Les outils d’opérations de sécurité désignent les technologies utilisées par un centre d’opérations de sécurité (SOC) pour collecter des données télémétriques, détecter les menaces, enquêter sur les incidents et intervenir au niveau des terminaux, du réseau, des identités et cloud. Toutes les listes d’outils SOC couvrent globalement les mêmes catégories. Presque aucune ne répond aux deux questions qui déterminent les résultats : l’outil détecte-t-il réellement les attaques une fois déployé, et continue-t-il de fonctionner lorsqu’un attaquant tente de le désactiver ? Ces deux questions s’appuient désormais sur des données concrètes. Des études récentes sur la détection montrent un écart persistant entre ce que les outils enregistrent et ce sur quoi ils déclenchent des alertes. Et en avril 2026, MITRE ATT&CK a consacré une tactique distincte à la manipulation des outils. Ce guide présente les catégories principales, les preuves de ce qui fonctionne réellement et la manière de choisir des outils d’opérations de sécurité capables de résister à une attaque.
Les outils d'opérations de sécurité désignent l'ensemble des technologies intégrées qu'un SOC utilise pour collecter des données télémétriques, détecter les menaces, enquêter sur les alertes et intervenir en cas d'incidents au niveau des terminaux, du réseau, des identités et cloud. Un SOC associe ces outils à des ressources humaines et à des processus pour assurer la surveillance, le triage, les enquêtes et les interventions au sein d'un système unique ; aucun outil ne peut à lui seul remplir toutes ces fonctions.
Précisons d'emblée un point. Dans ce guide, l'acronyme SOC désigne un centre d'opérations de sécurité (Security Operations Center). Il ne s'agit ni de SOC 2, le référentiel d'audit de conformité, ni de la gamme de produits industriels « SOC Tools », qui n'a aucun rapport avec ce sujet mais porte le même nom dans les résultats de recherche. Les termes « outils SOC », « outils SecOps » et « outils pour centre d'opérations de sécurité » désignent tous ici la même chose : les logiciels utilisés par une équipe de sécurité.
Les principales catégories sont la gestion des informations et des événements de sécurité (SIEM), la détection et la réponse endpoint étendues (EDR/XDR), détection et réponse aux incidents NDR), l’orchestration, l’automatisation et la réponse en matière de sécurité (SOAR), ainsi que les plateformes de renseignements sur les menaces (TIP), sans oublier la gestion des vulnérabilités, l’analyse des identités et cloud . Ensemble, elles visent un seul et même objectif : une détection et une réponse fiables face aux menaces. Cependant, les outils ne constituent pas à eux seuls un SOC : ils permettent simplement de l’équiper. La pratique plus large des opérations de sécurité englobe les personnes et les processus qui les entourent ; cette page se concentre sur la couche technologique.
Ce cadre est important car la plupart des entreprises ne manquent pas d’outils — ce qui leur manque, ce sont les preuves que ces outils détectent effectivement les menaces. La taxonomie des catégories ci-dessous est un minimum indispensable ; presque tous les guides disponibles sur Internet en proposent une. Ce que la plupart d’entre eux omettent, ce sont les preuves : les données sur la satisfaction des utilisateurs, la question de la résistance à la manipulation, et l’efficacité mesurée de la détection. Ces trois axes constituent le fil conducteur du reste de ce guide. L’objectif final est concret : savoir de quelles catégories votre équipe a réellement besoin, quel sera le coût de fonctionnement de chacune d’entre elles, et comment vérifier si celles dont vous disposez déjà sont efficaces.
La taxonomie ci-dessous est classée en fonction de l'avis des professionnels, et non selon les stratégies marketing des éditeurs. Dans l'enquête SANS 2025 SOC — parrainée par Elastic, une précision qu'il convient de mentionner —, les outils EDR/XDR ont été la seule catégorie à obtenir une note supérieure à 3 sur l'échelle de satisfaction à 4 niveaux de l'enquête, tandis que les outils basés sur l'IA et le ML se sont classés en bas du tableau. Ce classement va à l'encontre de la plupart des classements proposés par les éditeurs, et c'est précisément ce qui le rend utile.
