Ce qu’est un SOC et pourquoi il existe
Un SOC — Security Operations Center — est l’équipe chargée de surveiller le système d’information d’une entreprise pour détecter et traiter les menaces de sécurité. Ce n’est pas un produit logiciel. C’est une combinaison de personnes qualifiées, de processus définis et d’outils technologiques.
Le principe est simple : les attaques ne surviennent pas uniquement pendant les heures de bureau. Un ransomware se déploie souvent le vendredi soir ou pendant les vacances, quand personne ne surveille. Un email de phishing cliqué à 14h peut rester invisible jusqu’au lundi suivant si aucun système n’alerte en temps réel.
Le SOC comble cette lacune. Il garantit qu’un analyste — humain — regarde ce qui se passe dans votre réseau et peut intervenir quand quelque chose d’anormal survient.
Selon le rapport IBM Cost of a Data Breach 2024, les entreprises disposant d’un SOC détectent les incidents en moyenne 108 jours plus tôt que celles qui n’en ont pas. Cette différence de temps se traduit directement en argent : le coût moyen d’une fuite détectée en moins de 200 jours est inférieur de 1,02 million de dollars à celui d’une fuite détectée au-delà de ce délai.
Les trois piliers d’un SOC
Les personnes : analystes et ingénieurs
Un SOC repose sur des analystes organisés en niveaux de compétence :
Niveau 1 (L1) — Triage. Les analystes L1 sont en première ligne. Ils reçoivent les alertes du SIEM, de l’EDR et des autres outils de détection. Leur rôle : qualifier chaque alerte en quelques minutes. Est-ce un faux positif (un comportement légitime qui ressemble à une menace) ou une alerte légitime ? Un analyste L1 traite entre 20 et 50 alertes par jour. Environ 90 % sont des faux positifs.
Niveau 2 (L2) — Investigation. Quand une alerte est confirmée comme suspecte, elle remonte au L2. L’analyste L2 investigue en profondeur : il corrèle les données de plusieurs sources (logs réseau, logs endpoint, logs email, Active Directory), reconstitue la chronologie de l’incident et détermine l’étendue de la compromission. Est-ce un poste isolé ou un mouvement latéral en cours ?
Niveau 3 (L3) — Réponse et hunting. Les L3 sont les profils les plus expérimentés. Ils gèrent les incidents majeurs (ransomware en cours de déploiement, exfiltration de données active), coordonnent la réponse, et pratiquent le threat hunting : la recherche proactive de menaces qui auraient échappé aux règles de détection automatiques.
Pour un SOC opérationnel 24/7, il faut au minimum 5 à 8 analystes (pour couvrir les rotations, les congés et les astreintes). C’est la raison pour laquelle un SOC interne est hors de portée de la plupart des PME : le coût salarial seul dépasse 300 000 € par an.
Les processus : comment un incident est traité
Le SOC suit un cycle de traitement structuré pour chaque incident :
- Détection — Un outil remonte une alerte (connexion suspecte, fichier malveillant, email de phishing signalé par un employé)
- Triage — L’analyste L1 qualifie l’alerte en vérifiant le contexte (l’utilisateur concerné, l’heure, l’action détectée)
- Investigation — L’analyste L2 approfondit : quelle est la source, quelle est l’étendue, y a-t-il d’autres signes de compromission ?
- Containment — Isolation de la menace : blocage de l’adresse IP, quarantaine du poste, désactivation du compte compromis
- Éradication — Suppression de la menace : nettoyage du malware, réinitialisation des identifiants, correction de la vulnérabilité exploitée
- Récupération — Restauration des systèmes affectés en état opérationnel
- Post-incident — Analyse de ce qui s’est passé, mise à jour des règles de détection, rapport pour la direction
Ce processus est formalisé dans des playbooks : des procédures documentées pour chaque type d’incident (phishing, ransomware, compte compromis, fuite de données). Les playbooks garantissent une réponse cohérente, même la nuit ou le week-end quand un analyste junior est de garde.
