Chargement en cours...

Sécurité externalisée : votre prestataire vous protège-t-il vraiment ?

MSSP, SOC, MDR - vous avez signé un contrat. Mais avez-vous vérifié ce qu'il garantit réellement ?

6 Mai 2026 2LKATIME Cybersécurité PME
Sécurité externalisée PME vérifier prestataire cybersécurité
-

Retour d'expérience terrain 2LKATIME

Nos auditeurs certifiés OSCP, OSEP et OSWE interviennent chaque mois sur des PME qui pensaient être protégées par leur prestataire. Cet article est basé sur des dizaines de missions réelles d'audit indépendant menées entre 2024 et 2026.

En France, 68 % des PME victimes d'une cyberattaque en 2025 avaient un contrat actif avec un prestataire de sécurité au moment de l'incident. Elles payaient une facture mensuelle, recevaient des rapports, et se croyaient protégées. Le problème n'est pas que ces prestataires sont incompétents - c'est que personne ne vérifie jamais si le travail est réellement fait.

Dans cet article, nous expliquons d'abord ce que sont concrètement les différents types de prestataires (MSSP, SOC, MDR), ce que votre contrat SLA garantit vraiment - et ce qu'il ne garantit pas - et comment vérifier trimestriellement que votre prestataire fait son travail. Sans jargon inutile, avec des outils concrets utilisables dès demain.


Glossaire : MSSP, SOC, MDR, SECaaS - ce que chaque terme signifie

Avant d'aller plus loin, posons le vocabulaire. Votre prestataire utilise probablement ces termes dans ses présentations commerciales. Voici ce qu'ils signifient réellement pour un dirigeant non-technique :

MSSP Le plus courant

Managed Security Service Provider

Entreprise qui surveille votre sécurité, gère vos outils (antivirus, firewall, SIEM) et alerte en cas de problème. C'est la formule de basé - ils font la cybersécurité à votre place.

Exemple : vous payez 500-2000€/mois, ils surveillent votre réseau 24/7 et vous appellent si une alerte critique se déclenche.

SOC Interne ou externalisé

Security Operations Center

Centre opérationnel de sécurité - l'équipe et les outils qui analysent les alertes en temps réel. Un SOC peut être interne (vous avez votre propre équipe) ou externalisé (géré par votre MSSP).

Quand votre MSSP parle de "SOC 24/7", il s'agit de son centre de surveillance qui gère vos alertes.

MDR Version avancée

Managed Détection and Response

Un niveau au-dessus du MSSP. Le MDR ne se contente pas de surveiller - il chasse activement les menaces, analyse les comportements anormaux et répond aux incidents de façon proactive. C'est la différence entre un vigile et un enquêteur.

MSSP = réagit aux alertes. MDR = cherche les problèmes avant qu'ils déclenchent une alerte.

SECaaS Via le cloud

Security as a Service

Sécurité fournie entièrement via le cloud, à la demande. Inclut souvent un SOC externalisé, des outils SIEM cloud, et parfois des fonctions MDR. Le modèle le plus flexible pour les PME.

Avantage : pas d'infrastructure à maintenir. Limité : dépendance totale au prestataire cloud.

Schema 1 - La pyramide des niveaux de protection externalisée

SECaaS Sécurité cloud - outils à la demande - modèle flexible MSSP Surveillance + outils + alertes + reporting MSSP + SOC Surveillance 24/7 avec équipe dédiée + analyse en temps réel MDR Chasse aux menaces + réponse proactive Proactivité maximale Niveau de basé Niveau de protection
-

La majorité des PME françaises ont un MSSP de niveau 2 - surveillance et outils. Très peu ont un vrai MDR. Le problème : beaucoup de prestataires vendent du "MDR" qui est en réalité un MSSP glorifié. La vérification indépendante permet de savoir exactement ce que vous avez.


2. Ce que votre SLA garantit - et ce qu'il ne garantit pas

Un SLA (Service Level Agreement) est un contrat de niveau de service. Il définit des engagements mesurables entre vous et votre prestataire. Le problème : ces engagements portent sur des métriques opérationnelles, pas sur la sécurité réelle de votre infrastructure.

