Quand j’ai débarqué chez Orange Cyberdefense fin 2016, il y avait deux noms qui revenaient avec insistance dans toutes les conversations.

Emmanuel Macron, qui allait devenir président quelques mois plus tard.
Et Antonin.

Le mec à droite, c’est Antonin.

C’était une sorte de légende dans l’open-space d’Orange à Rueil-Malmaison. Lui et son équipe avaient monté des SOC pour une bonne partie des entreprises françaises. Des contrats allant de 150K€ à 3M€ par an signés par des RSSI et des DSI qui - pour la plupart - contractualisent un service SOC pour la première fois.

Ce qui m’a interpellé : les clients étaient compétents et plutôt bien intentionnés. Par contre, la plupart n’avait aucune référence ou grille crédible pour évaluer objectivement ce qu’ils achetaient. Hormis le sourire rassurant d’Antonin, une chemise bien repassée et une poignée de main ferme.

C’était il y a plus de 10 ans. Pourtant, ce constat est toujours d’actualité aujourd’hui.

Antonin est mon invité spécial du jour pour adresser le sujet (Désolé pour ceux qui attendaient Manu. Il a d’autres priorités en ce moment).

Antonin est désormais CTO et General Manager d’un éditeur de solution NDR. Il a fondé la 1ère équipe SOC de CGI en France en 2006 - à une époque où le terme “SOC” était encore flou. Il a construit l’équipe détection chez Atheos (rachetée par Orange), restructuré le SOC de Sopra Steria, a été directeur cyber chez Capgemini. Il a vu des dizaines de contrats SOC se négocier. Des bons. Des moins bons.

Cet article est indépendant et n’est pas sponsorisé. Antonin a gentiment accepté l’invitation en tant que praticien cyber et SOC avec plus de 25 ans d’expérience.

Les fameuses questions

Quand on signe un contrat SOC, on est dans une position inconfortable. On s’engage, en général sur 3 ans. On ne sait pas exactement ce qu’on achète en terme de qualité de service. On doit faire confiance aux slides, aux commerciaux qui les présentent, aux certifs, aux références clients.

Surtout, on ne veut pas risquer d’abîmer la relation de confiance avec son prestataire avant même le démarrage. En challengeant et en demandant des comptes.

Sauf que le diable se cache dans ce qu’on n’a pas osé demander avant de signer.

J’ai demandé à Antonin les questions qu’un DSI ou RSSI doit mettre au clair avec son prestataire SOC, idéalement avant de contractualiser.

La 1ère question d’Antonin : “Montrez-moi la procédure exacte pour un ransomware détecté samedi à 3h du matin. Qui appelle qui, en combien de temps, et qui décide de couper quoi ?”

Les prestataires vendent souvent de la détection, pas de la réponse. Quand vous forcez la démonstration du scénario réel, vous voyez immédiatement si la chaîne tient avec un runbook structuré ou si c’est juste une slide. Ou un avenant qui apparaîtra dans votre prochain renouvellement.

La 2ème : “Quel pourcentage de faux positifs attendez-vous par semaine sur mon SI, et qui paie leur traitement ?”

Le vrai coût d’un SOC, c’est le bruit. Dans mon premier numéro, j’expliquais qu’un SOC qui traite 80% de faux positifs développe un réflexe dangereux : ses analystes ferment les alertes plus vite, avec moins d’attention. C’est exactement là que les vraies attaques passent. Un prestataire qui promet “peu de faux positifs” sans engagement chiffré vous vend un rêve. Et quand ça explose, ce sont vos équipes opérationnelles qui encaissent - pas les siennes.

La 3ème question d’Antonin, la plus sous-estimée : “Si je résilie dans 12 mois, qui est propriétaire des règles de détection développées pour mon périmètre ?”

Neuf fois sur dix, la réponse est : le prestataire. Vous repartez à zéro. C’est un vendor lock-in - une dépendance forcée - que personne ne voit venir au moment de signer.

4ème et dernière question : “Combien d’analystes dédiés, physiquement, à mon compte ?”

Vous seriez surpris. La réponse honnête est souvent : zéro. L’analyste existe. Mais il est mutualisé sur 10, 15 clients. Son temps réel sur votre compte se compte en minutes par jour. Le reste, c’est du jonglage de contexte : passer d’une plateforme à un autre, d’un client à l’autre. C’est le modèle économique du SOC externalisé mutualisé et il faut en être conscient.

Rendre les vrais KPIs digestes

Dans le numéro #1, je listais les indicateurs qui comptent vraiment : taux de faux positifs, MTTD, ratio de revue des use cases, taux de détection sur scénarios simulés. La question qu’un RSSI d’une filiale m’a posé la semaine dernière : comment je présente ça au COMEX sans perdre tout le monde ?

La règle d’Antonin est simple. Ne jamais présenter un KPI sans le traduire en question business.

“Sur 100 scénarios d’attaque testés ce trimestre, combien en a-t-on attrapés ?”

C’est la couverture effective - pas théorique.

“Si on se prend un vrai incident demain, en combien de temps détecte-t-on, contient-on ?”

C’est le MTTD et le MTTR, mais sur scénario réel. Pas en moyenne sur du bruit.

“Combien d’heures-analyste gaspillées sur du faux positif ce mois-ci ?”

C’est le coût caché que votre reporting mensuel n’affiche jamais.

Sa métaphore :

“Un SOC, c’est un service de garde aux urgences. On ne juge pas un service d’urgences au nombre de patients accueillis. On le juge au temps de prise en charge des cas graves. Le jour où vous arrivez avec un infarctus, vous vous fichez qu’ils aient traité 800 bobos dans la semaine.”

Attention au claquage

Antonin a plus d’une métaphore dans son sac. En voici une dernière marquante.

"Un SOC, c’est un muscle. Ça se construit, ça s’entretient, ça se teste. Un muscle qu’on ne challenge jamais s’atrophie. Le jour de l’incident, vous découvrez qu’il n’est plus là.”

Ces questions, c’est votre premier test de résistance. Posez-les avant de signer, à votre prochain comité, ou avant votre prochain renouvellement de contrat.
Un prestataire solide a déjà les éléments et répondra sans hésiter.
S’il botte en touche ? ça vous donne une information très utile.

Mehdi Charki est SOC Manager avec 10 ans d’experience. SOC Performance est sa newsletter indépendante sur la gouvernance, stratégie et pilotage SOC.