grand groupe : ransomware, phishing ciblé, compromission de comptes, exfiltration de données. La différence : elle n’a ni les mêmes ressources ni les mêmes équipes pour s’en protéger.
Le problème de la détection sans réponse
La plupart des PME ont déjà un antivirus. Beaucoup ont déployé un EDR. Certaines ont même un pare-feu nouvelle génération. Ces outils génèrent des alertes — parfois des centaines par semaine. Mais qui les lit ? Qui investigue ? Qui agit à 3 heures du matin quand un ransomware se déploie ?
Selon Gartner, 50 % des entreprises n’ont pas les ressources internes pour exploiter efficacement leurs outils de sécurité. Les alertes sont ignorées, les incidents détectés trop tard, et les réponses arrivent après que le dommage est fait.
Le coût prohibitif d’un SOC interne
Construire un SOC (Security Operations Center) interne capable de fonctionner 24h/24 exige au minimum :
- 5 à 6 analystes en rotation (pour couvrir nuits, week-ends et congés) : 250 000 à 350 000 € par an en masse salariale
- Un SIEM avec licences, stockage de logs et maintenance : 50 000 à 150 000 € par an
- Formation continue (les menaces évoluent chaque semaine) : 20 000 à 40 000 € par an
- Recrutement dans un marché où 3,5 millions de postes en cybersécurité sont vacants dans le monde selon l’(ISC)² Cybersecurity Workforce Study 2024
Total : 500 000 euros par an minimum, pour une capacité de détection qui dépend entièrement de la qualité des analystes recrutés. Pour une PME de 100 personnes, c’est un budget irréaliste.
Le MDR comme SOC externalisé
Le MDR résout cette équation. Au lieu de construire votre propre centre opérationnel, vous déléguez la détection, l’investigation et la réponse à un prestataire spécialisé qui mutualise ses équipes et sa technologie entre des dizaines ou des centaines de clients. Vous bénéficiez d’une surveillance 24h/24 avec des analystes expérimentés pour un coût 5 à 10 fois inférieur à un SOC interne.
Comment fonctionne un service MDR
Phase 1 : déploiement technologique
Le prestataire MDR déploie ses agents sur votre infrastructure :
- Agent EDR/XDR sur chaque poste de travail et serveur : collecte de télémétrie (processus, fichiers, connexions réseau, modifications système)
- Connecteurs cloud : intégration avec Microsoft 365, Google Workspace, Entra ID, AWS ou Azure pour surveiller les connexions, les partages de fichiers et les activités anormales
- Connecteurs réseau (selon le périmètre) : intégration avec le pare-feu ou les flux réseau pour la visibilité sur le trafic
Le déploiement prend généralement 1 à 2 semaines. Les agents sont légers et n’impactent pas les performances des postes.
Phase 2 : calibrage et baseline
Pendant les 2 à 4 premières semaines, le prestataire établit la baseline de votre environnement : quels sont les comportements normaux, quels outils sont utilisés, quels flux réseau sont attendus. Cette phase réduit les faux positifs et permet aux analystes de se concentrer sur les vraies anomalies.
Phase 3 : surveillance continue
L’équipe SOC du prestataire surveille votre infrastructure en temps réel, 24h/24 et 7j/7. Trois activités en parallèle :
Triage des alertes : les outils génèrent des alertes brutes. Les analystes les filtrent, les contextualisent et les classent par niveau de criticité. Une alerte de connexion inhabituelle à 9h un lundi est traitée différemment d’une connexion identique à 3h un dimanche.
Investigation : quand une alerte mérite une attention approfondie, l’analyste reconstitue la chronologie de l’événement. D’où vient la menace ? Quels systèmes sont touchés ? La compromission est-elle confirmée ou s’agit-il d’un faux positif ? Cette investigation prendrait des heures à un responsable IT généraliste — un analyste SOC spécialisé la mène en minutes.
Threat hunting : les analystes ne se contentent pas d’attendre les alertes. Ils recherchent proactivement des indicateurs de compromission (IoC) dans votre télémétrie — traces de techniques d’attaque connues, communications vers des domaines suspects, comportements anormaux qui n’ont pas déclenché d’alerte automatique.