Schema 2 - Ce que vous croyez avoir vs ce que le SLA garantit vraiment

Ce que vous croyez avoir signe Surveillance complete 24h/24, 7j/7 Détection de toutes les menaces Réponse immediate en cas d'attaque Patch automatique des vulnérabilités Équipe dédiée qui connaît votre SI Protection contre les 0-day Ce que le SLA garantit vraiment Surveillance des alertes critiques (pas de toutes les anomalies) Détection des menaces connues (signatures dans les basés) Réponse sous 4h ouvrees (pas 24/7, pas en weekend) Signalement des vulnérabilités (patch = votre responsabilite) Équipe mutualisee sur N clients (rotation des analystes) Non couvert (hors contrat) (avenant tarifaire nécessaire)

Ce tableau n'est pas une critique des prestataires - c'est la réalité contractuelle. Un bon MSSP fait exactement ce qu'il a promis. Le problème est que la plupart des dirigeants de PME n'ont jamais lu les 40 pages de leur contrat et découvrent ces limités uniquement lors d'un incident.

68 %

des PME breachées avaient un contrat sécu actif

4h

délai de réponse moyen SLA - mais en heures ouvrées seulement

1/3

des alertes MSSP ne sont jamais analysées faute de ressources

14 mois

durée moyenne sans audit indépendant dans une PME sous contrat MSSP


3. Anatomie d'un vrai SOC externalisé : ce qui se passe (ou pas) derrière votre contrat

Quand votre MSSP parle de son "SOC 24/7", voici concrètement ce que cela signifie - et les points de défaillance possibles à chaque étape.

Schema 3 - Anatomie d'un SOC externalisé et points de defaillance

Votre SI serveurs, postes emails, cloud Collecte des logs SIEM / agents Risque : logs incomplets Analyse SIEM règles + correlations Risque : règles obsoletes Analyste SOC triage des alertes qualification escalade Risque : analyste mutualisé sur 50 clients Alerte traitee Alerte ignoree Les points en rouge sont les défaillances que 2LKATIME identifie lors de ses audits indépendants 1. Source 2. Collecte 3. Analyse 4. Qualification 5. Résultat

Point de défaillance 1 : les logs sont incomplets

Votre MSSP ne peut analyser que ce qu'il reçoit. Si un poste de travail, une application cloud ou un équipement réseau n'est pas correctement configuré pour envoyer ses logs, cette partie de votre SI est un angle mort total. Très fréquent après une migration cloud ou l'ajout d'un nouveau logiciel.

Point de défaillance 2 : les règles SIEM ne sont plus à jour

Un SIEM détecte les menaces par pattern matching - il cherche des signatures connues. Si les règles n'ont pas été mises à jour depuis 6 mois, les nouvelles techniques d'attaque (nouvelles CVE, nouveaux malwares) passent sans déclencher la moindre alerte. Un MSSP sérieux met à jour ses règles chaque semaine.

Point de défaillance 3 : l'analyste est mutualisé sur trop de clients

C'est le point le plus difficile à évaluer de l'extérieur. Un bon ratio est de 1 analyste pour 15-20 clients maximum. Au-delà, certaines alertes sont traitées de façon automatique ou ignorées faute de temps. En pratique, beaucoup de MSSP low-cost fonctionnent à 1 analyste pour 80-100 clients.


4. Le flux de vérification trimestrielle : 5 étapes concrètes

Voici le processus que nous recommandons à tous nos clients PME pour vérifier que leur MSSP ou leur prestataire SOC fait réellement son travail. Aucune compétence technique requise - c'est du management de prestataire.

Schema 4 - Flux de vérification trimestrielle de votre prestataire sécurité

1 Demander le rapport mensuel 2 Analyser les KPIs alertes + délais 3 Tester une alerte fictive 4 Vérifier les accès du prestataire 5 Comparer au contrat initial Nb alertes, temps de réponse, incidents Temps réponse réels vs SLA contractuel Simuler une tentative d'accès suspect Qui a accès a quoi dans votre SI ? Ecarts = points de renegociation Doute sur les résultats ? Audit indépendant 2LKATIME - 30 min offertes pour évaluer votre situation

Étape 1 - Demander le rapport mensuel détaillé

Pas le rapport commercial de 2 pages avec des feux tricolores verts. Demandez : le nombre d'alertes reçues, le nombre traitées, le nombre escaladées, les délais réels de traitement et la liste des événements classés "faux positifs". Un prestataire sérieux fournit ces données sans hésiter.

Étape 2 - Comparer les KPIs aux engagements SLA

Ressortez votre contrat et comparez ligne à ligne. Si le SLA promet une réponse sous 2h et que le rapport montre un délai moyen de 6h, c'est un manquement contractuel. Documentez chaque écart - c'est votre levier de renégociation ou de résiliation.

