Toutes les actualités
Conformité17 avril 202611 min

Audit MSSP 2026 : la checklist de 12 questions que tout RSSI devrait poser en RFP

Hébergement souverain, isolation tenant, IA on-premise, SLA, audit trail, réversibilité… 12 questions opérationnelles pour distinguer les MSSP sérieux des plaquettes marketing. Avec les réponses UniSOC.

Checklist RFP MSSP avec 7 cases cochées

Audit MSSP : 12 questions techniques à poser avant de signer (la plupart échouent à 3)

TL;DR — Choisir un MSSP est l'un des achats cyber les plus engageants : durée typique 3 ans, dépendance opérationnelle critique, sortie coûteuse. Pourtant, la majorité des RFP MSSP posent des questions sur le SLA et le tarif, ignorent les sujets techniques structurants. Cette checklist couvre 12 questions techniques précises qui filtrent rapidement les MSSP marketing-only des MSSP techniquement solides. Vous pouvez l'imprimer, la coller sur le mur de la salle de RFP, et la dérouler.

Pourquoi ce format de questions

Chaque question vise un risque structurel identifié par l'industrie cyber 2020-2026 :

  • Souveraineté juridique
  • Supply chain attack (Kaseya, SolarWinds)
  • Isolation tenant
  • Résilience à un incident éditeur (CrowdStrike juillet 2024)
  • Couverture MITRE ATT&CK réelle vs théorique
  • Capacité d'audit transparent

Pour chaque question, je donne :

  • La question à poser textuellement.
  • La réponse satisfaisante (ce que vous voulez entendre).
  • Le red flag (ce qui devrait vous faire fuir).
  • Pourquoi cette question (le risque qu'elle adresse).

Q1 — Souveraineté

« Êtes-vous, ou une entité de votre groupe, soumise au Cloud Act US, au FISA 702, ou à toute autre loi extraterritoriale d'un pays tiers ? Pouvez-vous me le garantir par écrit ? »

  • Réponse satisfaisante : « Non, nous sommes une SAS française à capital 100 % européen, sans filiale aux US, et notre stack technique n'utilise pas de fournisseurs soumis au Cloud Act. Nous le garantissons par avenant contractuel. »
  • 🚫 Red flag : « Nos serveurs sont en Europe » (la localisation n'est pas le critère, voir Cloud Act et SIEM US).
  • 🎯 Pourquoi : risque de transmission de vos logs à un service étranger sans votre consentement, sans recours européen.

Q2 — Hébergement

« Où sont physiquement hébergées mes données (logs, alertes, threat intel, données métier) ? Qui est l'opérateur du datacenter ? Quelles certifications ? »

  • Réponse satisfaisante : nom du datacenter, ville, opérateur, certifications HDS V2, ISO 27001:2022, SecNumCloud le cas échéant.
  • 🚫 Red flag : « Cloud Azure / AWS / GCP » sans précision géographique ou juridique.
  • 🎯 Pourquoi : un MSSP qui ne sait pas où sont vos données ne peut pas garantir leur souveraineté.

Q3 — Couverture MITRE ATT&CK

« Quel est votre taux de couverture MITRE ATT&CK Enterprise, technique par technique ? Pouvez-vous me fournir la matrice détaillée ? »

  • Réponse satisfaisante : matrice ATT&CK colorée (par exemple via Navigator) avec un taux global > 60 %, idéalement > 75 % sur les techniques critiques (Initial Access, Credential Access, Lateral Movement, Exfiltration).
  • 🚫 Red flag : chiffre marketing « 100 % » ou « we cover everything ». Personne ne couvre 100 % d'ATT&CK.
  • 🎯 Pourquoi : la couverture ATT&CK est le seul indicateur quantitatif sérieux de la maturité de détection. Tout MSSP sérieux la calcule.

Q4 — Staged rollout

« Quelle est votre procédure de déploiement d'une mise à jour de votre agent (EDR, sondes, signatures) ? Combien de cohortes ? Quel délai entre cohortes ? Quel mécanisme de rollback automatique ? »

  • Réponse satisfaisante : « Trois cohortes (5 % → 25 % → 100 %), 4h entre chaque, rollback auto si > 0,5 % d'incidents post-déploiement. » Capacité à fournir un changelog des dernières releases.
  • 🚫 Red flag : « On pousse en global » ou « on a un process QA chez nous, ne vous inquiétez pas ».
  • 🎯 Pourquoi : c'est exactement ce qui a fait tomber 8,5 millions de Windows le 19 juillet 2024 chez CrowdStrike (voir CrowdStrike outage).