Phase 4 : réponse et confinement
Quand une menace est confirmée, le prestataire MDR agit directement :
- Isolation du poste compromis : le poste est déconnecté du réseau en quelques secondes, mais reste allumé pour l’analyse forensique
- Blocage du compte : si des identifiants sont compromis, le compte est désactivé et les sessions actives révoquées
- Purge email : si l’attaque est arrivée par phishing, l’email malveillant est supprimé de toutes les boîtes de réception, pas seulement celle de l’utilisateur ciblé
- Communication : vous êtes notifié avec un rapport d’incident détaillé — ce qui s’est passé, quels systèmes sont touchés, quelles actions ont été prises, quelles actions restent à mener de votre côté
Le niveau d’autonomie du prestataire dans la réponse est défini contractuellement. Certaines entreprises accordent une autorité de confinement totale : le prestataire isole sans demander la permission. D’autres exigent une validation préalable pour les actions à fort impact (isolation d’un serveur de production, désactivation d’un compte admin). Le premier modèle est plus rapide — chaque minute compte lors d’un ransomware en cours de déploiement.
MDR vs MSSP vs SOC interne
| Critère | MSSP | MDR | SOC interne |
|---|---|---|---|
| Rôle principal | Surveillance + alertes | Détection + investigation + réponse | Tout (personnalisé) |
| Réponse aux incidents | Non (alerte seulement) | Oui (confinement actif) | Oui |
| Threat hunting | Rarement | Oui, proactif | Dépend des ressources |
| Couverture horaire | 24/7 | 24/7 | 24/7 (si 5-6 analystes) |
| Technologie | Votre SIEM/EDR existant | EDR/XDR du prestataire | SIEM + EDR + outils custom |
| Temps de réponse | Heures (notification) | Minutes (confinement) | Minutes (si équipe présente) |
| Personnalisation | Élevée | Moyenne | Totale |
| Coût mensuel (100 endpoints) | 1 000 - 3 000 € | 1 500 - 4 000 € | 40 000+ € |
| Adapté aux PME | Moyen | Oui | Non (budget) |
Quand choisir quoi
MSSP : vous avez déjà des outils de sécurité (SIEM, EDR) et une petite équipe interne capable d’investiguer les alertes. Vous avez besoin d’une surveillance 24/7 pour compléter vos heures ouvrées, pas d’une réponse externalisée.
MDR : vous n’avez pas d’analyste sécurité dédié. Vous voulez une détection et une réponse complètes, pas seulement des alertes. C’est le choix recommandé pour les PME de 50 à 500 personnes.
SOC interne : vous êtes une grande entreprise ou un secteur réglementé qui exige un contrôle total sur les opérations de sécurité. Même dans ce cas, un MDR peut compléter le SOC interne pour la couverture nocturne ou des compétences spécialisées (analyse de malware, threat intelligence).
MDR et réponse aux incidents de phishing
Le phishing est le cas d’usage où le MDR démontre le plus sa valeur pour une PME. Voici comment un prestataire MDR traite un incident de phishing du début à la fin.
Scénario : un employé saisit ses identifiants sur un faux site Microsoft 365
T+0 min — L’employé reçoit un email imitant une notification Microsoft (“Votre session expire, reconnectez-vous”). Il clique sur le lien et saisit son adresse email et son mot de passe sur un faux portail.
T+2 min — La plateforme XDR du prestataire MDR détecte deux signaux :
- Côté email : le lien pointe vers un domaine enregistré il y a 48 heures, hébergé sur une infrastructure connue pour le phishing
- Côté identité : une connexion au compte Microsoft 365 de l’employé depuis une IP située dans un pays où l’entreprise n’a aucune activité
T+5 min — L’analyste MDR de garde confirme la compromission. Il déclenche la réponse :
- Révocation de toutes les sessions actives du compte
- Réinitialisation forcée du mot de passe
- Purge de l’email malveillant de toutes les boîtes de réception de l’entreprise
- Vérification des règles de transfert email (les attaquants créent souvent une règle qui redirige tous les emails entrants vers une adresse externe)
- Analyse rétroactive : d’autres utilisateurs ont-ils reçu le même email ? Certains ont-ils cliqué ?
