SOC et SIEM : détection d'incidents selon ANSSI

En une phrase. Le SOC (Security Operations Center) est l’équipe humaine qui exploite le SIEM (Security Information and Event Management) pour détecter, qualifier et répondre aux incidents 24/7. NIS 2 article 21 §2(b) impose la « gestion des incidents » ; l’ANSSI qualifie les PRIS (Prestataires de Réponse aux Incidents) et PDIS (Prestataires de Détection) pour externalisation. Un SOC opérationnel coûte 300 000 à 2 M€/an selon le modèle ; un MDR managé démarre à 30 000 €/an pour 100 endpoints.

Sans SOC ni MDR, le délai de détection médian d’une intrusion en France est de 204 jours (IBM Cost of Data Breach 2024). Avec un SOC mature, ce délai tombe à 9 jours. La différence est régulièrement la frontière entre incident maîtrisé et crise majeure.

Pour approfondir : PSSI ANSSI, PCA ANSSI, cartographie SI.

Points clés

• L’ANSSI qualifie 2 catégories de prestataires : PRIS (réponse) et PDIS (détection).
• Un SOC mature opère 4 niveaux : L1 triage, L2 investigation, L3 forensics, L4 threat hunting.
• Les playbooks standardisés (SOAR) réduisent le MTTR de 40 à 70 %.
• NIS 2 art. 21 §2(b) impose la gestion d’incidents pour 15 000+ entités françaises.
• Le MITRE ATT&CK est devenu le référentiel commun de la détection (14 tactiques, 200+ techniques).

1. SOC : définition et missions

Le SOC pilote 5 missions :

1. Surveillance 24/7 (ou 8/5 + astreinte)
2. Détection d’événements suspects (alertes SIEM)
3. Qualification (incident vrai/faux positif)
4. Réponse initiale (containment, escalation)
5. Threat hunting proactif (recherche d’IoC, anomalies)

L’ANSSI distingue le SOC du CERT (Computer Emergency Response Team) : le CERT gère les crises majeures, le SOC l’opérationnel quotidien.

2. SIEM : technologies de référence

SIEM	Modèle	Cible	Prix indicatif
Splunk Enterprise	Volume ingéré	Grands comptes	150 €/GB/an+
Microsoft Sentinel	Volume + Azure	Microsoft-centric	2-3 €/GB
IBM QRadar	EPS + capacity	Grands comptes	150 K€+/an
Elastic Security	Open source + commercial	ETI, tech	Variable
Wazuh	Open source	PME, ETI	0 € + support
Graylog	Open source + Enterprise	PME	0-50 K€/an
Sekoia.io XDR	SaaS français	ETI, OIV	Sur devis

3. Niveaux d’un SOC

Niveau	Rôle	Compétences
L1	Triage, qualification première ligne	SIEM, playbooks
L2	Investigation, escalade	Forensics light, malware
L3	Forensics, reverse engineering	DFIR avancé
L4	Threat hunting, R&D détection	Threat intel, programmation
L5 (opt.)	Red team interne	Pentest, exploit

Effectif type pour 24/7 :

• L1 : 6-8 ETP (3 shifts)
• L2 : 3-4 ETP
• L3 : 2-3 ETP
• L4 : 1-2 ETP

Coût moyen complet : 1,2 à 2 M€/an pour un SOC 24/7 interne.

4. Qualification ANSSI PRIS / PDIS

L’ANSSI publie deux référentiels :

• PRIS (Prestataires de Réponse aux Incidents de Sécurité)
• PDIS (Prestataires de Détection d’Incidents de Sécurité)

Prestataires qualifiés 2024 (extraits) :

PRIS qualifiés : Almond, Capgemini, Intrinsec, Lexfo, Mandiant France, Orange Cyberdefense, Synacktiv, Thales, Wavestone.

PDIS qualifiés : Advens, Almond, Atos, Capgemini, Intrinsec, Orange Cyberdefense, Sopra Steria, Thales.

La qualification est requise pour les OIV et fortement recommandée pour les opérateurs essentiels NIS 2.

5. MDR : externalisation pragmatique

Le MDR (Managed Detection & Response) est la solution pour PME/ETI qui ne peuvent financer un SOC interne :

Type	Cible	Coût annuel indicatif
EDR managé (Defender for Endpoint P2, SentinelOne Vigilance)	PME	30-80 K€ pour 100 postes
MDR cloud (Arctic Wolf, eSentire)	ETI	80-250 K€
MDR souverain français (Sekoia, Tehtris, Glimps)	ETI, secteur public	100-300 K€

ROI typique : 1 incident majeur évité = MDR payé sur 3-5 ans.

6. MITRE ATT&CK : le référentiel commun

ATT&CK organise les TTP (Tactics, Techniques, Procedures) en 14 tactiques :

1. Reconnaissance
2. Resource Development
3. Initial Access
4. Execution
5. Persistence
6. Privilege Escalation
7. Defense Evasion
8. Credential Access
9. Discovery
10. Lateral Movement
11. Collection
12. Command and Control
13. Exfiltration
14. Impact

Chaque tactique inclut 10-30 techniques. Un SOC mature couvre 70 %+ des techniques par des règles de détection.