Q5 — Isolation tenant

« Comment isolez-vous mes données des autres clients ? Quels mécanismes empêchent un compromis interne chez vous de donner accès à mes données ET à celles d'un autre tenant ? »

  • Réponse satisfaisante : isolation au niveau base de données (collections séparées par tenant_id), clés API par tenant, audit trail par tenant, accès analystes restreint au tenant en cours d'investigation. Les RSSI d'ETI trouveront ce niveau d'isolation détaillé dans notre offre entreprises.
  • 🚫 Red flag : « Tous nos analystes ont accès à toutes les données, c'est plus efficace ».
  • 🎯 Pourquoi : voir Pourquoi votre SOC peut être votre maillon faible. En cas d'intrusion interne (87 % des MSP en 12 mois), l'isolation détermine le rayon d'explosion.

Q6 — Code source de l'agent

« Le code source de votre agent EDR / sonde / collecteur est-il auditable par un tiers ? Si oui, par quel mécanisme (open-source, NDA, audit annuel) ? »

  • Réponse satisfaisante : open-source partiel (GitHub) ou code source consultable sous NDA + audit indépendant annuel publié (résumé public).
  • 🚫 Red flag : « C'est notre IP, on ne le partage pas ».
  • 🎯 Pourquoi : un agent kernel-mode non auditable est un cheval de Troie potentiel. SolarWinds a démontré que la signature de code ne suffit pas.

Q7 — LLM et IA

« Vous utilisez de l'IA dans votre stack (triage, investigation, hunting) ? Si oui, quels modèles ? Hébergés où ? Mes logs sont-ils envoyés à OpenAI, Anthropic, Google ou tout autre fournisseur tiers ? »

  • Réponse satisfaisante : LLM on-premise (Ollama, vLLM, TensorRT) sur GPU privés, modèles souverains (Mistral, Llama fine-tuné, ou modèle propriétaire). Aucun log envoyé à un fournisseur externe.
  • 🚫 Red flag : « On utilise OpenAI GPT-4 pour résumer les incidents ». Vos logs partent aux US, soumis à leur politique d'utilisation des données.
  • 🎯 Pourquoi : voir L'IA dans le SOC : pourquoi UniSOC n'envoie pas vos logs à OpenAI.

Q8 — Personnel SOC

« Vos analystes SOC sont-ils tous basés en France/UE ? Sont-ils salariés directs ou sous-traitants ? Ont-ils tous une habilitation au moins équivalente à un secret professionnel ? »

  • Réponse satisfaisante : 100 % salariés directs France/UE, contrats français, soumis RGPD + secret pro contractuel + clearance ANSSI le cas échéant.
  • 🚫 Red flag : « Notre équipe globale 24/7 inclut des analystes en Inde / aux Philippines / en Égypte ».
  • 🎯 Pourquoi : si vos données de logs sont vues par un analyste hors UE, le RGPD est en cause + le secret professionnel français est inopposable hors France.

Q9 — Accès portail client

« Ai-je un accès direct en lecture à mes données (alertes, logs, dashboards) ? Ou suis-je dépendant d'un rapport PDF mensuel ? »

  • Réponse satisfaisante : portail web temps-réel, consultation des alertes brutes + investigations + workflow d'IR + KPI MTTD/MTTR. API d'export disponible.
  • 🚫 Red flag : « On vous envoie un PDF chaque mois, et on est dispo par email pour vos questions ».
  • 🎯 Pourquoi : vous devez pouvoir vérifier vous-même ce qui se passe sur votre périmètre. Sinon, vous êtes en relation de dépendance opaque.

Q10 — Réversibilité

« Si je décide de changer de MSSP dans 18 mois, comment récupère-t-on mes données historiques (logs, alertes, IoC, configurations) ? Au format quoi ? Combien de temps ? Combien ça coûte ? »

  • Réponse satisfaisante : export complet au format JSON/CEF/STIX dans les 30 jours suivant la résiliation, sans surcoût, avec aide à la réimport vers un autre MSSP.
  • 🚫 Red flag : silence, ou « on en parlera le moment venu », ou « format propriétaire, on peut négocier l'export ».
  • 🎯 Pourquoi : sans clause de réversibilité claire, votre MSSP a un effet de lock-in structurel qui vous coûtera très cher au moment où vous voudrez partir.