Tableau : Principales catégories d'outils d'opérations de sécurité, classées en commençant par les solutions EDR/XDR et en terminant par les analyses basées sur l'IA et le ML, conformément au modèle de satisfaction SANS 2025.
Endpoint et la réponseEndpoint (EDR) surveillent endpoint et le comportement endpoint , puis contiennent les menaces au niveau de l’hôte. La détection et la réponse étendues (XDR) étendent ce modèle à des sources de télémétrie supplémentaires. Catégorie la mieux notée par les professionnels, selon le rapport SANS 2025. Inconvénient : tout ce qui ne peut pas exécuter d’agent — appareils non gérés, IoT, équipements — échappe à sa surveillance. Risque d’altération : les agents EDR constituent la cible principale des outils de contournement de l’EDR abordés dans la section suivante.
détection et réponse aux incidents (NDR) détecte le comportement des attaquants à partir du trafic réseau, en fonctionnant hors bande. Son statut de premier plan repose sur des preuves, et non sur un simple positionnement : il complète la triade de visibilité du SOC aux côtés du SIEM et de l’EDR, et la télémétrie réseau continue de fonctionner même lorsqu’un endpoint est désactivé. Inconvénient : il ne peut pas mettre un hôte en quarantaine de lui-même, et le placement des capteurs ainsi que le trafic chiffré nécessitent une attention particulière de la part des ingénieurs. Risque de falsification : la catégorie la plus difficile à masquer à partir d’un hôte compromis.
Le SIEM agrège les journaux provenant de l'ensemble de l'environnement, les met en corrélation et génère des alertes. Il s'agit de la colonne vertébrale courante d'un SOC — courante, mais pas obligatoire. Les équipes peuvent gérer un SOC sans SIEM — ce qu’elles font parfois — en s’appuyant plutôt sur une solution XDR ou un lac de données avec une approche « detection-as-code ». Inconvénient : le coût de l’ingestion augmente proportionnellement au volume de données, et les règles de corrélation nécessitent un ajustement continu. Vulnérabilité face à la falsification : toute falsification des journaux en amont rend le SIEM totalement aveugle, et son plan de gestion est lui-même une cible.
SOAR exécute des scénarios qui orchestrent les actions de triage, d’enrichissement et de réponse à tous les niveaux de la pile. Inconvénient : il automatise les données quelle que soit leur qualité — les données validées par des pairs présentées plus loin dans ce guide montrent que la précision peut baisser même si la vitesse s’améliore. Pour plus de détails sur la stratégie d’automatisation, consultez la section « Automatisation du SOC ». Risque d’altération : une plateforme SOAR compromise met entre les mains d’un attaquant votre propre système de réponse.
Les outils et plateformes de renseignements sur les menaces (TIP) agrègent des indicateurs et des informations contextuelles sur les attaquants, puis transmettent ces données enrichies au SIEM et au processus de triage. Inconvénient : sans filtrage, le volume des données transmises génère davantage de bruit que de contexte, et la valeur de ces informations dépend entièrement de l’intégration en aval. Risque d’altération : une plateforme TIP n’est pas conçue pour détecter sa propre compromission ou une chaîne de données corrompue ; ce sont les contrôles qui l’entourent qui doivent le faire.
La gestion des vulnérabilités permet d'identifier les ressources, de rechercher les failles et de hiérarchiser les mesures correctives. Inconvénient : il s'agit d'une approche préventive plutôt que détective — elle repère la fenêtre ouverte, mais ne voit pas qui s'y engouffre. Risque de manipulation : il est facile de restreindre discrètement la portée de l'analyse, et les ressources non analysées sont considérées comme « saines » plutôt que comme « inconnues ».
