Quelle différence entre MDR et MSSP ?

Le MSSP (Managed Security Service Provider) est un prestataire qui gère votre infrastructure de sécurité au sens large : pare-feu, antivirus, patching, conformité. Le MDR est un service spécialisé dans la détection et la réponse aux menaces via une plateforme EDR ou XDR, avec un focus opérationnel fort. Un MSSP propose souvent plusieurs services dont éventuellement un MDR. En 2026, le MDR est devenu un service à part entière, souvent plus spécialisé et plus réactif qu'un MSSP généraliste.

Combien coûte un MDR ?

Très variable. Typiquement entre 10 et 50 € par endpoint par mois selon le niveau de service. Pour une organisation de 500 endpoints, le budget annuel se situe entre 60 000 et 300 000 €. Les écarts dépendent du périmètre (endpoint seul ou XDR complet), de la disponibilité (heures ouvrées ou 24/7), et du niveau d'engagement sur la réponse (détection seule, investigation, ou remédiation active). Le MDR représente typiquement 2 à 3 fois le coût logiciel du XDR seul.

Quand un MDR est-il pertinent ?

Quand vous n'avez pas de SOC interne ou que votre SOC ne couvre pas 24/7. Le MDR est pertinent pour : les PME et ETI qui ne peuvent justifier un SOC interne (qui nécessite 6 à 10 analystes minimum pour du 24/7), les grandes entreprises qui veulent un backup en heures non ouvrées, les organisations en phase de maturité cyber qui ont besoin d'expertise externe, ou celles soumises à des obligations réglementaires (NIS2, DORA) exigeant une supervision continue. Un SOC interne devient rentable à partir d'environ 3 000-5 000 utilisateurs.

Un MDR peut-il remplacer complètement un SOC interne ?

Oui pour la détection et la réponse de niveau 1 et 2 (L1/L2). Non pour la gouvernance sécurité globale, les investigations approfondies spécifiques à votre métier, la gestion des politiques de sécurité, l'interface avec les équipes métier et la direction. Le modèle optimal en 2026 est souvent : MDR pour la supervision opérationnelle 24/7, équipe interne réduite (1 à 3 personnes) pour la gouvernance, la liaison avec le prestataire, les cas sensibles et l'amélioration continue.

MDR (Managed Detection and Response) : définition, acteurs et choix d'un prestataire

Émergence du terme: Gartner, 2016
Socle technologique: EDR ou XDR
Couverture standard: 24/7, 365 jours/an
Coût typique: 10-50 €/endpoint/mois
Cible dominante: PME et ETI sans SOC interne 24/7

01 — DéfinitionQu'est-ce qu'un MDR ?

Le MDR, pour Managed Detection and Response, est un service externalisé qui combine :

Une plateforme technologique de détection — typiquement un EDR ou un XDR, parfois fournie par le prestataire, parfois choisie par le client.
Une équipe d'analystes sécurité qui supervise cette plateforme 24/7, enquête sur les alertes suspectes, déclenche les actions de réponse et coordonne la communication avec le client.
Des procédures opérationnelles cadrées : SLA de détection, délais de réponse, escalades, rapports périodiques.

Le MDR est devenu un standard opérationnel pour les PME et ETI qui ne peuvent justifier un SOC interne complet. Monter un SOC 24/7 nécessite typiquement 6 à 10 analystes pour couvrir tous les créneaux, ce qui représente un coût de 600 000 € à 1 000 000 € par an minimum. Le MDR externalise cette charge en la mutualisant entre plusieurs clients.

Le terme est apparu autour de 2016 dans les rapports Gartner pour distinguer une nouvelle génération de services orientés détection (par rapport aux MSSP historiques plus généralistes). Le marché a connu une explosion à partir de 2020, avec la combinaison de la crise ransomware et du passage massif au télétravail.

Un SOC interne 24/7 efficace demande un investissement humain et organisationnel considérable. Pour la plupart des organisations de moins de 5 000 salariés, le MDR offre un meilleur rapport protection/coût.