Q11 — Détection vs prévention

« Quel est votre taux de détection vs blocage ? Sur 100 incidents critiques l'an dernier, combien ont été stoppés avant impact, vs détectés après impact ? »

  • Réponse satisfaisante : chiffres concrets, par tier (mass attacks vs APT). Idéalement > 70 % blocage sur mass attacks (ransomware par drive-by, phishing massif), 30-60 % sur APT.
  • 🚫 Red flag : pas de chiffre, ou « on est plutôt sur la détection, le blocage c'est trop risqué ».
  • 🎯 Pourquoi : un MSSP qui détecte mais ne bloque pas vous notifie après le ransomware. C'est insuffisant en 2026.

Q12 — Threat hunting proactif

« Faites-vous du threat hunting proactif (sans alerte préalable) sur mon périmètre ? À quelle fréquence ? Sur quels indicateurs ? Est-ce inclus dans le contrat de base ou en option ? »

  • Réponse satisfaisante : oui, hebdomadaire ou mensuel, basé sur les nouvelles techniques publiées par MITRE / les rapports de threat intel. Inclus dans le contrat standard.
  • 🚫 Red flag : « C'est en option premium » ou « on hunt seulement quand il y a des alertes ».
  • 🎯 Pourquoi : le hunting proactif détecte les attaquants déjà installés et inactifs (dwell time) que vos règles n'attrapent pas. C'est ce qui a évité Change Healthcare à plusieurs autres opérateurs santé qui faisaient du hunting régulier.

Score d'évaluation

Comptez les ✅ obtenus :

ScoreVerdict
12/12MSSP exceptionnel, vous êtes très bien tombé
10-11/12MSSP solide, négociez les 1-2 points faibles
7-9/12MSSP moyen, demandez des engagements écrits sur les manques
4-6/12MSSP marketing-only, n'achetez pas sans plan B
< 4/12MSSP à fuir, ce sera votre prochain breach

D'expérience sur le marché français : la plupart des MSSP scorent 5-7 sur 12. Quelques uns dépassent 9. Très peu atteignent 11-12.

Comment UniSOC scorerait

Par honnêteté, voici notre auto-évaluation :

QuestionScore UniSOCDétails
Q1 SouverainetéSAS France, 0 % capital US
Q2 HébergementUnitel France, HDS V2, ISO 27001:2022
Q3 Couverture ATT&CK~70 % couverture sur Enterprise, matrice fournie sur demande
Q4 Staged rollout5 % → 25 % → 100 %, rollback auto > 0,5 % incidents
Q5 Isolation tenanttenant_id MongoDB, clés EDR par tenant
Q6 Code source agentSylink-EDR public sur GitHub (PR #1)
Q7 LLMOllama on-prem, modèle Sylink2:27b
Q8 Personnel SOC100 % France, salariés directs
Q9 Portail clientUX-SOC-V2, temps réel, API export
Q10 RéversibilitéClause contractuelle, export JSON 30 jours
Q11 Blocage vs détectionYARA "prevent" tier, 2107 règles bloquantes
Q12 Threat hunting⚠️Hebdo inclus, mais nous travaillons à l'augmenter en quotidien

Score : 11,5/12. Le seul point d'amélioration en cours, on l'assume.

Conclusion

Acheter un MSSP, c'est confier les clés de votre maison à quelqu'un que vous connaissez peu, pour 3 ans. Les RFP standards sont insuffisantes parce qu'elles posent des questions de service level, pas de risque structurel.

Ces 12 questions vous prennent 30 minutes à poser lors d'un call commercial — et vous évitent 3 ans de regret. Si vous voulez voir comment ces 12 critères se traduisent concrètement dans une plateforme opérée, regardez la présentation de la plateforme SOC managé UniSOC.

À lire aussi : SOC managé : externaliser ou recruter et MSSP piratés en 2024-2026.


Vous menez un RFP MSSP en cours ? Téléchargez notre checklist imprimable → — format A4, prête à coller sur le mur de la salle de RFP, plus 3 questions bonus pour la séance technique.

Sujets abordés

audit msspchecklist rfp socquestions msspchoisir mssp

Gestion des cookies

Nous utilisons des cookies pour améliorer votre expérience sur notre site. En continuant à naviguer, vous acceptez notre politique de confidentialité et notre utilisation des cookies conformément au RGPD.