La gestion de la posture Cloud (CSPM) vérifie la conformité cloud par rapport aux politiques, tandis que cloud et la réponsecloud (CDR) surveillent l’activité d’exécution au sein des plans cloud et des charges de travail cloud . Inconvénient :cloud crée des lacunes de couverture, et les résultats relatifs à la posture manquent souvent de contexte d’exécution. Risque de falsification : les attaquants désactivent la journalisation cloud pour aveugler ces outils — la falsification cloud occupe une place à part entière dans la technique ATT&CK abordée ci-après.
La gestion des identités et des accès (IAM) détermine qui peut accéder à quoi, tandis que l’analyse du comportement des utilisateurs et des entités (UEBA) établit des profils de référence pour le comportement des identités afin de signaler les accès anormaux. Inconvénient : ces profils de référence nécessitent un ajustement continu et une responsabilité clairement définie — des charges opérationnelles que de nombreuses équipes sous-estiment. Risque de falsification : l’UEBA dépend de l’intégrité des sources de journaux qui l’alimentent ; des journaux falsifiés entraînent donc un profil de référence falsifié.
Pendant des années, les équipes de sécurité ont considéré la manipulation frauduleuse des outils comme un cas marginal. MITRE ATT&CK v19, publiée le 28 avril 2026, en a fait une tactique à part entière : le référentiel a scindé l’ancienne tactique « Évasion de la défense » en deux sous-catégories : « Discrétion » (TA0005) et « Affaiblissement de la défense » (TA0112). Cette nouvelle tactique décrit des adversaires qui « contournent les mécanismes de sécurité, les pipelines et les outils afin que les défenseurs ne puissent ni voir ni se fier à ce qui se passe » — une tactique ATT&CK entièrement consacrée aux attaques contre les outils des opérations de sécurité.
La technique TA0112 englobe la technique T1685, « Désactivation ou modification des outils » — la technique principale couvrant la désactivation des outils et des agents eux-mêmes —, qui comprend six sous-techniques portant notamment sur la falsification cloud Windows, Linux et cloud , l'usurpation d'interfaces d'outils et l'effacement des journaux. Le tableau de vulnérabilité ci-dessous établit une correspondance entre ces sous-techniques et les catégories d'outils.
Tout cela n'a rien de théorique. En 2025, des chercheurs ont mis en évidence un seul et même utilitaire de neutralisation des EDR utilisé par huit groupes de ransomware différents, « chaque attaque utilisant une version différente », selon le rapport. Le mode opératoire des ransomwares consiste désormais systématiquement à désactiver endpoint avant même que le chiffrement ne commence.
La méthode de distribution privilégiée est le « BYOVD » (Bring Your Own Vulnerable Driver) — c'est-à-dire l'exploitation d'un pilote signé mais vulnérable afin d'obtenir les privilèges nécessaires pour bloquer les processus de sécurité. Le projet « Living Off The Land Drivers » recense désormais plus de 1 700 pilotes vulnérables, et les chercheurs d'ESET ont constaté une « forte augmentation » de leur exploitation au cours de l'année 2025. Pour une analyse approfondie des mesures défensives contre cette technique, consultez la section « Contournement de l'EDR ».
Cette technique s'est généralisée en 2026. L'analyse réalisée par ESET sur un framework de type « EDR-killer » a permis de recenser huit variantes ciblant plus de 400 processus répartis sur 48 produits de sécurité, diffusées via l'exploitation abusive d'un pilote BYOVD. Les ransomwares ont également commencé à intégrer directement le pilote vulnérable dans leur charge utile (2026), ce qui leur évite d'avoir à le récupérer au moment de l'exécution.
Les plans de gestion de ces outils sont eux aussi visés par des attaques. En 2026, une plateforme SIEM leader du marché a révélé une faille notée CVSS 9,8 permettant à des attaquants non authentifiés de créer ou de tronquer des fichiers arbitraires; cette faille a été activement exploitée et répertoriée dans le catalogue des vulnérabilités connues pour avoir été exploitées de la CISA. La même année, une plateforme SOAR/SIEM de premier plan a révélé une faille critique de contrôle d’accès notée CVSS 9,1. Les outils censés détecter les attaques constituent eux-mêmes une surface d’attaque.