T+15 min — Le responsable IT reçoit un rapport avec la chronologie complète, les actions prises et les recommandations (activer le MFA sur ce compte si ce n’est pas déjà fait, sensibiliser l’employé).
Sans MDR, ce scénario se termine différemment. L’employé ne signale pas l’incident. L’attaquant accède au compte pendant des heures ou des jours, lit les emails, télécharge des fichiers sensibles, envoie des emails de spear-phishing aux collègues depuis le compte compromis. La compromission est découverte quand un client signale un email suspect — trois semaines plus tard.
Choisir un fournisseur MDR : critères pour le marché français
1. Temps de réponse (SLA)
Le SLA de réponse est le critère le plus mesurable. Exigez des engagements précis :
- Incidents critiques (ransomware actif, compromission confirmée) : réponse en moins de 15 à 30 minutes
- Incidents élevés (tentative de phishing avec clic, connexion suspecte) : réponse en moins d’1 heure
- Incidents moyens (alerte nécessitant une investigation) : réponse en moins de 4 heures
Demandez les métriques réelles, pas les engagements contractuels : quel est le MTTR (Mean Time To Respond) moyen constaté ?
2. Résidence des données
Pour une entreprise française soumise au RGPD, la localisation des données de télémétrie est un sujet. Vérifiez :
- Où sont stockées les données de télémétrie (logs, événements) ? Serveurs en France ou en Europe ?
- Qui accède à vos données ? Les analystes sont-ils basés en Europe ?
- Le prestataire est-il soumis au Cloud Act américain (si maison mère US) ?
Les prestataires français ou européens (Sekoia, Advens, I-TRACING, Orange Cyberdefense) offrent une résidence de données en France par défaut. Les éditeurs américains (CrowdStrike, SentinelOne, Arctic Wolf) ont des régions européennes mais vérifiez les conditions contractuelles.
3. Couverture technologique
Quelles sources le MDR surveille-t-il ?
- Endpoints : couverture minimale attendue. Vérifiez la compatibilité OS (Windows, macOS, Linux, mobile)
- Email : intégration avec Microsoft 365 ou Google Workspace pour la détection de phishing
- Cloud : surveillance des connexions SaaS, partages de fichiers, activités anormales
- Identités : Active Directory, Entra ID pour la détection de compromission de comptes
Un MDR qui ne couvre que les endpoints manque la moitié de la surface d’attaque.
4. Autorité de confinement
Définissez clairement ce que le prestataire peut faire sans demander votre accord :
- Isoler un poste : oui / non
- Désactiver un compte utilisateur : oui / non
- Bloquer une IP ou un domaine : oui / non
- Purger des emails : oui / non
Plus l’autorité est large, plus la réponse est rapide. Mais certaines actions (désactivation d’un compte admin, isolation d’un serveur de production) méritent une validation. Trouvez le bon équilibre avec votre prestataire.
5. Qualité du reporting
Les rapports d’incident doivent être exploitables, pas techniques pour le plaisir. Vérifiez :
- Rapports d’incident : chronologie claire, actions prises, recommandations concrètes
- Rapports mensuels : synthèse des incidents, tendances, posture de sécurité, recommandations d’amélioration
- Rapports exécutifs : version lisible par la direction, sans jargon technique
Coûts et retour sur investissement
Grille tarifaire indicative (marché français, 2026)
| Périmètre | Coût par endpoint/mois | Pour 100 endpoints |
|---|---|---|
| Endpoints uniquement | 15 - 25 € | 1 500 - 2 500 € |
| Endpoints + email | 25 - 35 € | 2 500 - 3 500 € |
| Endpoints + email + cloud + identités | 35 - 50 € | 3 500 - 5 000 € |
Certains prestataires facturent un forfait mensuel plutôt qu’un prix par endpoint, surtout pour les petites structures (moins de 50 postes).
