SOC

01 — DéfinitionQu'est-ce qu'un SOC ?

Un SOC (Security Operations Center, ou centre des opérations de sécurité) est une équipe, un ensemble de processus et une plateforme technologique dédiés à la surveillance continue du système d'information d'une organisation, à la détection des incidents de cybersécurité et à la réponse qui les suit.

Si l'EDR est un outil et l'antivirus un logiciel, le SOC est une organisation humaine. Il combine des analystes, des procédures, des outils et une gouvernance pour transformer un flot permanent de signaux techniques en actions concrètes de défense. Sans SOC, une entreprise dispose souvent d'outils de sécurité sans personne pour exploiter leurs alertes en temps réel.

Un SOC mature opère 24h/24, 7j/7, y compris week-ends et jours fériés : les attaques ciblent précisément ces créneaux où les équipes sont dégarnies. Les ransomwares sont déclenchés à 3h du matin un dimanche de pont pour maximiser le délai avant réaction.

Un outil sans équipe qui l'exploite est une ligne de défense aveugle. Une équipe sans outils est une ligne de défense sourde. Un SOC, c'est la combinaison des deux qui permet à l'organisation de voir et de réagir en continu.

02 — MissionsCe que fait un SOC au quotidien

Surveillance continue

Centralisation des logs et alertes venant de l'EDR, des pare-feu, des passerelles email, des annuaires, des applications critiques, du cloud. Les événements suspects sont identifiés, consolidés et priorisés.

Détection

Application de règles, d'indicateurs de compromission et de modèles comportementaux pour repérer les schémas d'attaque. Le SOC écrit ses propres règles de détection adaptées à l'environnement qu'il défend — aucune détection générique ne peut tout couvrir.

Triage et qualification

Différencier le vrai incident du faux positif. Sur 1 000 alertes brutes par jour, un SOC mature en escalade généralement moins de 10 comme incidents qualifiés. C'est l'une des compétences les plus sensibles : trop laxiste = incidents manqués, trop strict = fatigue et erreurs.

Réponse à incident

Contenir l'attaque (isoler un poste, bloquer un compte, arrêter un processus), investiguer la portée, remédier et restaurer. Dans les cas graves, le SOC travaille en lien avec le CSIRT et le management.

Threat hunting

Recherche proactive d'intrusions silencieuses, même sans alerte. Sur la base d'hypothèses (« et si on avait un attaquant qui utilise PowerShell pour persister ? »), le SOC chasse à travers les logs. Les attaques sophistiquées (APT) restent parfois non détectées des mois durant et ne sont trouvées que par cette approche.

Threat intelligence

Intégration de renseignements externes (IoC, rapports d'attaque, signatures) pour adapter la détection. Le SOC consomme des flux commerciaux (Mandiant, Recorded Future), des flux open source (MISP, AlienVault OTX) et des flux sectoriels (CERT-FR, ISAC).

Amélioration continue

Retour sur chaque incident, ajustement des règles, tests de détection via exercices de red team ou simulations de type MITRE ATT&CK, reporting vers la direction.

03 — OrganisationLes niveaux d'analystes

Un SOC mature s'organise traditionnellement en trois niveaux, avec parfois un quatrième dédié à la gestion de crise.

N1 — Triage et première analyse

Rôle principal : première vérification des alertes, filtrage des faux positifs évidents, escalade vers N2 pour tout ce qui nécessite investigation. Les N1 travaillent sur une console d'alertes et suivent des runbooks structurés. Profils juniors en formation, rotation fréquente, souvent premier poste cyber.

N2 — Investigation et réponse

Prend en charge les alertes qualifiées et les incidents. Mène l'investigation technique (pivot dans les logs, analyse de processus, recherche d'IoC), décide des actions de confinement, pilote la réponse. Profils avec 3-5 ans d'expérience en cyber défense.

N3 — Expertise et threat hunting

Analyse de malware (reverse engineering), chasse proactive, conception et tuning des règles de détection avancées, intégration de la threat intel. Souvent la plus petite équipe du SOC mais la plus technique.

CSIRT — Gestion de crise

Équipe dédiée à la réponse à incident majeur : ransomware actif, exfiltration massive, compromission dirigeant. Peut être interne au SOC ou prestataire externe (mandat d'assistance). Lien direct avec la direction, le juridique, la communication de crise.

Manager et CISO

Le SOC rapporte typiquement au RSSI (ou CISO), qui arbitre entre priorités techniques et enjeux organisationnels, gère les relations avec le management, la direction métier et les autorités (ANSSI, CNIL, autorités sectorielles).