La défense est multicouche et strictement défensive : activer la protection contre les altérations partout où l’agent le permet, appliquer les listes noires de pilotes vulnérables, surveiller l’intégrité des données ingérées afin qu’une source de journaux mise en sourdine déclenche une alerte, et conserver une télémétrie réseau hors bande qu’un hôte compromis ne peut pas désactiver. Elle ajoute également une question d’évaluation sans détour que peu de listes de contrôle incluent : cet outil résistera-t-il à un contact avec un adversaire, et quelqu’un s’en rendra-t-il compte s’il ne résiste pas ?
Tableau : Vulnérabilité des catégories d'outils face aux failles de sécurité, selon le référentiel MITRE ATT&CK (avril 2026).
Les données les plus préoccupantes dans le domaine des opérations de sécurité proviennent des simulations d’intrusions et d’attaques (BAS). Dans le rapport Picus Blue 2025 — publié par un fournisseur de solutions BAS, tiré des environnements de ses propres clients et basé sur des attaques simulées plutôt que réelles — , 54 % des activités d’attaque testées ont été enregistrées, mais seules 14 % ont généré une alerte. Ce même ensemble de données fait état d’une baisse de l’efficacité de la prévention, qui passe de 69 % en 2024 à 62 % en 2025. Même en tenant compte de ce biais, la conclusion reste valable : un outil qui enregistre sans déclencher d’alerte n’est qu’une archive à des fins d’analyse, et non un dispositif de détection. Et les simulations représentent le scénario le plus favorable — les véritables adversaires, eux, font preuve de créativité.
Les données issues des professionnels vont dans le même sens. L'enquête SANS 2025 a révélé que 42 % des SOC transmettent toutes les données entrantes à un système SIEM sans disposer d'un plan de récupération ou de gestion. Comme le souligne l'enquête, « collecter des données est facile ; les utiliser à bon escient est la partie la plus difficile ».
Les données sur les résultats apportent une nuance nécessaire — dans les deux sens à la fois. Le rapport « M-Trends 2026 » de Mandiant, qui s’appuie sur plus de 500 000 heures d’enquêtes sur des incidents, indique que la durée médiane de présence des intrus à l’échelle mondiale est passée de 11 à 14 jours, tandis que la part des intrusions détectées en interne est passée de 43 % à 52 %. De plus en plus d’organisations identifient elles-mêmes les attaquants plutôt que d’en être informées par un tiers — et ces attaquants restent en place plus longtemps. Il convient de noter que l’échantillon est biaisé : le volume de dossiers traités par un prestataire spécialisé dans la réponse aux incidents est nécessairement orienté vers les organisations qui ont été compromises. Il faut se méfier des interprétations simplistes ; en réalité, on constate simultanément une amélioration de la détection et une stagnation de la rapidité d’expulsion.
La conclusion pratique est un changement de perspective. La plupart des équipes SOC disposent déjà des catégories appropriées ; la question qui reste en suspens est de savoir si ces contrôles se déclenchent lorsqu’ils sont testés. La détection est une propriété que l’on mesure, pas une fonctionnalité que l’on achète — grâce à la mesure de la couverture par rapport à ATT&CK, à des exercices de « purple team » qui testent la pile de bout en bout, et à l’ingénierie de détection qui transforme les journaux en alertes. La validation est également continue, et non annuelle : il faut refaire des tests après chaque modification majeure de configuration, suivre la fiabilité des alertes et surveiller la part des techniques que votre pile détecte de manière avérée. L’achat d’une nouvelle catégorie ajoute de la couverture sur le papier ; seule la mesure le prouve en production.
Les listes de contrôle par catégorie donnent l'impression que l'achat est simple. Les éléments présentés ci-dessus plaident en faveur de critères plus rigoureux, qui permettent de vérifier si un outil est capable de générer des signaux dans votre environnement et de résister à l'attention d'un attaquant. Les meilleurs outils SOC pour votre équipe répondent à cette série de critères :
Organisez vos achats par maturité plutôt que par catalogue : privilégiez la visibilité (couvertureendpoint du réseau), puis la corrélation (SIEM ou lac de données), et enfin l'automatisation — le SOAR décuple la qualité de détection déjà en place. Match achat à vos effectifs, car une équipe réduite ne peut pas gérer efficacement toutes les catégories à la fois.