02 — ComposantsCe qu'un MDR comprend réellement

Technologie de détection

Le socle est généralement un EDR ou un XDR. Certains MDR imposent leur propre plateforme (Arctic Wolf avec son agent propriétaire, Huntress avec sa plateforme dédiée), d'autres s'appuient sur des XDR du marché (CrowdStrike, Microsoft Defender, SentinelOne, Palo Alto). Le choix a des implications importantes sur la portabilité et le coût global.

Équipe humaine

Organisation typique en plusieurs niveaux :

L1 (triage) : analystes qui filtrent les alertes en continu, écartent les faux positifs, escaladent les signaux suspects.
L2 (investigation) : analystes qui investiguent en profondeur, confirment ou infirment un incident, lancent les premières actions de confinement.
L3 (expert / hunting) : experts qui traitent les cas complexes, effectuent du threat hunting proactif, pilotent la réponse à incident majeur.

Threat intelligence

Les MDR sérieux intègrent du renseignement cyber en continu : nouveaux IOC, TTP des groupes actifs, vulnérabilités récemment exploitées. Cette intelligence enrichit la détection et permet de prioriser les alertes pertinentes pour votre secteur ou votre exposition.

Playbooks et réponse

Chaque type d'incident a un playbook associé : qui est prévenu, dans quel délai, quelles actions sont prises automatiquement, lesquelles nécessitent une validation client. La qualité des playbooks et leur personnalisation par client distingue les MDR matures des prestataires génériques.

Reporting et gouvernance

Tableaux de bord opérationnels (alertes, incidents, temps de détection et de réponse), rapports mensuels ou trimestriels de gouvernance, réunions régulières de revue. Le client doit avoir une visibilité complète sur ce qui se passe sur son périmètre.

Options courantes

Threat hunting proactif — recherche d'indicateurs même en l'absence d'alerte.
Réponse à incident (IR) renforcée en cas d'incident majeur.
Tests d'intrusion périodiques.
Accompagnement à la conformité (NIS2, DORA, ISO 27001).
Dark web monitoring.
Simulation de phishing.

03 — ComparaisonMDR vs SOC interne vs MSSP

SOC interne

Équipe sécurité opérationnelle employée par l'entreprise. Avantages : connaissance approfondie du métier et de l'environnement, réactivité maximale, indépendance. Inconvénients : coût élevé (600k€ à plusieurs millions par an), difficulté de recrutement et de rétention, nécessité de 24/7 qui multiplie les effectifs. Pertinent à partir d'environ 3 000-5 000 utilisateurs ou pour les organisations avec des exigences particulières (défense, haute criticité).

MDR

Service spécialisé, focalisé sur la détection et la réponse opérationnelle avec une plateforme EDR/XDR. Avantages : coût maîtrisé, expertise immédiate, 24/7 inclus, économies d'échelle. Inconvénients : connaissance métier moins fine, dépendance au prestataire, courbe d'intégration initiale. Pertinent pour la majorité des PME et ETI, et comme complément du SOC interne dans les grandes entreprises.

MSSP (Managed Security Service Provider)

Prestataire généraliste qui gère plusieurs briques de sécurité : firewall, antivirus, patching, VPN, parfois détection. Avantages : one-stop-shop pour toute la sécurité IT. Inconvénients : moins spécialisé sur la détection, souvent moins réactif qu'un MDR pur, qualité variable selon les briques. Pertinent pour les organisations qui veulent externaliser largement leur sécurité IT, ou en complément d'un MDR spécialisé.

Synthèse

Moins de 500 utilisateurs : MDR seul typiquement suffit.
500 à 3 000 utilisateurs : MDR avec responsable sécurité interne.
3 000 à 10 000 utilisateurs : SOC interne réduit + MDR ou SOC externalisé hybride.
Plus de 10 000 utilisateurs : SOC interne complet, éventuellement avec MDR en backup ou pour certains périmètres.

04 — ModèlesLes différents niveaux de service

MDR light — détection et alerte

Le prestataire détecte, analyse, et alerte le client. Le client assure la réponse et la remédiation lui-même. Adapté aux organisations avec une équipe IT capable d'agir, qui veulent simplement externaliser la supervision.

