Sécurité externalisée : votre prestataire vous protège-t-il vraiment ?
MSSP, SOC, MDR - vous avez signé un contrat. Mais avez-vous vérifié ce qu'il garantit réellement ?

Retour d'expérience terrain 2LKATIME
Nos auditeurs certifiés OSCP, OSEP et OSWE interviennent chaque mois sur des PME qui pensaient être protégées par leur prestataire. Cet article est basé sur des dizaines de missions réelles d'audit indépendant menées entre 2024 et 2026.
En France, 68 % des PME victimes d'une cyberattaque en 2025 avaient un contrat actif avec un prestataire de sécurité au moment de l'incident. Elles payaient une facture mensuelle, recevaient des rapports, et se croyaient protégées. Le problème n'est pas que ces prestataires sont incompétents - c'est que personne ne vérifie jamais si le travail est réellement fait.
Dans cet article, nous expliquons d'abord ce que sont concrètement les différents types de prestataires (MSSP, SOC, MDR), ce que votre contrat SLA garantit vraiment - et ce qu'il ne garantit pas - et comment vérifier trimestriellement que votre prestataire fait son travail. Sans jargon inutile, avec des outils concrets utilisables dès demain.
Glossaire : MSSP, SOC, MDR, SECaaS - ce que chaque terme signifie
Avant d'aller plus loin, posons le vocabulaire. Votre prestataire utilise probablement ces termes dans ses présentations commerciales. Voici ce qu'ils signifient réellement pour un dirigeant non-technique :
Managed Security Service Provider
Entreprise qui surveille votre sécurité, gère vos outils (antivirus, firewall, SIEM) et alerte en cas de problème. C'est la formule de basé - ils font la cybersécurité à votre place.
Exemple : vous payez 500-2000€/mois, ils surveillent votre réseau 24/7 et vous appellent si une alerte critique se déclenche.
Security Operations Center
Centre opérationnel de sécurité - l'équipe et les outils qui analysent les alertes en temps réel. Un SOC peut être interne (vous avez votre propre équipe) ou externalisé (géré par votre MSSP).
Quand votre MSSP parle de "SOC 24/7", il s'agit de son centre de surveillance qui gère vos alertes.
Managed Détection and Response
Un niveau au-dessus du MSSP. Le MDR ne se contente pas de surveiller - il chasse activement les menaces, analyse les comportements anormaux et répond aux incidents de façon proactive. C'est la différence entre un vigile et un enquêteur.
MSSP = réagit aux alertes. MDR = cherche les problèmes avant qu'ils déclenchent une alerte.
Security as a Service
Sécurité fournie entièrement via le cloud, à la demande. Inclut souvent un SOC externalisé, des outils SIEM cloud, et parfois des fonctions MDR. Le modèle le plus flexible pour les PME.
Avantage : pas d'infrastructure à maintenir. Limité : dépendance totale au prestataire cloud.
Schema 1 - La pyramide des niveaux de protection externalisée
La majorité des PME françaises ont un MSSP de niveau 2 - surveillance et outils. Très peu ont un vrai MDR. Le problème : beaucoup de prestataires vendent du "MDR" qui est en réalité un MSSP glorifié. La vérification indépendante permet de savoir exactement ce que vous avez.
2. Ce que votre SLA garantit - et ce qu'il ne garantit pas
Un SLA (Service Level Agreement) est un contrat de niveau de service. Il définit des engagements mesurables entre vous et votre prestataire. Le problème : ces engagements portent sur des métriques opérationnelles, pas sur la sécurité réelle de votre infrastructure.
Schema 2 - Ce que vous croyez avoir vs ce que le SLA garantit vraiment
Ce tableau n'est pas une critique des prestataires - c'est la réalité contractuelle. Un bon MSSP fait exactement ce qu'il a promis. Le problème est que la plupart des dirigeants de PME n'ont jamais lu les 40 pages de leur contrat et découvrent ces limités uniquement lors d'un incident.
68 %
des PME breachées avaient un contrat sécu actif
4h
délai de réponse moyen SLA - mais en heures ouvrées seulement
1/3
des alertes MSSP ne sont jamais analysées faute de ressources
14 mois
durée moyenne sans audit indépendant dans une PME sous contrat MSSP
3. Anatomie d'un vrai SOC externalisé : ce qui se passe (ou pas) derrière votre contrat
Quand votre MSSP parle de son "SOC 24/7", voici concrètement ce que cela signifie - et les points de défaillance possibles à chaque étape.
Schema 3 - Anatomie d'un SOC externalisé et points de defaillance
Point de défaillance 1 : les logs sont incomplets
Votre MSSP ne peut analyser que ce qu'il reçoit. Si un poste de travail, une application cloud ou un équipement réseau n'est pas correctement configuré pour envoyer ses logs, cette partie de votre SI est un angle mort total. Très fréquent après une migration cloud ou l'ajout d'un nouveau logiciel.
Point de défaillance 2 : les règles SIEM ne sont plus à jour
Un SIEM détecte les menaces par pattern matching - il cherche des signatures connues. Si les règles n'ont pas été mises à jour depuis 6 mois, les nouvelles techniques d'attaque (nouvelles CVE, nouveaux malwares) passent sans déclencher la moindre alerte. Un MSSP sérieux met à jour ses règles chaque semaine.