La sélection s'effectue également au sein d'une réalité fragmentée. Une enquête Panaseer menée en 2026 auprès de 400 responsables de la sécurité estime à 61 le nombre moyen d'outils de sécurité par entreprise. D'autres études adoptent des méthodes de comptage différentes — le tableau ci-dessous illustre cette dispersion — et ces divergences en disent davantage sur les échantillons et les définitions utilisées que sur une quelconque tendance. Ce sur quoi les études s'accordent, c'est la conséquence : les outils sont bien là, mais l'intégration qui leur permettrait d'être utiles ensemble fait souvent défaut.
Tableau : Les chiffres couramment cités concernant le nombre d'outils d'entreprise constituent une fourchette contestée, et non une série chronologique.
L’automatisation mérite toutefois une mise en garde. La seule étude contrôlée menée auprès d’utilisateurs d’outils SOAR commerciaux — soumise à un comité de lecture, bien qu’elle date désormais de plus de deux ans — a fait intervenir 24 participants qui ont utilisé six outils différents pour réaliser des tâches d’enquête réalistes (Bridges et al., 2023). L’efficacité s’est améliorée, mais « la précision et l’exhaustivité des tickets […] ont diminué avec l’utilisation du SOAR », et les analystes seniors ont signalé que la sur-automatisation constituait un risque. Optez pour l’automatisation afin d’accélérer les décisions, tout en confiant aux humains la responsabilité de la qualité.
Deux erreurs de sélection reviennent régulièrement. Premièrement, le déploiement d’outils pour lesquels on ne dispose pas des ressources nécessaires : l’enquête SANS 2025 est sans appel : « si la direction de l’entreprise n’est pas prête à engager pleinement les ressources nécessaires… il vaudrait mieux ne pas les déployer du tout ». Deuxièmement, l’achat d’une solution sans tenir compte des résultats escomptés. L’acquisition comble le fossé sur le papier, mais la réponse aux incidents échoue toujours à 2 heures du matin si aucune alerte n’a été déclenchée.
Pourquoi faire confiance à ce guide : nous classons les catégories en fonction des données fournies par les professionnels, datons chaque statistique, citons la source à l'origine de chaque chiffre, signalons les biais éventuels des sponsors (ensemble de données d'un fournisseur BAS, enquête sponsorisée par Elastic, nombre de cas traités par un fournisseur spécialisé dans la gestion des incidents) et ne mentionnons aucun fournisseur commercial. Lorsque les données indiquent deux tendances différentes, nous les présentons toutes les deux.
Il est possible de constituer une pile SOC fonctionnelle à partir d’outils SOC open source, et pour certaines équipes, c’est d’ailleurs la solution à privilégier. Wazuh couvre les fonctions SIEM/XDR. Security Onion et Graylog assurent la surveillance de la sécurité réseau et la gestion des journaux. Suricata et Zeek assurent la détection sur le réseau. TheHive gère les dossiers et les enquêtes, tandis que Velociraptor, osquery et GRR prennent en charge endpoint et l’analyse forensic. Tous ces outils font l'objet d'une maintenance active, pour la plupart sur GitHub, et bénéficient du soutien de véritables communautés de praticiens.
Tableau : Composants open source pour une pile SOC, regroupés par fonction.
Ce compromis honnête mérite d’être mis en avant. Une pile open source peut vous permettre d’atteindre une couverture opérationnelle, mais vous devrez consacrer du temps d’ingénierie à l’intégration et à la maintenance — le coût de la licence est remplacé par un coût d’ingénierie, sans aucun SLA de fournisseur pour vous soutenir. Prévoyez honnêtement un budget pour les éléments que les frais de licence n’ont de toute façon jamais couverts : la maintenance du contenu de détection, les mises à niveau de version, le réglage des capteurs et la rotation des astreintes qui sous-tendent tout cela. Les outils gratuits qui ne s’accompagnent d’aucun temps d’ingénierie échouent de la même manière que les logiciels inutilisés : en silence. Pour une présentation plus complète, fonctionnalité par fonctionnalité, un guide de référence largement utilisé sur les outils SOC open source cartographie l’écosystème en profondeur.