La technologie : les outils du SOC
Le SOC s’appuie sur une pile technologique qui couvre la détection, l’analyse et la réponse :
| Outil | Rôle | Exemple |
|---|---|---|
| SIEM | Collecter et corréler les logs de toutes les sources | Microsoft Sentinel, Splunk, Elastic |
| EDR | Surveiller les endpoints (PC, serveurs) et détecter les comportements suspects | CrowdStrike, SentinelOne, Microsoft Defender for Endpoint |
| XDR | Corréler les données endpoints + réseau + email + cloud en une seule plateforme | Palo Alto Cortex, Microsoft 365 Defender |
| SOAR | Automatiser les réponses (isoler un poste, bloquer une IP, envoyer un ticket) | Splunk SOAR, Palo Alto XSOAR |
| Threat Intelligence | Flux de renseignements sur les menaces actives (indicateurs de compromission, tactiques d’attaque) | MISP, Recorded Future, AlienVault OTX |
| Scanner de vulnérabilités | Identifier les failles avant qu’elles ne soient exploitées | Qualys, Tenable, Rapid7 |
La tendance actuelle est à la convergence : les plateformes XDR intègrent des fonctionnalités de SIEM, d’EDR et de SOAR dans un seul outil. Pour une PME, cette convergence simplifie l’architecture et réduit le nombre de licences à gérer.
Les modèles de SOC pour les PME
Construire un SOC interne complet n’est ni réaliste ni pertinent pour une PME de 50 à 200 salariés. Mais des alternatives existent, adaptées aux budgets et aux besoins des entreprises de cette taille.
SOC interne
Pour qui : grandes entreprises, ETI de plus de 1 000 salariés, secteurs réglementés.
Le SOC interne signifie recruter et gérer sa propre équipe d’analystes, acheter les licences SIEM/EDR, et assurer une couverture 24/7. Le budget de démarrage dépasse 500 000 € la première année (investissement initial + salaires), avec un coût récurrent de 400 000 à 800 000 € par an.
Avantage : contrôle total, connaissance profonde du SI. Inconvénient : coût, difficulté de recrutement (pénurie d’analystes SOC en France), et la charge de maintenir une couverture continue.
SOC externalisé (SOC-as-a-Service)
Pour qui : PME et ETI qui veulent une surveillance professionnelle sans gérer l’équipe en interne.
Un prestataire MSSP (Managed Security Services Provider) fournit l’équipe d’analystes, les outils et la couverture 24/7 ou en heures ouvrées étendues. L’entreprise connecte ses sources de logs (firewall, Active Directory, Microsoft 365, EDR) au SOC du prestataire.
Budget : entre 2 000 et 5 000 €/mois pour une PME de 50 à 200 postes, selon le périmètre et le niveau de couverture.
Plusieurs prestataires français proposent ce service : Orange Cyberdefense, Advens, Sopra Steria, ITrust, et des acteurs spécialisés de taille intermédiaire. Les ESN régionales proposent aussi des offres packagées pour les PME.
Avantage : accès immédiat à une équipe expérimentée, coût prévisible. Inconvénient : dépendance au prestataire, moindre connaissance du contexte métier spécifique.
MDR (Managed Detection and Response)
Pour qui : PME qui veulent une capacité de détection et de réponse sans déployer un SIEM complet.
Le MDR est un service qui combine un outil de détection (EDR ou XDR) avec une équipe d’analystes chez le fournisseur. La différence avec le SOC externalisé : le MDR se concentre sur la détection et la réponse sur les endpoints et le cloud, sans nécessairement ingérer tous les logs du SI.
Budget : entre 2 000 et 5 000 €/mois selon le nombre d’endpoints et le fournisseur.
Avantage : déploiement rapide (semaines, pas mois), couverture 24/7, le fournisseur peut intervenir directement sur les endpoints (isoler un poste, tuer un processus). Inconvénient : couverture limitée à ce que l’agent EDR/XDR voit — pas de visibilité sur les flux réseau ou les applications métier.
Micro-SOC
Pour qui : PME avec un budget serré qui veulent un minimum de surveillance.