Calcul du ROI
Le calcul est simple : comparez le coût du MDR au coût d’un incident. Selon IBM Cost of a Data Breach 2024, le coût moyen d’une compromission de données en France est de 4,3 millions d’euros pour les grandes entreprises. Pour une PME, les chiffres documentés tournent autour de 50 000 à 200 000 euros par incident de ransomware (rançon + perte d’exploitation + remédiation).
Un MDR à 3 000 euros par mois coûte 36 000 euros par an. Un seul incident de ransomware évité ou contenu rapidement rembourse plusieurs années de service.
Effet sur l’assurance cyber
De plus en plus d’assureurs cyber exigent des preuves de capacités de détection et de réponse pour proposer une couverture. Un contrat MDR actif peut réduire votre prime d’assurance cyber de 10 à 25 % selon les assureurs — et constitue souvent une condition préalable à la souscription.
Préparer le terrain avant un MDR
Un service MDR est plus efficace quand les fondations de sécurité sont en place :
- SPF, DKIM, DMARC en mode reject — réduisez le volume de spoofing et de phishing qui atteint les boîtes de réception avant même que le MDR n’intervienne
- MFA activé sur tous les comptes — un mot de passe volé via phishing ne suffit plus pour accéder au compte
- Un EDR déployé sur tous les postes — le MDR s’appuie sur la télémétrie de l’EDR pour fonctionner
- Des simulations de phishing régulières — les employés entraînés signalent plus vite les emails suspects, ce qui donne au MDR un signal supplémentaire
Testez la sécurité email de votre domaine avec le vérificateur de sécurité email — résultat en 30 secondes, aucun compte requis.
Pour comprendre la technologie sur laquelle s’appuient les services MDR modernes, consultez notre page sur le XDR (Extended Detection and Response).
Questions fréquentes
C'est quoi le MDR ?
Le MDR (Managed Detection and Response) est un service externalisé de détection et de réponse aux cybermenaces. Un prestataire MDR déploie des outils de sécurité (EDR ou XDR) sur votre infrastructure et met à disposition une équipe d'analystes qui surveille vos systèmes 24h/24, investigue les alertes et prend des mesures de confinement si une menace est détectée — sans que vous ayez besoin d'un SOC interne.
Quelle est la différence entre MDR et MSSP ?
Un MSSP (Managed Security Services Provider) surveille vos systèmes et vous envoie des alertes. Vous restez responsable de l'investigation et de la réponse. Un MDR va plus loin : il surveille, investigue les alertes, effectue du threat hunting proactif et prend des actions de confinement directement (isolation d'un poste, blocage d'un compte). Le MDR agit comme un SOC externalisé avec réponse active.
Combien coûte un MDR pour une PME ?
Sur le marché français en 2026, comptez entre 15 et 40 euros par endpoint par mois selon le périmètre de couverture. Pour une PME de 100 postes, cela représente 1 500 à 4 000 euros par mois. Le coût varie selon le niveau de service (24/7 ou heures ouvrées), les sources couvertes (endpoints seuls ou endpoints + email + cloud) et l'autorité de confinement accordée au prestataire.
Le MDR remplace-t-il un SOC interne ?
Pour la très grande majorité des PME, oui. Un SOC interne coûte au minimum 500 000 euros par an (5-6 analystes en rotation 24/7 + licences SIEM + formation continue). Le MDR offre une couverture équivalente pour une fraction de ce budget. Les grandes entreprises conservent un SOC interne mais l'augmentent souvent avec un MDR pour la couverture nocturne ou les compétences spécialisées.
Quels critères pour choisir un fournisseur MDR ?
Les cinq critères prioritaires : le SLA de temps de réponse (exigez moins de 30 minutes pour les incidents critiques), la résidence des données en France ou en Europe (conformité RGPD), la couverture horaire (24/7 réelle ou heures ouvrées), l'autorité de confinement (le prestataire peut-il isoler un poste sans attendre votre validation ?), et la qualité des rapports d'incident post-mortem.