MDR standard — investigation et réponse

Le prestataire va plus loin : investigation approfondie, premières actions de confinement (isolation d'un endpoint, blocage d'un compte), coordination avec le client pour les actions plus impactantes. Modèle dominant en 2026.

MDR premium — remédiation complète

Le prestataire gère la réponse de bout en bout, y compris la remédiation technique (nettoyage des endpoints, reconstruction, reset d'identités). Suppose une délégation forte au prestataire et des procédures d'urgence très cadrées. Plus coûteux mais plus complet.

MDR + IR (Incident Response) retainer

Ajout d'un forfait d'heures pré-payées pour la réponse à incident majeur avec des experts dédiés. Utile pour les organisations qui veulent une garantie d'engagement rapide en cas de crise majeure (ransomware, attaque ciblée). Les SLA typiques garantissent une équipe sur place ou en visio en moins de 4h.

MDR + hunting

Ajout de sessions périodiques (mensuelles, trimestrielles) de threat hunting proactif : recherche d'indicateurs de compromission discrets même en l'absence d'alerte. Pertinent pour les organisations à forte cible (défense, finance, énergie).

05 — MarchéPrincipaux acteurs en 2026

Leaders internationaux

CrowdStrike Falcon Complete : MDR premium basé sur le XDR CrowdStrike. Référence des grands comptes.
Arctic Wolf : pure player MDR en forte croissance, approche concierge.
Sophos MDR : référence PME/ETI, bonne intégration avec les endpoints Sophos.
eSentire : historique, spécialisé mid-market.
Rapid7 MDR : basé sur la plateforme InsightIDR.
Huntress : MDR orienté PME et MSP, prix accessible.
Red Canary : expert reconnu, basé sur les plateformes partenaires.

Éditeurs de XDR proposant leur MDR

Microsoft Defender Experts for XDR : MDR managé par Microsoft sur sa plateforme.
Palo Alto Unit 42 : MDR + IR sur Cortex XDR/XSIAM.
SentinelOne Vigilance : MDR sur Singularity XDR.
Trend Micro Service One : MDR sur Vision One.

Acteurs français et européens

Orange Cyberdefense : acteur majeur européen, MDR multi-technologies.
Thales : MDR souverain, qualifié pour les secteurs sensibles.
Atos / Eviden : capacité MDR intégrée dans l'offre cyber globale.
Advens : référence française mid-market, PASSI et PRIS.
Airbus CyberSecurity : MDR pour environnements critiques et défense.
I-Tracing, Intrinsec, Synetis : intégrateurs français avec offre MDR.
Tehtris : MDR basé sur son propre XDR souverain.
HarfangLab : partenariats avec des MDR utilisant sa plateforme EDR qualifiée SecNumCloud.

06 — ChoisirCritères de sélection d'un MDR

Capacités techniques

Couverture technologique — endpoints seuls (EDR MDR) ou multi-domaines (XDR MDR) ?
Compatibilité avec votre existant — faut-il changer d'EDR, d'antivirus, d'IdP ?
Qualité de la threat intelligence intégrée.
Capacité de threat hunting proactif et de réponse à incident majeur.
Intégration avec vos outils existants — SIEM, ticketing, collaboration.

Qualité opérationnelle

SLA de détection et de réponse clairs, mesurés et communiqués.
Taille et composition de l'équipe, localisation, francophonie si pertinente.
Certifications des analystes (GIAC, OSCP), expérience terrain.
Références clients vérifiables dans votre secteur ou taille.
Démonstration opérationnelle demandée au prestataire avec un scénario d'attaque test.

Gouvernance et transparence

Clarté des rapports mensuels et des indicateurs fournis.
Accès direct à la console et aux logs pour votre équipe interne.
Propriété des données et réversibilité en cas de changement de prestataire.
Communication en cas d'incident (protocoles clairs, numéros d'urgence, délais garantis).
Accompagnement à la conformité (NIS2, DORA, ISO 27001, SecNumCloud).

