MSSP / SOC managé — supervision 24/7

Définition

MSSP (Managed Security Service Provider) désigne un prestataire qui opère pour ses clients un service de sécurité managé. SOC (Security Operations Center) désigne le centre de supervision opérationnelle de la sécurité qui assure la détection, l'analyse et la réponse aux incidents.

Un MSSP/SOC sur le périmètre santé comprend typiquement :

1. Supervision 24/7 des événements de sécurité (logs, alertes, signaux SIEM, EDR).
2. Détection : règles de corrélation, threat intelligence, indicateurs de compromission.
3. Qualification : analyse de l'alerte (faux positif vs incident).
4. Réponse : confinement, éradication, restauration, notification.
5. Reporting : rapports quotidiens, hebdomadaires, mensuels selon le contrat.

Pour les données de santé, le MSSP/SOC doit opérer dans le périmètre HDS-certifié activité 5 (administration et exploitation du SI) — c'est explicitement requis par le référentiel ANS v2.0.

Pourquoi c'est important pour un hébergeur HDS

Trois enjeux principaux :

1. Détection précoce des compromissions : la moyenne de détection « médiane » se mesure en mois sur les SI non supervisés. Avec un SOC bien rodé, elle descend à des heures.
2. Conformité NIS2 : NIS2 exige la notification d'incident dans les 24h. Sans SOC, c'est impossible à tenir.
3. Garantie de la chaîne HDS : un incident sur l'infrastructure peut affecter directement la sécurité des données patient. Le SOC est la première ligne de défense opérationnelle.

Comment ce critère est attribué dans le comparateur

• ✓ Vérifié : page MSSP / SOC sur le site officiel de l'hébergeur, mentionnant explicitement la supervision 24/7, le périmètre couvert et — quand l'information est publique — les certifications du SOC (ANSSI PRIS, PASSI, etc.).
• ◐ Revendiqué : mention « services de sécurité managés » sans détail sur le SOC ni les horaires.
• ⚠ Hors périmètre HDS : service revendiqué hors scope HDS — l'hébergeur n'est pas certifié activité 5. À vérifier auprès de l'éditeur si activité 5 sous-traitée.
• ? Non documenté : pas d'offre MSSP/SOC publique.

Règle de cohérence : un MSSP/SOC sur le périmètre santé est valide si l'hébergeur (ou son sous-traitant déclaré) est certifié HDS activité 5.

Pour quel profil c'est critique

Composantes typiques d'un MSSP/SOC

• SIEM (Security Information and Event Management) : Splunk, Elastic Security, QRadar, Sentinel, ou solutions open source (Wazuh, OpenSearch).
• EDR/XDR : détection sur les endpoints serveurs.
• NDR : détection sur les flux réseau.
• Threat Intelligence : abonnement à des flux d'IoC (MISP, commerciaux).
• SOAR : automatisation de réponse (playbooks).
• Runbooks : procédures opérationnelles documentées.
• Astreintes 24/7 : équipe niveau 1 + escalade niveau 2/3.

Modèles tarifaires :

• Au log/Go ingéré : 0,5 - 2 €/Go selon prestataire.
• Forfait par actif supervisé : ~30-150 €/serveur/mois.
• Forfait projet : audit + setup + run avec engagement.

Plus-value vs coût

Pour un hébergeur HDS, c'est quasi obligatoire : sans SOC supervisé, vous ne pouvez ni démontrer la conformité HDS activité 5, ni respecter les notifications NIS2.

Pour un client, externaliser le SOC à son hébergeur est généralement plus pertinent que d'internaliser : économie d'échelle, expertise sectorielle, mutualisation des alertes santé inter-clients.

FAQ

Différence MSSP vs MDR ? MSSP est large (firewall managé, supervision IDS, gestion d'identité…). MDR (Managed Detection and Response) est focalisé sur la détection et la réponse aux incidents. Un SOC moderne fait du MDR.

Quelle certification pour un SOC ? ISO 27001 sur le périmètre SOC (minimum). PASSI (Prestataire d'Audit en Sécurité des SI) si le SOC fait aussi des audits. PRIS (Prestataire de Réponse aux Incidents) si focus IR. HDS activité 5 pour le périmètre santé.

Que faut-il vérifier dans le contrat MSSP ? SLA de détection (MTTD), SLA de qualification (MTTR), définition du périmètre (assets supervisés vs non), responsabilités en cas d'incident (qui contient, qui notifie, qui communique avec les autorités), reporting attendu, droit d'audit du client.

Mon hébergeur sous-traite le SOC, c'est un problème ? Pas en soi — beaucoup d'hébergeurs sous-traitent à un MSSP spécialisé. Vérifiez (1) que le sous-traitant est nommé contractuellement, (2) qu'il est certifié HDS activité 5 (s'il manipule des données patient), (3) que la chaîne de responsabilité est claire.

Glossaire

• SOC : Security Operations Center.
• SIEM : Security Information and Event Management.
• EDR / XDR : Endpoint / Extended Detection and Response.
• MDR : Managed Detection and Response.
• MTTD / MTTR : Mean Time To Detect / Respond.
• IoC : Indicators of Compromise.
• PASSI / PRIS : qualifications ANSSI pour prestataires de cyber.