Les équipes SOC ne manquent pas d’alertes, elles manquent de temps. Entre la généralisation du cloud, la multiplication des environnements hybrides et l’ouverture accrue des systèmes d’information, le périmètre à surveiller ne cesse de s’étendre. Dans le même temps, les modes opératoires évoluent. Les compromissions ne ciblent plus uniquement le cœur des réseaux.
« On vole un mot de passe, on fait de l’ingénierie sociale sur le support, on récupère un compte administrateur et on se connecte légitimement à des services cloud pour extraire des données », décrit Cyril Demonceaux, directeur de contrôle, surveillance et réaction chez Orange Cyberdefense. Les attaquants exploitent identifiants, erreurs de configuration et services exposés plutôt que de s’attaquer frontalement aux infrastructures les plus protégées. Le SOC doit donc surveiller un terrain plus diffus, plus distribué et souvent moins maîtrisé.
Cette évolution fragilise le modèle historique du centre opérationnel de sécurité. Longtemps structuré autour d’un SIEM central et d’une logique de détection puis de réaction, le SOC traite des alertes générées par des outils de sécurité et déclenche ensuite des actions correctives. Une approche qui montre aujourd’hui ses limites face au volume et à la complexité croissante des signaux.
© DR
La transformation engagée est plus profonde qu’un simple ajout de briques technologiques. « Aujourd’hui, le SOC, c’est détection-réaction. Demain, ce qu’on dit, c’est que le SOC sera une protection en temps réel », explique Gérôme Billois, expert cybersécurité chez Wavestone. L’enjeu n’est plus seulement de constater l’incident mais de vérifier en continu la posture de sécurité, d’identifier les dérives avant qu’elles ne deviennent critiques et d’automatiser certaines remédiations.
© DR
Dans cette démarche, la performance ne se mesure plus uniquement au nombre d’alertes traitées. « On passe d’une logique de moyens à une logique de résultats », observe Georges Bossert, cofondateur et CTPO (Chief Technology & Product Officer) de Sekoia.io. Réduction du bruit, priorisation des incidents, capacité à maintenir un niveau de protection cohérent : le SOC nouvelle génération se définit moins par ses outils que par son efficacité
opérationnelle.
Cette mutation pose une question structurante pour les organisations : comment dimensionner et organiser un SOC capable d’évoluer dans le temps, sans perdre en maîtrise, ni en cohérence ? Car s’il n’existe pas de SOC idéal, il existe en revanche des modèles inadaptés à la maturité et aux contraintes de l’entreprise.
Interne, hybride ou externalisé : sortir du faux débat
Le débat n’est pas nouveau. Faut-il internaliser son SOC pour garder la maîtrise ou l’externaliser pour bénéficier d’une expertise mutualisée et d’une couverture 24/7 ? Pendant longtemps, l’opposition a structuré les discussions. Sur le terrain, la réalité est aujourd’hui plus nuancée.
« On voit bien que le modèle full MSP n’est plus la norme aujourd’hui », observe Cyril Demonceaux, directeur de contrôle, surveillance et réaction chez Orange Cyberdefense. Face à la complexité croissante des systèmes d’information et à la pénurie de compétences, de nombreuses organisations optent désormais pour des modèles hybrides, combinant supervision externalisée et pilotage interne.
Ce basculement s’explique en partie par les limites du tout-internalisé. Recruter et fidéliser des analystes expérimentés reste difficile et l’évolution rapide des technologies impose des investissements réguliers. Comme le rappelle Gérôme Billois, expert cybersécurité chez Wavestone, « si le SOC n’est pas dynamique et s’il n’a pas dans sa structuration un budget de construction constante, vous pouvez être sûr que, trois ans après, il ne sert plus à rien ». Maintenir un SOC performant suppose donc une capacité d’adaptation continue, souvent coûteuse et exigeante en ressources.
HarfangLab © DR
À l’inverse, le recours à un prestataire ne constitue pas une solution universelle. Tout le monde ne peut pas externaliser sans précaution. « Certaines organisations sensibles ne peuvent pas externaliser leur SOC », souligne Pierre-Louis Mauratille, directeur des opérations chez HarfangLab. Contraintes réglementaires, exigences de souveraineté ou criticité des données imposent parfois de conserver un contrôle fort sur les opérations de sécurité.
Entre ces deux pôles, le modèle hybride apparaît comme un compromis pragmatique : déléguer une partie de la supervision, notamment la couverture 24/7, tout en conservant la connaissance fine du système d’information et la capacité d’arbitrage sur les incidents critiques en interne.
Encore faut-il éviter l’approche binaire. « Il faut penser trajectoire », insiste Benjamin Leroux, directeur marketing chez Advens. Le choix d’un modèle SOC ne se fait pas uniquement en fonction de la taille de l’organisation mais de sa maturité, de ses compétences internes, de la complexité de son environnement et de sa capacité à piloter la relation avec un prestataire. Un SOC n’est pas un produit que l’on achète clé en main : c’est un dispositif qui s’inscrit dans une stratégie et évolue dans le temps.
Au-delà du débat interne versus externe la question centrale devient donc celle de l’adéquation. Adapter le modèle à la maturité de l’organisation, à ses contraintes sectorielles et à ses objectifs de protection, plutôt que chercher une solution universelle.
Camille Suard