Point de défaillance 3 : l'analyste est mutualisé sur trop de clients
C'est le point le plus difficile à évaluer de l'extérieur. Un bon ratio est de 1 analyste pour 15-20 clients maximum. Au-delà, certaines alertes sont traitées de façon automatique ou ignorées faute de temps. En pratique, beaucoup de MSSP low-cost fonctionnent à 1 analyste pour 80-100 clients.
4. Le flux de vérification trimestrielle : 5 étapes concrètes
Voici le processus que nous recommandons à tous nos clients PME pour vérifier que leur MSSP ou leur prestataire SOC fait réellement son travail. Aucune compétence technique requise - c'est du management de prestataire.
Schema 4 - Flux de vérification trimestrielle de votre prestataire sécurité
Étape 1 - Demander le rapport mensuel détaillé
Pas le rapport commercial de 2 pages avec des feux tricolores verts. Demandez : le nombre d'alertes reçues, le nombre traitées, le nombre escaladées, les délais réels de traitement et la liste des événements classés "faux positifs". Un prestataire sérieux fournit ces données sans hésiter.
Étape 2 - Comparer les KPIs aux engagements SLA
Ressortez votre contrat et comparez ligne à ligne. Si le SLA promet une réponse sous 2h et que le rapport montre un délai moyen de 6h, c'est un manquement contractuel. Documentez chaque écart - c'est votre levier de renégociation ou de résiliation.
Étape 3 - Tester une alerte fictive
Demandez à un collaborateur de faire une action inhabituelle sur le réseau (connexion depuis un pays étranger via VPN, téléchargement massif de fichiers, tentative d'accès à un répertoire sensible). Chronométrez combien de temps il faut à votre MSSP pour détecter et vous alerter. Ce test simple révèle beaucoup.
Étape 4 - Auditer les accès du prestataire
Votre MSSP a des accès privilégiés à votre SI. Vérifiez : qui exactement a ces accès côté prestataire, si ces comptes sont actifs en permanence ou seulement à la demande, et si les connexions sont tracées et auditables. Un prestataire avec des accès permanents non journalisés est un risque en soi.
Étape 5 - Comparer à votre contrat initial
Les prestataires évoluent : rotation d'équipe, rachat par un grand groupe, changement de plateforme SIEM. Votre contrat de 2023 ne correspond peut-être plus à ce que vous recevez en 2026. Chaque trimestre, vérifiez que les engagements initiaux sont toujours honorés.
5. Comment 2LKATIME audité votre prestataire sécurité
Vérifier soi-même son MSSP a des limités : vous manquez de recul technique pour évaluer la qualité des règles SIEM, la complétude de la collecte de logs ou la pertinence des procédures de réponse. C'est là qu'un audit indépendant apporte une vraie valeur ajoutée.
Notre approche pour les PME disposant d'un MSSP ou d'un SOC externalisé se déroule en 3 phases. Nos auditeurs certifiés OSCP et OSEP n'ont aucun lien commercial avec votre prestataire - leur seul objectif est de vous dire la vérité sur votre niveau de protection réel, tel qu'il est documenté dans nos formules d'audit à Paris.
J1
Analyse documentaire
Contrat SLA, rapports des 12 derniers mois, architecture technique, liste des accès prestataire
J2
Pentest de vérification
Tests d'intrusion ciblés pour mesurer ce que votre MSSP détecte réellement vs ce qu'il laisse passer
J3
Rapport + recommandations
Document opposable, points de renégociation identifiés, alternatives si le prestataire est insuffisant
FAQ - Sécurité externalisée et vérification MSSP
Quelle est la différence entre un MSSP et un MDR ?
Un MSSP surveille votre réseau et gère vos outils de sécurité. Un MDR va plus loin : il chasse activement les menaces, analyse les comportements suspects et répond aux incidents de façon proactive. Le MDR est plus coûteux mais beaucoup plus efficace contre les attaques avancées de type ransomware ou APT.
Comment savoir si mon prestataire sécurité fait vraiment son travail ?
Demandez chaque trimestre : un rapport de détection avec le nombre d'alertes traitées, les temps de réponse réels, la liste des vulnérabilités découvertes et corrigées, et les preuves de tests effectués sur votre infrastructure. Si votre prestataire ne peut pas fournir ces éléments, c'est un signal d'alarme majeur. La vérification ultime reste le pentest indépendant.
Un contrat SLA avec un MSSP garantit-il ma sécurité ?
Non. Un SLA garantit des délais de réponse et des disponibilités d'outils, pas la sécurité réelle de votre infrastructure. Beaucoup de PME confondent "avoir un contrat de sécurité" et "être protégée". Le seul moyen de vérifier est un audit indépendant réalisé par une tierce partie sans lien avec votre prestataire.
Combien coûte un audit indépendant de mon prestataire sécurité ?
Un audit de vérification de votre MSSP par 2LKATIME comprend une analyse documentaire, un pentest ciblé et un rapport de conformité opposable. Le premier échange de 30 minutes est offert pour évaluer votre situation et vous donner une estimation précise selon votre infrastructure.
À quelle fréquence vérifier son prestataire de sécurité externalisée ?
Minimum une fois par trimestre pour les indicateurs opérationnels (rapports, alertes, temps de réponse) et une fois par an pour un audit indépendant complet. En cas de changement majeur dans votre SI (migration cloud, acquisition, déploiement d'agents IA), un audit immédiat est recommandé.
Votre MSSP vous protège-t-il vraiment ?
En 30 minutes, nos auditeurs OSCP analysent votre situation, identifient les angles morts de votre prestataire actuel et vous donnent une feuille de route concrète. Premier échange offert, sans engagement, sans conflit d'intérêt.