À qui s'adresse-t-il ? Aux équipes disposant de véritables compétences techniques, ainsi qu'à celles qui souhaitent disposer d'un terrain d'essai avant de s'engager dans des dépenses commerciales. Il convient également aux environnements mixtes : de nombreux SOC utilisent Zeek ou Suricata en parallèle de plateformes commerciales, afin d'effectuer une vérification indépendante et hors bande du reste de la pile.
Les outils d’un centre d’opérations de sécurité (SOC) n’ont de sens que dans le cadre d’un modèle opérationnel capable de les exploiter, et la première décision à prendre concerne l’identité de l’opérateur : votre équipe, un prestataire, ou les deux. Un SOC interne offre un contrôle optimal et une meilleure compréhension du contexte, mais la dotation en personnel constitue une contrainte majeure : 79 % des SOC fonctionnent 24 heures sur 24, 7 jours sur 7 (SANS 2025), et cette couverture permanente nécessite plusieurs équipes d’analystes, dont les effectifs sont limités.
Les modèles gérés — détection et réponse gérées (MDR) et SOC en tant que service — permettent d'obtenir rapidement une couverture et de réduire les coûts fixes, au prix d'une perte de contexte et de contrôle. Les SOC cogérés offrent un compromis : ils conservent en interne le triage ou les activités techniques, tandis qu'un prestataire se charge de la surveillance de nuit. Cette solution intermédiaire convient aux équipes réduites, en particulier celles qui gèrent la sécurité avec moins de cinq ETP.
Tableau : Compromis entre les modèles opérationnels de gestion de la sécurité en interne et en externalisation.
En ce qui concerne les types de centres d’opérations de sécurité (SOC), quatre modèles prédominent : le SOC centralisé unique — qui reste le plus courant avec environ 38 % (SANS 2025) —, ainsi que les modèles virtuels, cogérés et « SOC-as-a-service ». Match modèle en fonction de la taille de l’équipe, de la maturité et du budget, et non en fonction de la préférence pour un fournisseur. Et quel que soit le modèle retenu, conservez la validation des détections en interne : l’externalisation de la surveillance est envisageable ; l’externalisation de la responsabilité ne l’est pas.
Trois tendances sont en train de redéfinir la manière dont les organisations acquièrent et gèrent cette pile technologique. D'une part, la consolidation et la convergence des plateformes, les acheteurs cherchant à limiter la prolifération des outils. D'autre part, les outils et agents SOC basés sur l'IA, qui promettent un triage automatisé. Enfin, le passage d'une approche axée sur les achats à une validation continue : l'ingénierie de la détection, les exercices « purple teaming » et la mesure de la couverture deviennent des pratiques courantes, plutôt que de se limiter à un audit annuel.
Gardez une vision réaliste de l’IA. Les professionnels classent actuellement les outils basés sur l’IA et l’apprentissage automatique en bas du classement de satisfaction, les outils linguistiques génératifs n’obtenant qu’une note de 2 sur 4 (SANS 2025) — principalement pour des raisons structurelles, car ces nouveaux outils sont déployés sans que la responsabilité, le budget ou l’intégration ne soient clairement définis. D’autres catégories mal notées ont déjà mûri par le passé ; dans la même série d’enquêtes, la découverte des actifs est passée de la dernière place en 2017 à une position intermédiaire. Considérez la détection des menaces par IA comme un domaine émergent et encore instable : véritablement prometteur, mais pas encore validé par les données des professionnels. Pour les analystes qui se demandent quels outils apprendre en priorité, commencez par les consoles SIEM et EDR que votre équipe utilise déjà — la page consacrée aux analystes SOC présente une perspective de carrière.
