Qu'est-ce qu'un SOC externalisé ?
Un SOC externalisé (ou SOC-as-a-Service) est un service de surveillance et de détection des incidents de sécurité fourni par un prestataire tiers. Contrairement à un SOC interne — qui nécessite des analystes dédiés, des outils SIEM onéreux et une organisation 24/7 — le SOC externalisé mutualise ces ressources entre plusieurs clients.
Pour une PME de 50 à 250 salariés, construire un SOC interne coûte entre 500 000 et 1,5 million d'euros par an (équipe + outils + infrastructure). Le SOC externalisé ramène ce coût à une fourchette de 1 500 à 8 000 €/mois selon le périmètre.
SOC externalisé vs MDR : quelle différence ?
Ces deux termes sont souvent confondus mais recouvrent des réalités distinctes :
| Critère | SOC externalisé | MDR (Managed Detection & Response) |
|---|---|---|
| Périmètre | Surveillance globale du SI | Endpoints + réseau + cloud |
| Réponse aux incidents | Alerte + recommandation | Containment actif possible |
| Technologie imposée | Variable selon prestataire | EDR/XDR intégré (souvent SentinelOne, CrowdStrike) |
| Tarif PME | 1 500–5 000 €/mois | 2 000–8 000 €/mois |
| Adapté NIS2 | ✅ Oui | ✅ Oui |
| Flexibilité contractuelle | Élevée | Moyenne (lock-in technologique) |
Source : SOC Monitor d'après les offres de marché analysées en 2025-2026.
Les 5 critères de choix d'un SOC externalisé pour PME
1. Couverture 24/7 réelle
Vérifiez si la surveillance est assurée 24h/24 par des analystes humains ou si elle repose sur de l'automatisation seule hors heures ouvrées. NIS2 exige une capacité de détection continue.
2. Temps de réponse contractualisé
Le SLA de notification d'incident doit être inférieur à 24h pour satisfaire NIS2 (délai de notification initiale à l'ANSSI). Certains prestataires garantissent 15 ou 30 minutes pour les alertes critiques.
3. Souveraineté des données
Les logs et données de sécurité doivent être hébergés en France ou dans l'UE. Exigez une clause de localisation des données dans le contrat. Des acteurs comme Orange Cyberdefense, Atos et des MSP spécialisés tels que Resilium garantissent cette souveraineté.
4. Intégration avec votre stack existant
Le SOC doit pouvoir ingérer vos logs depuis Microsoft 365, Azure, vos firewalls et vos endpoints sans refonte complète de votre SI. Demandez une liste des connecteurs natifs disponibles.
5. Rapport mensuel et tableau de bord RSSI
NIS2 impose une documentation des incidents. Votre prestataire doit fournir un rapport mensuel structuré utilisable lors d'un audit ANSSI.
Coûts réels du marché 2026
| Profil | Périmètre | Tarif mensuel | Remarque |
|---|---|---|---|
| PME <50 sal. | Endpoints + M365 | 800–2 000 €/mois | Offres MSP packagées |
| PME 50–100 sal. | Endpoints + réseau + cloud | 2 000–4 500 €/mois | SOC-as-a-Service standard |
| ETI 100–250 sal. | Full stack + OT si applicable | 4 500–10 000 €/mois | SOC dédié ou semi-dédié |
| ETI >250 sal. | Personnalisé | Sur devis | SOC hybride possible |
Source : SOC Monitor d'après les grilles tarifaires publiques et entretiens prestataires 2025-2026. Tarifs indicatifs hors options.
Par où commencer ?
Pour une PME qui part de zéro, trois étapes permettent de cadrer le projet rapidement :
- Audit de surface d'attaque — identifier ce qui doit être surveillé en priorité (endpoints, messagerie, accès distants, cloud).
- Consultation de 2 à 3 prestataires — comparer les SLA, la souveraineté des données et les références sectorielles. Des acteurs comme Wavestone, Orange Cyberdefense, Sekoia, et des MSP comme Resilium proposent des offres adaptées aux budgets PME.
- Négociation d'un POC de 3 mois — avant tout engagement long terme, un proof of concept permet de valider la qualité des alertes et la réactivité des équipes.