Aspects contractuels

Modèle tarifaire transparent et lisible (par endpoint, par utilisateur, flat).
Durée d'engagement et conditions de sortie.
Responsabilité en cas d'incident non détecté — limitations contractuelles à évaluer.
Clauses de confidentialité et de sécurité (RGPD, souveraineté des données).
Audit et pénétration tests périodiques du prestataire.
Certifications du prestataire (ISO 27001, PASSI, SecNumCloud, SOC 2).

07 — IntégrationDémarrer un MDR

Cadrage initial — définition conjointe du périmètre exact, des règles métier spécifiques, des points de contact côté client, des priorités et exceptions. Typiquement 2 à 4 semaines.
Déploiement technique — installation de l'agent (EDR/XDR) sur l'ensemble du parc, connexion des sources complémentaires (email, identité, cloud selon l'offre). Phase de 2 à 6 semaines selon la taille.
Phase d'apprentissage — les premières semaines servent à calibrer les règles au contexte client : baseline comportementale, exclusions légitimes, contacts pour les alertes. Volume d'alertes initial élevé qui diminue progressivement.
Mise en production opérationnelle — supervision active 24/7, playbooks activés, premières réponses gérées par le prestataire.
Revues régulières — réunion mensuelle ou trimestrielle avec rapport détaillé, analyse des incidents, axes d'amélioration.
Exercices conjoints — au moins une simulation de crise majeure par an pour valider l'efficacité réelle de la chaîne MDR + interne (pas seulement la détection).

Responsabilités côté client

Même avec un MDR, le client conserve des responsabilités importantes :

Hygiène de base — patching, durcissement, MFA, formation.
Validation des actions impactantes proposées par le MDR.
Communication interne et gestion des aspects métier et légaux des incidents.
Pilotage global de la sécurité (le MDR ne remplace pas le RSSI).
Amélioration continue basée sur les retours d'expérience.

08 — FAQQuestions fréquentes

Le MDR est-il obligatoire avec NIS2 ?

Non, pas directement. La directive NIS2 exige une capacité de détection et de réponse efficace, mais n'impose pas qu'elle soit externalisée. En pratique, pour les organisations soumises à NIS2 qui n'ont pas les ressources d'un SOC interne 24/7, le MDR est la solution la plus courante pour atteindre le niveau attendu.

Combien de temps faut-il pour qu'un MDR soit efficace ?

Les premières détections sérieuses apparaissent généralement dans les 2 à 4 semaines suivant le déploiement. La maturité opérationnelle complète (faible volume de faux positifs, playbooks calibrés, fluidité des échanges) est atteinte après 3 à 6 mois. Les prestataires expérimentés raccourcissent significativement cette période.

Que se passe-t-il si le MDR rate un incident ?

Les MDR s'engagent sur des SLA de détection et de réponse, mais leurs responsabilités contractuelles en cas d'incident raté sont généralement plafonnées. Les dommages financiers d'un ransomware restent largement à la charge du client (et de son cyber-assureur). Cette répartition des responsabilités doit être claire dans le contrat. Un MDR de qualité se distingue aussi par sa transparence sur les cas manqués et son amélioration continue.

Peut-on changer de MDR facilement ?

Variable. Quand le MDR s'appuie sur une plateforme XDR standard du marché (CrowdStrike, SentinelOne, Microsoft), le changement est réaliste : on change le prestataire de services sans changer la plateforme. Quand le MDR impose sa plateforme propriétaire (Arctic Wolf, certains Huntress), le changement implique de redéployer une plateforme complète, plus lourd. Ce critère est important dans le choix initial.

Le MDR couvre-t-il les attaques par ingénierie sociale ?

Partiellement. Le MDR détecte les conséquences techniques (exécution d'un malware, accès suspect) mais ne peut pas empêcher un collaborateur d'effectuer un virement suite à une fraude au président ou de donner ses identifiants à un faux support. La prévention en amont (sensibilisation, simulations, MFA forte) reste indispensable — le MDR est la ceinture qui complète les bretelles, pas leur remplaçant.