Les cadres de conformité s'appuient désormais sur ces outils. La norme NIST SP 800-61r3, publiée en avril 2025 et constituant la première révision depuis 2012, aligne les recommandations en matière de réponse aux incidents sur les fonctions « Détection » et « Réponse » du NIST CSF 2.0. MITRE ATT&CK sert de référence opérationnelle pour la couverture de détection, y compris la TA0112.
Tableau : Cadres de référence pertinents pour les décisions relatives aux outils utilisés dans les opérations de sécurité.
Vectra AI une leçon des éléments ci-dessus : la collecte n’est pas synonyme de détection. Lorsqu’un ensemble de données BAS de 2025 montre que 54 % des activités d’attaque ont été enregistrées mais que seules 14 % ont donné lieu à une alerte, et que le SANS constate que 42 % des SOC stockent des données sans stratégie précise, la ressource qui fait défaut est le signal, et non la télémétrie. La méthodologie Vectra AI donne donc la priorité au signal d’attaque plutôt qu’au volume brut — avec une couverture à la fois du réseau et des identités, ces surfaces qui continuent de générer des rapports même lorsqu’un attaquant neutralise endpoint .
Non. Un SIEM est un outil à part entière : il agrège, met en corrélation et génère des alertes à partir des données de journaux. Un SOC, ou centre d’opérations de sécurité, désigne l’ensemble des personnes, des processus et de la suite complète d’outils qui utilise un SIEM en complément de plateformes EDR/XDR, NDR, SOAR et de renseignements sur les menaces.
Oui, même si cela reste rare. Certaines équipes axent plutôt leurs opérations sur le XDR ou sur un lac de données, en recourant à la « détection en tant que code ». Un SIEM constitue davantage une infrastructure courante qu’une condition préalable — et l’étude SANS 2025 a révélé que 42 % des SOC transmettent toutes leurs données à un SIEM sans disposer d’un plan de récupération.
Vous perdez les données de télémétrie sur lesquelles vous comptiez, souvent sans vous en rendre compte. Les auteurs de ransomwares ont de plus en plus recours à des « BYOVD » (Bring-Your-Own-Vulnerable-Driver, « apportez votre propre pilote vulnérable ») pour neutraliser les solutions EDR et désactiver endpoint avant le chiffrement — un comportement que MITRE ATT&CK a formalisé sous les codes TA0112 et T1685. Les mesures d’atténuation comprennent la protection contre les altérations, la mise en place de listes noires de pilotes et la télémétrie réseau hors bande.
EDR/XDR. Dans l'enquête SANS 2025 SOC, commanditée par Elastic, il s'agissait de la seule catégorie à obtenir une note supérieure à 3 sur une échelle de satisfaction à 4 niveaux, tandis que les outils d'IA/ML se classaient en bas du tableau et que les outils de langage génératif obtenaient une note de 2 sur 4. Les évaluations des professionnels divergent souvent des classements proposés par les fournisseurs.
Parmi les composants courants, on trouve Wazuh (SIEM/XDR), Security Onion et Graylog (surveillance et gestion des journaux), Suricata et Zeek (détection réseau), TheHive (gestion des dossiers), ainsi que Velociraptor et osquery (endpoint ). L'open source permet d'économiser les coûts de licence au profit du temps consacré par les ingénieurs à l'intégration et à la maintenance.
Un SOC interne est géré et animé par votre propre équipe, ce qui vous permet d'optimiser le contrôle et la connaissance du contexte. Un SOC géré — MDR ou SOC en tant que service — consiste à confier la surveillance et la réponse à un prestataire externe. De nombreuses équipes réduites optent pour une solution intermédiaire de cogestion entre ces deux modèles.
Quatre modèles s'imposent : le SOC centralisé en interne, le SOC virtuel, le SOC cogéré et le SOC en tant que service. L'enquête SANS 2025 a révélé que le SOC centralisé unique reste le modèle le plus répandu, avec environ 38 %. Match modèle en fonction de la taille de l'équipe, de son niveau de maturité et du budget disponible, plutôt qu'en fonction de vos préférences en matière de fournisseurs.