Glossaire SOC & MDR
Définitions des termes clés pour comprendre les services SOC, MDR et la réglementation cyber.
SOC (Security Operations Center)
Centre opérationnel de sécurité chargé de surveiller, détecter et répondre aux incidents de cybersécurité en temps réel. Peut être interne (CSOC), externalisé (SOC-as-a-Service) ou hybride. Un SOC externalisé mutualisé permet aux PME d'accéder à cette capacité sans construire une équipe interne.
MDR (Managed Detection and Response)
Service managé de détection et de réponse aux menaces, centré sur les endpoints et le réseau. Contrairement au SOC, le MDR inclut une capacité de réponse active (isolation de postes, blocage de processus) sans nécessiter de validation manuelle systématique. Des distributeurs comme Resilium proposent des offres MDR packagées pour PME via SentinelOne ou Guardz.
SIEM (Security Information and Event Management)
Plateforme de centralisation et d'analyse des logs et événements de sécurité d'un SI. Le SIEM est le cerveau du SOC : il agrège les données de toutes les sources (endpoints, réseau, cloud, applications) et applique des règles de détection pour identifier les comportements anormaux. Principaux SIEM du marché : Microsoft Sentinel, Splunk, Elastic SIEM, IBM QRadar.
EDR (Endpoint Detection and Response)
Solution de détection et de réponse sur les endpoints (postes de travail, serveurs, mobiles). L'EDR collecte les événements système en temps réel et permet la détection comportementale des menaces avancées (APT, ransomware fileless). Principaux éditeurs : CrowdStrike, SentinelOne, HarfangLab (souverain FR), Microsoft Defender for Endpoint.
XDR (Extended Detection and Response)
Extension de l'EDR à l'ensemble du SI : endpoints, réseau, cloud, email, identités. L'XDR corrèle les événements de multiples sources pour détecter des attaques complexes invisibles sur un seul vecteur. Tend à remplacer progressivement les SIEM dans les contextes mid-market.
NIS2 (Network and Information Security Directive 2)
Directive européenne (UE 2022/2555) imposant des obligations de cybersécurité aux entités essentielles et importantes dans des secteurs critiques. En France, transposée sous la responsabilité de l'ANSSI. NIS2 impose notamment une surveillance continue du SI, une détection des incidents, et une notification à l'ANSSI dans les 24h.
DORA (Digital Operational Resilience Act)
Règlement européen (UE 2022/2554) applicable depuis janvier 2025 aux entités financières. DORA impose une surveillance continue des systèmes ICT, des tests de résilience annuels (TLPT pour les entités significatives) et une notification des incidents majeurs en 4 heures. Plus exigeant que NIS2 sur les délais de détection et de reporting.
vCISO (Virtual CISO / RSSI externalisé)
RSSI (Responsable de la Sécurité des Systèmes d'Information) mis à disposition à temps partiel par un prestataire externe. Le vCISO pilote la stratégie de sécurité, la conformité NIS2/DORA et les relations avec les prestataires SOC/MDR. Coût typique : 1 500–4 000 €/mois selon le niveau d'engagement. Des MSP comme Resilium proposent ce service en complément de leurs offres techniques.
MSSP (Managed Security Service Provider)
Prestataire de services de sécurité managés. Le MSSP opère et surveille les outils de sécurité pour le compte de ses clients. Il se distingue du MSP (Managed Service Provider) classique par sa spécialisation en cybersécurité et sa capacité à opérer des fonctions SOC ou MDR.
SLA (Service Level Agreement)
Accord de niveau de service contractualisant les engagements de performance d'un prestataire SOC ou MDR. Les SLA clés à exiger : délai de première notification pour une alerte critique (<30 min à <4h selon le niveau de service), disponibilité du service (99,9% minimum), et délai de livraison du rapport mensuel.