04 — OutilsLes briques techniques d'un SOC

• SIEM — plateforme centrale de collecte et corrélation des logs. Splunk, Sentinel, Elastic, IBM QRadar, Chronicle. C'est le cockpit du SOC.
• EDR / XDR — détection comportementale sur les endpoints, visibilité sur les processus.
• SOAR (Security Orchestration, Automation and Response) — automatise les tâches répétitives (blocage d'IP, isolement d'un poste, création de ticket) via des playbooks.
• TIP (Threat Intelligence Platform) — consolide et partage les indicateurs de compromission. MISP, Anomali, ThreatQuotient.
• Ticketing — suivi des incidents (ServiceNow, Jira, solutions dédiées type TheHive).
• Sandbox — environnement isolé pour analyser des fichiers ou URLs suspects (Cuckoo, Joe Sandbox, VMRay).
• Bases de connaissances — wiki des runbooks, des investigations passées, des retours d'expérience.

05 — ModèlesSOC interne, MSSP, MDR, hybride

SOC interne

Équipe dédiée, en interne, avec vos propres outils et une connaissance fine de votre SI. Meilleur résultat sur la connaissance métier et le contrôle, mais exigeant en budget et en recrutement. Recommandé pour les grands groupes, les secteurs très régulés et les OIV/OSE.

MSSP — SOC externalisé

Un prestataire opère un SOC mutualisé pour plusieurs clients. Modèle historique (Orange Cyberdefense, Capgemini, Atos/Eviden, Thales, IBM). Avantage : économies d'échelle, 24/7 garanti, accès à des compétences rares. Inconvénient : connaissance métier plus faible, risque de traitement standardisé, SLA parfois lourds à auditer.

MDR — Managed Detection and Response

Prestation plus légère et plus moderne, centrée sur l'exploitation de votre EDR/XDR et la réponse rapide. CrowdStrike Falcon Complete, SentinelOne Vigilance, Sophos MDR, Arctic Wolf, HarfangLab Managed. Particulièrement adapté aux ETI qui n'ont pas la taille critique pour un SOC interne mais veulent garder la main sur leurs outils.

SOC hybride

Équipe interne en heures ouvrées (N1 et N2) + astreinte externalisée (MSSP ou MDR) pour les nuits et week-ends. Compromis le plus fréquent en ETI française.

06 — MaturitéLes niveaux de maturité d'un SOC

Un SOC ne naît pas mature. Plusieurs cadres (HPE SOMM, OWASP SAMM adapté) décrivent une progression par paliers :

• Niveau 0 — inexistant : pas de surveillance centralisée, détection au hasard ou après dommage.
• Niveau 1 — réactif : SIEM ou EDR déployé mais exploité à temps partiel, en heures ouvrées uniquement.
• Niveau 2 — proactif : couverture 24/7, runbooks formalisés, KPI pilotés (MTTD, MTTR, taux d'escalade).
• Niveau 3 — mature : threat hunting régulier, intégration de threat intel, exercices red/purple team, amélioration continue pilotée.
• Niveau 4 — prédictif : anticipation des menaces sectorielles, contribution à la communauté (CERT, partage d'IoC), automatisation avancée via SOAR.

La majorité des SOC européens se situent entre les niveaux 1 et 3. Le niveau 4 reste rare et concerne surtout les grands groupes très exposés et les acteurs spécialisés.

07 — DémarrageComment monter son SOC

08 — FAQQuestions fréquentes

À quelle taille d'entreprise faut-il un SOC ?

Question mal posée : c'est plutôt l'exposition au risque et le cadre réglementaire qui déterminent le besoin. Une ETI industrielle soumise à NIS2 en a besoin dès 250 salariés. Une agence de communication sans données sensibles peut s'en passer bien plus longtemps. Sous 500 salariés, la grande majorité se tourne vers du MDR plutôt qu'un SOC interne.

Quelle différence avec un NOC ?

Un NOC (Network Operations Center) supervise la disponibilité et la performance du réseau et des services. Un SOC supervise la sécurité. Les deux équipes travaillent souvent côte à côte et partagent parfois des outils, mais leurs métiers et leurs indicateurs sont distincts.

Le SOC remplace-t-il le RSSI ?

Non, il opère sous son autorité. Le RSSI définit la stratégie, la politique, les priorités. Le SOC exécute la détection et la réponse. Dans les petites structures, la même personne peut porter les deux casquettes.

Peut-on recruter ces profils ?

Avec difficulté. Le marché cyber français est en tension chronique : plusieurs dizaines de milliers de postes non pourvus. Les profils d'analystes SOC N2/N3 sont particulièrement convoités. C'est l'une des raisons qui pousse beaucoup d'entreprises vers des modèles externalisés.

Quels KPI suivre ?

Les indicateurs essentiels : temps moyen de détection (MTTD), temps moyen de réponse (MTTR), taux de faux positifs, couverture des sources de logs, taux d'incidents résolus au N1 vs escaladés, taux d'incidents détectés par le SOC vs signalés par les utilisateurs. Éviter les KPI quantitatifs purs (nombre d'alertes) qui incitent à de mauvaises pratiques.