Le déficit mondial de main-d’œuvre en cybersécurité a atteint 4,8 millions de postes non pourvus en 2024, selon le(ISC)2 Étude sur la main-d'œuvre 2024. Avec des coûts de violation de données aux États-Unis s'élevant en moyenne à 9,36 millions de dollars par incident en 2024 (Rapport IBM sur le coût d'une violation de données), les organisations ont besoin de modèles de sécurité qui ne dépendent pas uniquement du recrutement.
Les services de sécurité informatique cogérés résolvent ce problème en répartissant les responsabilités en matière de cybersécurité entre votre équipe interne et un fournisseur externe.Vous conservez le contrôle stratégique et le contexte commercial tandis que le fournisseur fournit une surveillance 24h/24 et 7j/7, des renseignements sur les menaces et une technologie spécialisée. Le marché des services de sécurité gérés reflète cette évolution, qui devrait atteindre66,83 milliards de dollars d'ici 2030.
Points clés à retenir
- La sécurité informatique cogérée répartit les responsabilités : votre équipe est propriétaire de la stratégie et de la politique tandis qu'un fournisseur externe gère la surveillance et la réponse aux menaces 24h/24 et 7j/7
- Le modèle réduit les coûts de sécurité informatique de 25 à 45 % par rapport à la création d'un SOC interne, qui commence à 2 à 3 millions de dollars par an
- Les PME paient entre 1 000 et 5 000 $ par mois pour les services de base cogérés ; les entreprises paient entre 5 000 et 20 000 dollars pour une couverture complète
- Les mises en œuvre réussies nécessitent une matrice de responsabilité claire, des plates-formes technologiques partagées et des protocoles de remontée d'informations définis
- Les principales qualifications du fournisseur incluent la certification SOC 2 Type II, ISO 27001 et une expertise en matière de conformité spécifique au secteur
Que sont les services de sécurité informatique cogérés ?
Les services de sécurité informatique cogérés constituent un modèle de partenariat dans lequel votre organisation conserve le contrôle stratégique de la sécurité tandis qu'un fournisseur externe fournit des capacités spécialisées de surveillance, de détection et de réponse.Contrairement à entièrementservices de sécurité gérésoù vous transférez toutes les opérations ou des contrats de réparation qui ne répondent qu'après des incidents, le modèle cogéré crée une structure opérationnelle partagée avec des rôles définis pour chaque partie.
Cette distinction est importante car les organisations ont besoin à la fois d’un contexte commercial approfondi (dont les équipes internes disposent) et d’une expertise avancée en matière de menaces (dont disposent les fournisseurs spécialisés). Aucune des deux parties ne peut reproduire les atouts de l’autre de manière rentable. Un accord cogéré formalise cela via une matrice de responsabilités, un accès partagé à la technologie et des accords de niveau de service qui définissent les temps de réponse, les voies d'escalade et la cadence de reporting.
Comment les responsabilités se répartissent dans la pratique
Les équipes internes sont généralement responsables des politiques, de la gestion des accès, des décisions budgétaires et de l'évaluation des risques liés au contexte commercial.Les fournisseurs externes gèrent la surveillance continue, l'analyse des journaux, la recherche des menaces, la gestion SIEM et les enquêtes sur les incidents. La zone de chevauchement, où les deux équipes collaborent en temps réel, comprend la priorisation des alertes, les décisions de confinement et les rapports de conformité.
| Fonction de sécurité | Équipe interne | Fournisseur externe |
|---|---|---|
| Planification stratégique | Définir une stratégie de sécurité alignée sur les objectifs de l'entreprise | Fournir des renseignements sur les menaces et des références du secteur |
| Surveillance des menaces | Examiner les alertes prioritaires, approuver les actions de réponse | Surveillance 24h/24 et 7j/7, tri initial et analyse des menaces |
| Réponse aux incidents | Décisions ayant un impact sur les entreprises, communication avec les parties prenantes | Enquête technique, confinement, médecine légale |
| Gestion de la technologie | Sélection de solutions en fonction des exigences métier | Déployer, configurer et maintenir des plates-formes de sécurité |
| Conformité | Application des politiques, coordination de l'audit interne | Collecte de preuves, surveillance des contrôles, reporting |
Cette division fonctionne parce qu'elle respecte le cœur de compétence de chaque partie. Votre équipe comprend quels actifs sont les plus importants. Le fournisseur comprend les modèles de menaces à surveiller dans des centaines d'environnements clients.
Avantages : coût, capacité et expertise
Le principal avantage financier de la sécurité informatique cogérée est l’accès à une protection de niveau SOC sans coûts de niveau SOC.La création d'un centre d'opérations de sécurité interne de base nécessite 2 à 3 millions de dollars par an si l'on prend en compte les salaires des analystes (les ingénieurs de sécurité senior commandent entre 150 000 et 250 000 dollars), les licences SIEM, les flux de renseignements sur les menaces et la couverture des équipes 24h/24 et 7j/7.