Le micro-SOC est un format allégé : un EDR managé sur les postes et serveurs, avec un service de supervision en heures ouvrées. L’analyste du prestataire surveille les alertes critiques et appelle l’entreprise en cas de problème. C’est moins complet qu’un SOC externalisé, mais c’est mieux que rien.
Budget : entre 500 et 1 500 €/mois pour 50 à 200 postes.
Avantage : premier prix pour une capacité de détection managée. Inconvénient : couverture limitée aux heures ouvrées, temps de réaction plus long la nuit et le week-end.
Quel modèle choisir ?
| Critère | SOC interne | SOC externalisé | MDR | Micro-SOC |
|---|---|---|---|---|
| Budget annuel (PME 100 postes) | 500 000 €+ | 24 000 - 60 000 € | 24 000 - 60 000 € | 6 000 - 18 000 € |
| Couverture horaire | 24/7 | 24/7 ou HO+ | 24/7 | Heures ouvrées |
| Délai de déploiement | 6-12 mois | 1-3 mois | 2-4 semaines | 1-2 semaines |
| Profondeur de visibilité | Complète | Large | Endpoints + cloud | Endpoints |
| Capacité de réponse | Complète | Selon contrat | Active (isolation, remédiation) | Alertes + conseil |
Pour une PME française de 50 à 200 salariés, le MDR ou le micro-SOC sont les options les plus réalistes. Le choix dépend du budget, du niveau de risque (secteur d’activité, exposition, exigences réglementaires) et de la maturité IT interne.
SOC et détection du phishing
Le phishing reste le vecteur d’attaque numéro un. Selon le Verizon DBIR 2024, 36 % des compromissions initiales commencent par un email de phishing ou un social engineering. Le SOC joue un rôle direct dans la détection et la réponse à ces attaques.
Ce que le SOC détecte
Un SOC correctement configuré détecte les signaux associés au phishing à plusieurs niveaux :
Avant le clic — Les logs de la passerelle email montrent les emails suspects entrants (domaines récemment créés, pièces jointes avec macro, liens vers des sites de phishing connus). Le SIEM corrèle ces données avec des flux de threat intelligence.
Après le clic — C’est là que le SOC apporte le plus de valeur. Quand un employé clique sur un lien de phishing :
- L’EDR détecte le téléchargement ou l’exécution d’un fichier suspect sur le poste
- Le SIEM voit la connexion vers un domaine malveillant dans les logs du proxy ou du DNS
- Si l’attaquant vole des identifiants, le SIEM détecte la connexion anormale (horaire inhabituel, géolocalisation impossible, tentative d’accès à des ressources sensibles)
Mouvement latéral — Si l’attaquant utilise les identifiants volés pour se déplacer dans le réseau, le SOC détecte les anomalies dans Active Directory (élévation de privilèges, accès à des partages inhabituels, création de comptes).
SOC et simulation de phishing
Les simulations de phishing et le SOC se renforcent mutuellement. Les simulations entraînent les employés à signaler les emails suspects — et ces signalements alimentent le SOC. Plus les employés signalent, plus le SOC a de visibilité sur les tentatives de phishing réelles qui passent les filtres.
Un processus efficace :
- L’employé reçoit un email suspect et le signale via un bouton dédié (plugin email)
- Le signalement crée un ticket dans le SOC
- L’analyste vérifie : est-ce un email de simulation interne, un email commercial légitime, ou un vrai phishing ?
- Si c’est un vrai phishing, l’analyste déclenche le playbook de réponse : blocage du domaine, recherche d’autres employés ayant reçu le même email, vérification que personne n’a cliqué
Comment évaluer si vous avez besoin d’un SOC
Toute entreprise a besoin d’une capacité de détection. La question n’est pas “est-ce que j’ai besoin d’un SOC ?” mais “quel niveau de surveillance est adapté à mon risque ?”.
