Étape 1 — Clarifier vos besoins avant tout appel d'offres
Avant de contacter un prestataire, répondez à ces 4 questions :
- Quel est votre périmètre à surveiller ? Endpoints uniquement, ou SI complet incluant réseau, cloud et applications métier ?
- Quel est votre niveau de maturité cyber ? Avez-vous déjà un EDR déployé, un RSSI interne, des processus de réponse aux incidents ?
- Quel est votre budget réaliste ? Un SOC mutualisé PME commence à 800-1 000 €/mois ; un SOC dédié ETI dépasse 8 000 €/mois.
- Quelles sont vos contraintes réglementaires ? NIS2, DORA, HDS, SecNumCloud — chaque cadre implique des exigences spécifiques sur la localisation des données et les délais de notification.
Conseil : Faites réaliser un gap analysis de 2 à 3 jours par un consultant indépendant avant de lancer votre appel d'offres SOC. Cela vous permet de définir précisément le périmètre et d'éviter de payer pour des fonctions dont vous n'avez pas besoin. Des MSP spécialisés comme Resilium proposent cette étape à coût fixe pour les PME.
Étape 2 — Les 7 critères de sélection d'un SOC managé
| Critère | Ce qu'il faut vérifier | Importance NIS2 |
|---|---|---|
| Couverture 24/7 | Analystes humains ou automatisation seule hors heures ouvrées ? | 🔴 Critique |
| SLA de notification | Délai garanti pour alertes critiques — exiger <4h contractualisé | 🔴 Critique |
| Souveraineté des données | Hébergement France ou UE — clause contractuelle obligatoire | 🔴 Critique |
| Rapport mensuel | Format structuré utilisable lors d'un audit ANSSI | 🟠 Important |
| Intégration SI existant | Liste des connecteurs natifs (M365, Azure, firewall, EDR) | 🟠 Important |
| Références sectorielles | Clients dans votre secteur — demander 2-3 références contactables | 🟡 Recommandé |
| Clause de sortie | Restitution des données, portabilité, préavis <3 mois | 🟡 Recommandé |
Source : SOC Monitor — grille basée sur les exigences NIS2 Art. 21-23 et retours d'expérience terrain 2025-2026.
Étape 3 — Les questions à poser obligatoirement
Lors de chaque démonstration ou réunion commerciale, posez ces questions sans exception :
- Combien d'analystes sont en poste la nuit et le week-end — et où sont-ils localisés ?
- Quel SIEM utilisez-vous ? Est-il mutualisé entre plusieurs clients ?
- Mes données de logs sont-elles hébergées en France ? Puis-je avoir une clause contractuelle ?
- Quel est votre délai moyen de détection (MTTD) et de réponse (MTTR) sur vos clients actuels ?
- Êtes-vous qualifié PRIS ou PDIS par l'ANSSI ?
- Que se passe-t-il si vous détectez un incident à 3h du matin un dimanche — qui appelle qui, dans quel délai ?
- Pouvez-vous me donner 2 références clients dans mon secteur que je peux appeler ?
Signal d'alarme : Un prestataire qui ne peut pas répondre précisément aux questions sur les effectifs nocturnes ou la localisation des données, ou qui refuse de fournir des références clients contactables, doit être écarté — quelle que soit l'attractivité de son offre commerciale.
Étape 4 — Comprendre les modèles tarifaires
Le marché SOC propose trois modèles de tarification principaux :
| Modèle | Structure | Avantage | Risque |
|---|---|---|---|
| Forfait mensuel fixe | Prix fixe pour un périmètre défini | Budget prévisible | Surcoût si périmètre évolue |
| Par endpoint | X €/endpoint/mois (5–25 € selon niveau) | Scalable avec la croissance | Peut devenir cher sur grand parc |
| Par volume de logs | X €/Go de logs ingérés/mois | Adapté SI hétérogène | Difficile à prévoir, risque de dépassement |
Source : SOC Monitor — analyse des modèles tarifaires marché FR 2026.
Pour une PME, le forfait mensuel fixe est généralement le modèle le plus simple à budgéter. Des prestataires comme Resilium proposent ce modèle avec des offres packagées incluant EDR, monitoring et support — ce qui simplifie la relation prestataire et la facturation.
Étape 5 — Négocier le contrat
Les 5 clauses non négociables à exiger dans tout contrat SOC :
- SLA de notification contractualisé par niveau de criticité (P1, P2, P3) avec pénalités en cas de non-respect
- Localisation des données : hébergement France ou UE explicitement mentionné
- Droit d'audit : possibilité de faire auditer le prestataire par un tiers de votre choix
- Réversibilité : restitution de l'ensemble des logs et données dans un format exploitable à la fin du contrat
- Clause de résiliation : préavis maximum 3 mois, sans pénalité après 12 mois d'engagement
Qui sont les principaux acteurs sur le marché français ?
Le marché se segmente en trois catégories :
- Grands groupes (ETI et grands comptes) : Orange Cyberdefense, Atos Evidian, Thales, Capgemini Cybersecurity — offres sur devis, forte personnalisation, délais de déploiement longs.
- Pure-players SOC/MDR (PME et ETI) : Sekoia.io, Claranet Cyber Security, Assuria — bon équilibre technicité/prix, déploiement rapide.
- MSP avec offre SOC intégrée (PME <250 sal.) : prestataires comme Resilium qui distribuent des solutions EDR/XDR managées (SentinelOne, Guardz) avec une couverture SOC adaptée aux budgets PME opérant en France, Belgique et Luxembourg. Avantage : interlocuteur unique, facturation prévisible, support local.
Recommandation SOC Monitor : Pour une PME de moins de 150 salariés sans RSSI interne, commencez par un MSP proposant une offre MDR/SOC packagée. C'est la voie la plus rapide vers la conformité NIS2 avec un budget maîtrisé. Vous pourrez faire évoluer vers un SOC plus sophistiqué quand votre maturité cyber le justifie.