Les services cogérés offrent des capacités équivalentes pour une fraction de cet investissement. Les fournisseurs y parviennent en répartissant les coûts d’infrastructure et d’analystes entre leur clientèle. Ungéré SIEMla plateforme dessert de nombreuses organisations ; un analyste surveille plusieurs environnements.
Comparaison des coûts
| Modèle | Coût annuel estimé | Niveau de couverture |
|---|---|---|
| En interne SOC (de base) | 2 000 000 $ à 3 000 000 $ | 24h/24 et 7j/7 avec 6 à 8 ETP minimum |
| Cogéré (PME basic) | 12 000 $ à 60 000 $ | Surveillance 24h/24 et 7j/7, alertes, revues trimestrielles |
| Co-géré (entreprise) | 60 000 $ à 240 000 $ | Surveillance 24h/24 et 7j/7, chasse aux menaces, IR, conformité |
| MSSP entièrement géré | 100 000 $ à 500 000 $+ | Externalisation complète avec contrôle interne limité |
Au-delà du coût, le modèle renforce la capacité défensive grâce à des renseignements multi-clients. Lorsqu'un fournisseur détecte un nouveau modèle d'attaque sur un client, il peut mettre à jour les règles de détection sur tous les clients avant que la menace ne se propage. Cet avantage de défense collective est quelque chose qu’aucune organisation ne peut reproduire en interne.
La conformité est un autre domaine dans lequel les services cogérés ajoutent une valeur évidente. Les fournisseurs ayant une expérience dans les frameworks HIPAA, PCI DSS, GDPR et SOC 2 proposent des mappages de contrôle prédéfinis, des rapports prêts à l'audit et une interprétation réglementaire qui nécessiteraient un personnel de conformité dédié en interne.
Comment fonctionnent les opérations de sécurité cogérées
Les opérations quotidiennes dans un modèle cogéré reposent sur trois piliers : une plate-forme technologique partagée, des protocoles de communication définis et un cadre de remontée d'informations à plusieurs niveaux.
Intégration technologique
La plupart des organisations opèrent désormais avec 3 à 4 fournisseurs de cloud ainsi qu'une infrastructure sur site, créant des lacunes de visibilité que les fournisseurs cogérés sont conçus pour combler.L'intégration utilise généralement des architectures API-first qui connectent vos outils de sécurité existants (pare-feu, protection des points finaux, plates-formes d'identité) à la plate-forme de surveillance centralisée du fournisseur sans nécessiter de remplacement d'outil.
Le déploiement suit une approche progressive : découverte et cartographie des actifs d'abord, puis surveillance pilote dans un environnement confiné, suivi d'un déploiement en production avec des règles de détection optimisées. Cela prend généralement 4 à 12 semaines en fonction de la complexité de l'environnement.
Communication et escalade
Des protocoles de remontée d'informations clairs évitent le mode de défaillance le plus courant dans les partenariats cogérés : la confusion lors d'incidents actifs.La meilleure pratique consiste à définir des niveaux d'escalade avant qu'un incident ne se produise :
- Niveau 1 (informatif) :Le fournisseur gère, enregistre et rapporte dans des résumés quotidiens/hebdomadaires
- Niveau 2 (élevé) :Le fournisseur enquête et informe le responsable de la sécurité interne dans le délai SLA défini
- Niveau 3 (critique) :Réponse conjointe avec coordination en temps réel, l'équipe interne prend des décisions de confinement
Des examens opérationnels réguliers (mensuels) et des séances de planification stratégique (trimestrielles) permettent aux deux équipes de rester alignées à mesure que le paysage des menaces et les priorités commerciales évoluent.
Choisir un fournisseur de sécurité co-géré
Le bon fournisseur fonctionne comme une extension de votre équipe et non comme un fournisseur que vous gérez.Évaluez les candidats selon cinq dimensions : adéquation culturelle, certifications techniques, ratio analyste/client, pile technologique et évolutivité.