7. Use cases SIEM prioritaires

Top 20 ANSSI/SANS :

1. Brute force authentification
2. Connexion réussie après échecs multiples
3. Geo-velocity (login impossible)
4. Création compte privilégié
5. Élévation privilèges hors processus
6. Désactivation EDR / Defender
7. Modification GPO sensible
8. PowerShell encodé / obfusqué
9. WMI/PsExec d’origine inhabituelle
10. DNS tunneling
11. Connexion C2 (threat intel)
12. Beaconing (intervalles réguliers)
13. Exfiltration volumineuse
14. Accès massif fichiers
15. Création tâche planifiée
16. Modification registre run
17. Mimikatz / LSASS dump
18. Kerberoasting / AS-REP roasting
19. DCSync detection
20. Ransomware behavior (extension renaming)

8. SOAR : automatisation des playbooks

Le SOAR (Security Orchestration, Automation, Response) automatise les actions répétitives :

• Enrichissement alertes (WhoIs, VirusTotal, threat intel)
• Isolement endpoint (EDR API)
• Désactivation compte AD
• Ouverture ticket ITSM
• Notification SMS / Teams

Solutions : Palo Alto XSOAR, Splunk SOAR (ex-Phantom), Microsoft Sentinel Playbooks, IBM Resilient, Tines.

Gain typique : MTTR (Mean Time To Respond) divisé par 3 à 5.

9. Threat Intelligence

Sources gratuites :

• CERT-FR alertes / avis
• CISA KEV (Known Exploited Vulnerabilities)
• MISP (plateforme française open source)
• AlienVault OTX

Sources payantes : Mandiant Advantage, Recorded Future, CrowdStrike Falcon X, Sekoia.io TIP.

Pour les OIV : adhésion InterCERT-FR et flux CERT-FR confidentiels.

10. NIS 2 et obligations SOC

Article 21 §2 :

• (b) gestion des incidents ← SOC
• (g) « pratiques de base en matière de cyber hygiène » ← monitoring
• (i) « gestion des actifs et contrôle d’accès » ← visibilité

Notification incident : 24h alerte + 72h notification à l’ANSSI/CSIRT. Sanctions jusqu’à 10 M€ ou 2 % CA mondial (entités essentielles).

11. Coûts : faire vs faire faire

Modèle	Coût annuel	Délai mise en place	Cible
SIEM seul + 1 ETP	100-200 K€	6 mois	PME 50-200
SOC interne 8/5	400-700 K€	12 mois	ETI
SOC interne 24/7	1,2-2 M€	18 mois	Grand compte
MDR managé	30-300 K€	1-3 mois	Tous
Hybride (MDR + analystes internes)	200-600 K€	6 mois	ETI mature

12. KPI d’un SOC mature

KPI	Objectif
MTTD (Mean Time To Detect)	< 1h pour critique
MTTR (Mean Time To Respond)	< 4h pour critique
Couverture MITRE ATT&CK	> 70 % techniques
Taux faux positifs	< 20 % alertes L1
Disponibilité SIEM	> 99,9 %
Délai correction règle	< 7 jours post-incident

Benchmark sectoriel : SANS 2024 SOC Survey.

FAQ

Quelle différence entre SOC, SIEM et SOAR ?

SIEM = outil (collecte, corrèle, alerte). SOC = équipe humaine qui exploite le SIEM. SOAR = couche d’automatisation au-dessus du SIEM pour orchestrer les réponses. SIEM est obligatoire, SOC indispensable, SOAR optionnel mais ROI rapide.

Faut-il un SOC interne ou externalisé (MDR) ?

Pour PME/ETI < 1 000 salariés : MDR quasi systématiquement (coût, sourcing). Pour ETI > 1 000 ou secteurs régulés : hybride (MDR + 2-3 analystes internes). Pour OIV et grands comptes : SOC interne souvent obligatoire, qualifié PDIS.

Quel SIEM choisir en 2026 ?

PME open source : Wazuh ou Graylog. Microsoft-centric : Sentinel. Grands comptes data-intensive : Splunk. ETI cherchant alternative française : Sekoia.io XDR. Le choix dépend du volume (GB/jour ingérés), des compétences internes, et du budget.

Combien de logs ingérer ?

Référence ANSSI : tous les logs sécurité (AD, firewall, EDR, proxy, VPN). Pas les logs applicatifs verbeux non sécuritaires. Volume typique : 1-5 GB/jour pour 100 employés, 10-50 GB/jour pour 1 000 employés, 100 GB+/jour pour grand compte.

Combien de temps pour mettre en place un SOC ?

MDR managé : 1-3 mois (intégration EDR + collecteurs). SOC interne 8/5 : 12 mois (recrutement, formation, intégration). SOC interne 24/7 : 18-24 mois. Qualification PDIS : 24-36 mois supplémentaires (audit ANSSI complet).