Signes que vous avez besoin de plus qu’un antivirus
- Vous avez plus de 50 postes et des données sensibles (données clients, propriété intellectuelle, données financières)
- Votre contrat de cyberassurance exige une capacité de détection et de réponse
- Vous êtes dans un secteur visé par NIS2 (énergie, santé, transport, infrastructure numérique, services numériques)
- Vous avez déjà subi un incident de sécurité ou un email de spear-phishing ciblé
- Vos employés utilisent Microsoft 365 ou Google Workspace — et un compte compromis donne accès à l’ensemble des données partagées
Les étapes pour démarrer
- Inventoriez vos assets : combien de postes, serveurs, applications cloud, utilisateurs ?
- Évaluez votre risque : quel serait l’impact d’un ransomware sur votre activité (arrêt d’exploitation, perte de données, notification CNIL) ?
- Déployez un EDR managé : c’est la première brique, celle qui donne une visibilité sur les endpoints
- Connectez vos logs critiques : Active Directory, passerelle email, Microsoft 365 — ces trois sources couvrent 80 % des vecteurs d’attaque courants
- Choisissez un prestataire : comparez les offres de micro-SOC et MDR sur le marché français, demandez des références dans votre secteur
Testez la sécurité email de votre domaine avec notre vérificateur de sécurité email — une configuration email (SPF, DKIM, DMARC) correcte réduit le volume d’emails malveillants qui atteignent vos employés, et donc le nombre d’alertes que votre SOC doit traiter.
L’ANSSI publie régulièrement des guides sur la mise en place de capacités de détection adaptées aux organisations de toutes tailles. Le référentiel PRIS (Prestataires de Réponse aux Incidents de Sécurité) liste les prestataires qualifiés pour la réponse à incident en France.
Questions fréquentes
C'est quoi un SOC en cybersécurité ?
Un SOC (Security Operations Center) est le centre névralgique de la sécurité informatique d'une entreprise. C'est une équipe d'analystes qui surveillent en permanence les systèmes, détectent les activités suspectes (tentatives de phishing, malware, accès anormaux) et interviennent pour contenir les incidents avant qu'ils ne causent des dégâts. Le SOC s'appuie sur des outils comme un SIEM et un EDR pour collecter et analyser les données de sécurité.
Un SOC est-il nécessaire pour une PME ?
Une PME n'a pas besoin de construire un SOC interne complet (coût : 500 000 € et plus par an). Mais elle a besoin d'une capacité de détection et de réponse. Les options adaptées existent : un SOC externalisé (SOC-as-a-service) entre 500 et 2 000 €/mois, un service MDR (Managed Detection and Response) entre 2 000 et 5 000 €/mois pour un service complet, ou un micro-SOC combinant un EDR managé et quelques règles de détection ciblées.
Quelle est la différence entre SOC et SIEM ?
Le SIEM est un outil technologique qui collecte et corrèle les logs de sécurité. Le SOC est l'équipe et l'organisation qui utilisent le SIEM (parmi d'autres outils comme l'EDR, le scanner de vulnérabilités, le threat intelligence) pour surveiller, détecter et répondre aux incidents. Un SIEM sans SOC produit des alertes que personne n'analyse. Un SOC sans SIEM manque de visibilité.
Combien coûte un SOC externalisé ?
Sur le marché français, comptez entre 500 et 1 500 €/mois pour un micro-SOC (EDR managé + alertes de base), entre 2 000 et 5 000 €/mois pour un SOC externalisé complet avec analystes dédiés pour une PME de 50 à 200 postes. Un SOC interne revient à 500 000 € minimum par an (salaires, outils, astreintes), ce qui le rend hors de portée de la majorité des PME.
Que fait un analyste SOC au quotidien ?
Un analyste SOC trie les alertes remontées par le SIEM et l'EDR (90 % sont des faux positifs qu'il faut éliminer), investigue les alertes suspectes en corrélant les données, escalade les incidents confirmés vers le niveau supérieur, ajuste les règles de détection pour réduire le bruit, et produit des rapports d'activité. Les analystes L1 trient, les L2 investiguent en profondeur, les L3 gèrent les incidents majeurs et font du threat hunting.