Certifications et expertise en matière de conformité
Les certifications des fournisseurs valident la maturité opérationnelle et ne sont pas négociables pour les industries réglementées.
| Certification | Ce qu'il valide | Le plus pertinent pour |
|---|---|---|
| SOC 2 Type II | Contrôles de sécurité testés au fil du temps | Toutes les industries nécessitant une assurance du fournisseur |
| ISO 27001 | Système de gestion de la sécurité de l'information | Entreprises mondiales, secteurs réglementés |
| PCI DSS | Protection des données des cartes de paiement | Commerce de détail, e-commerce, services financiers |
| HITRUST CSF | Protection des informations de santé | Prestataires de soins de santé et associés |
SLA Repères à négocier
Les accords de niveau de service doivent définir des engagements de réponse mesurables, et non de vagues promesses.Les références cibles pour les services cogérés comprennent :
- Reconnaissance d'incident critique dans les 15 minutes
- Lancement d'une réponse aux incidents hautement prioritaires dans un délai d'une heure
- Enquête de priorité moyenne dans les 4 heures
- Rapports opérationnels mensuels avec mesures de détection et analyse des tendances
- Revues d'activité trimestrielles avec recommandations stratégiques
Cas d'utilisation courants
PME avec un personnel de sécurité limité
Les petites et moyennes entreprises tirent le meilleur parti de la sécurité informatique cogérée, car l'alternative, la construction en interne, est prohibitive.Une équipe informatique de PME typique composée de 2 à 5 personnes ne peut pas assurer une surveillance 24h/24 et 7j/7, maintenir l'expertise SIEM et suivre le rythme de l'évolution des menaces. Les services cogérés comblent ces lacunes pour un coût de 1 000 à 5 000 $ par mois tout en permettant à l'équipe existante de se concentrer sur les opérations et le support aux utilisateurs.
Entreprises nécessitant une augmentation ciblée
Les grandes organisations dotées de programmes de sécurité matures utilisent les services cogérés de manière sélective plutôt que globale.Les modèles courants incluent :
- Couverture en dehors des heures normales :Surveillance externe les nuits et les week-ends ; l'équipe interne gère les heures de bureau
- Chasse aux menaces spécialisée :Experts externes pour des enquêtes avancées sur les menaces persistantes
- Sécurité du cloud :Le fournisseur gèreposture de sécurité du cloudtandis que l'équipe interne possède des locaux
- Augmentation temporaire :Capacité supplémentaire lors d'activités de fusions et acquisitions, de migrations ou de transitions de personnel
Défis et comment les relever
Les trois points de défaillance les plus courants dans la sécurité cogérée sont les pannes de communication lors d’incidents, les limites de rôles floues et les frictions liées à l’intégration technologique.
Communication
Différentes équipes utilisent une terminologie différente, travaillent dans des fuseaux horaires différents et suivent des processus internes différents. Le correctif réside dans des protocoles de communication prédéfinis établis lors de l'intégration, et non pendant une crise. Cela comprend un glossaire partagé des niveaux de gravité, des canaux de communication convenus pour chaque niveau et des appels réguliers qui établissent des relations de travail avant qu'elles ne soient mises à l'épreuve par un incident.
Clarté des rôles
Sans une matrice de responsabilité documentée, les tâches sont soit dupliquées (gaspillage de ressources), soit ignorées (créant des failles de sécurité). Examinez et mettez à jour la matrice RACI tous les trimestres à mesure que le partenariat mûrit et que les responsabilités changent naturellement.
Intégration technologique
Les systèmes existants sans prise en charge de API, les normes de journalisation incohérentes et les exigences de souveraineté des données peuvent ralentir l'intégration. Résolvez-les lors de la phase d'évaluation en cartographiant chaque source de données, en vérifiant la compatibilité API et en établissant des accords de gestion des données avant le début du déploiement.
L'avenir de la sécurité cogérée : AI et XDR
Deux technologies remodèlent les opérations de sécurité cogérées : les plates-formes de détection basées sur AI et de détection et réponse étendues (XDR).
Les outils de sécurité améliorés AI traitent les signaux de menace à une échelle que les humains ne peuvent pas égaler, réduisant ainsi les taux de faux positifs jusqu'à 80 % et réduisant le temps moyen de détection de quelques jours à quelques minutes. Dans les modèles cogérés, les fournisseurs déploient et ajustent ces systèmes AI tandis que les équipes internes surveillent les actions de réponse automatisées, garantissant ainsi que le contexte commercial guide les décisions de confinement.
Les plates-formes XDR unifient la visibilité sur les points finaux, les réseaux, les charges de travail cloud et les systèmes d'identité en une seule couche de détection et de réponse. Pour les partenariats cogérés, XDR élimine le problème de fragmentation des outils en fournissant aux deux équipes une vision opérationnelle partagée.Détection et réponse géréesles services s’appuient de plus en plus sur les fondations XDR.
Les attaques basées sur l'identité représentent désormais une part importante des violations, ce qui fait de la détection des menaces d'identité une composante croissante des services cogérés. Les fournisseurs ajoutent des analyses comportementales qui signalent les modèles de connexion anormaux, les événements de voyage impossibles et les tentatives d'élévation de privilèges que les outils de périmètre traditionnels manquent.
Conclusion
Les services de sécurité informatique cogérés offrent un juste milieu entre l’externalisation complète et le coût insoutenable de la création d’un SOC interne.Le modèle fonctionne car il associe le contexte commercial (votre équipe) à une expertise spécialisée en matière de menaces (le fournisseur) dans un cadre opérationnel partagé.