Étape 3 - Tester une alerte fictive

Demandez à un collaborateur de faire une action inhabituelle sur le réseau (connexion depuis un pays étranger via VPN, téléchargement massif de fichiers, tentative d'accès à un répertoire sensible). Chronométrez combien de temps il faut à votre MSSP pour détecter et vous alerter. Ce test simple révèle beaucoup.

Étape 4 - Auditer les accès du prestataire

Votre MSSP a des accès privilégiés à votre SI. Vérifiez : qui exactement a ces accès côté prestataire, si ces comptes sont actifs en permanence ou seulement à la demande, et si les connexions sont tracées et auditables. Un prestataire avec des accès permanents non journalisés est un risque en soi.

Étape 5 - Comparer à votre contrat initial

Les prestataires évoluent : rotation d'équipe, rachat par un grand groupe, changement de plateforme SIEM. Votre contrat de 2023 ne correspond peut-être plus à ce que vous recevez en 2026. Chaque trimestre, vérifiez que les engagements initiaux sont toujours honorés.

-

Si vous êtes basé à Lyon, Nantes ou Toulouse, nos auditeurs se déplacent pour réaliser ce processus de vérification en une demi-journée sur site. Le rapport que vous recevez est directement opposable à votre prestataire.


5. Comment 2LKATIME audité votre prestataire sécurité

Vérifier soi-même son MSSP a des limités : vous manquez de recul technique pour évaluer la qualité des règles SIEM, la complétude de la collecte de logs ou la pertinence des procédures de réponse. C'est là qu'un audit indépendant apporte une vraie valeur ajoutée.

Notre approche pour les PME disposant d'un MSSP ou d'un SOC externalisé se déroule en 3 phases. Nos auditeurs certifiés OSCP et OSEP n'ont aucun lien commercial avec votre prestataire - leur seul objectif est de vous dire la vérité sur votre niveau de protection réel, tel qu'il est documenté dans nos formules d'audit à Paris.

J1

Analyse documentaire

Contrat SLA, rapports des 12 derniers mois, architecture technique, liste des accès prestataire

J2

Pentest de vérification

Tests d'intrusion ciblés pour mesurer ce que votre MSSP détecte réellement vs ce qu'il laisse passer

J3

Rapport + recommandations

Document opposable, points de renégociation identifiés, alternatives si le prestataire est insuffisant


FAQ - Sécurité externalisée et vérification MSSP

Quelle est la différence entre un MSSP et un MDR ?

Un MSSP surveille votre réseau et gère vos outils de sécurité. Un MDR va plus loin : il chasse activement les menaces, analyse les comportements suspects et répond aux incidents de façon proactive. Le MDR est plus coûteux mais beaucoup plus efficace contre les attaques avancées de type ransomware ou APT.

Comment savoir si mon prestataire sécurité fait vraiment son travail ?

Demandez chaque trimestre : un rapport de détection avec le nombre d'alertes traitées, les temps de réponse réels, la liste des vulnérabilités découvertes et corrigées, et les preuves de tests effectués sur votre infrastructure. Si votre prestataire ne peut pas fournir ces éléments, c'est un signal d'alarme majeur. La vérification ultime reste le pentest indépendant.

Un contrat SLA avec un MSSP garantit-il ma sécurité ?

Non. Un SLA garantit des délais de réponse et des disponibilités d'outils, pas la sécurité réelle de votre infrastructure. Beaucoup de PME confondent "avoir un contrat de sécurité" et "être protégée". Le seul moyen de vérifier est un audit indépendant réalisé par une tierce partie sans lien avec votre prestataire.

Combien coûte un audit indépendant de mon prestataire sécurité ?

Un audit de vérification de votre MSSP par 2LKATIME comprend une analyse documentaire, un pentest ciblé et un rapport de conformité opposable. Le premier échange de 30 minutes est offert pour évaluer votre situation et vous donner une estimation précise selon votre infrastructure.

À quelle fréquence vérifier son prestataire de sécurité externalisée ?

Minimum une fois par trimestre pour les indicateurs opérationnels (rapports, alertes, temps de réponse) et une fois par an pour un audit indépendant complet. En cas de changement majeur dans votre SI (migration cloud, acquisition, déploiement d'agents IA), un audit immédiat est recommandé.

Votre MSSP vous protège-t-il vraiment ?

En 30 minutes, nos auditeurs OSCP analysent votre situation, identifient les angles morts de votre prestataire actuel et vous donnent une feuille de route concrète. Premier échange offert, sans engagement, sans conflit d'intérêt.