Le succès dépend de trois facteurs : choisir un fournisseur dont la culture et les certifications correspondent à vos besoins, établir une matrice de responsabilités claire avant l'intégration et investir dans l'infrastructure de communication qui permet aux deux équipes de rester efficaces pendant les incidents. Les organisations qui maîtrisent ces principes fondamentaux bénéficient d’une couverture de sécurité continue à un coût 25 à 45 % inférieur à celui des opérations internes équivalentes.
Si votre organisation évalue la sécurité cogérée, commencez par une analyse des écarts entre vos capacités actuelles et votre profil de menace. Identifiez où l'expertise externe permettrait d'obtenir la plus grande réduction des risques par dollar, puis utilisez cette priorisation pour structurer les conversations avec les fournisseurs autour des résultats plutôt que des fonctionnalités.Contacter Opsiopour discuter de la manière dont une approche cogérée répond à vos exigences en matière de sécurité.
FAQ
Que sont les services de sécurité informatique cogérés et en quoi diffèrent-ils de la sécurité entièrement gérée ?
Les services de sécurité informatique cogérés répartissent les responsabilités en matière de cybersécurité entre votre équipe interne et un fournisseur externe via un modèle de partenariat défini. Votre équipe conserve le contrôle des décisions en matière de stratégie, de politique et de contexte commercial, tandis que le fournisseur gère la surveillance 24h/24 et 7j/7, la détection des menaces et la réponse aux incidents techniques. Les services entièrement gérés transfèrent toutes les opérations de sécurité au fournisseur, vous offrant ainsi moins de visibilité et de contrôle sur les décisions quotidiennes.
Combien coûtent les services de sécurité cogérés par rapport à un SOC interne ?
Les services cogérés coûtent généralement entre 1 000 et 5 000 dollars par mois pour les PME et entre 5 000 et 20 000 dollars par mois pour les entreprises. La création d'un centre d'opérations de sécurité interne coûte entre 2 et 3 millions de dollars par an en tenant compte des salaires des analystes, des licences SIEM, des flux de renseignements sur les menaces et du personnel disponible 24h/24 et 7j/7. Les modèles cogérés permettent de réduire les coûts de 25 à 45 % en répartissant les coûts d'infrastructure et d'expertise entre plusieurs clients.
Quelles responsabilités restent internes par rapport à celles qui reviennent au fournisseur externe ?
Les équipes internes sont généralement responsables de l'élaboration des politiques de sécurité, de la gestion des accès des utilisateurs, des décisions budgétaires et des évaluations de l'impact commercial en cas d'incidents. Les fournisseurs externes gèrent la surveillance continue, l'analyse des journaux, la recherche des menaces, la gestion de la plateforme SIEM et les enquêtes sur les incidents techniques. Les deux parties collaborent sur la priorisation des alertes, les décisions de confinement et les rapports de conformité.
Quelles certifications un fournisseur de sécurité cogéré doit-il détenir ?
Au minimum, recherchez SOC 2 Type II (valide les contrôles de sécurité au fil du temps) et ISO 27001 (gestion de la sécurité des informations). Les certifications spécifiques au secteur sont également importantes : PCI DSS pour les environnements de traitement des paiements, HITRUST CSF pour les soins de santé et FedRAMP pour les contrats gouvernementaux. Vérifiez également que les analystes individuels détiennent des informations d'identification telles que CISSP, GIAC ou équivalent.
Combien de temps faut-il pour mettre en œuvre des services de sécurité informatique cogérés ?
La mise en œuvre prend généralement 4 à 12 semaines entre l'engagement initial et l'exploitation complète. Le processus comprend trois phases : découverte et évaluation de l'infrastructure (1 à 2 semaines), déploiement pilote dans un environnement confiné avec réglage des règles de détection (2 à 4 semaines) et déploiement en production dans l'ensemble de l'environnement (2 à 6 semaines). Le calendrier dépend de la complexité de l’environnement et du nombre de sources de données nécessitant une intégration.
Quelles organisations bénéficient le plus de la sécurité cogérée ?
Les PME disposant de petites équipes informatiques (2 à 5 personnes) obtiennent la plus grande valeur relative, car elles ne peuvent pas mettre en place de manière rentable une surveillance 24h/24 et 7j/7 en interne. Les entreprises bénéficient de manière sélective de l'utilisation de services cogérés pour une couverture en dehors des heures normales, une chasse spécialisée aux menaces, une gestion de la sécurité dans le cloud ou une augmentation temporaire lors des transitions de personnel. Les secteurs réglementés bénéficient des cadres de conformité prédéfinis des fournisseurs pour HIPAA, PCI DSS et GDPR.