SOC managé : pourquoi externaliser plutôt que recruter en interne en 2026
Construire un SOC interne 24/7 coûte 1,8 à 3,5 M€/an. Un SOC managé équivalent : 6 000 à 25 000 €/mois. Mais le vrai différenciateur est le délai d'opérationnalité : 2-4 semaines vs 12-18 mois.
SOC managé : pourquoi externaliser plutôt que recruter en interne en 2026
TL;DR — Construire un SOC interne 24/7 coûte entre 1,8 M€ et 3,5 M€/an pour une couverture sérieuse (8-12 analystes, outillage, threat intel). Un SOC managé équivalent revient entre 6 000 € et 25 000 €/mois selon le périmètre. Au-delà du prix, le vrai différenciateur est le délai d'opérationnalité : 2 à 4 semaines vs 12 à 18 mois.
Pourquoi cette question revient en 2026
Trois pressions convergent en France cette année :
- NIS2 (transposée fin 2025) impose à plus de 15 000 entités une détection et une réponse aux incidents avec délais contraints (24h pour notifier l'ANSSI).
- La pénurie d'analystes SOC — l'ANSSI estime à environ 15 000 postes vacants dans la cyber en France, dont au moins un tiers concerne des profils détection/réponse.
- Le coût horaire d'un analyste N2 expérimenté dépasse 95 € de l'heure chargé, et les bons profils tournent en 18-24 mois.
Résultat : la question « on monte un SOC ou on l'externalise ? » se pose désormais pour des entreprises de 200 collaborateurs, là où c'était un débat réservé aux groupes du SBF120 il y a cinq ans. C'est le cœur de notre offre dédiée aux entreprises privées, où PME et ETI cherchent un service 24/7 sans construire d'équipe interne.
Le vrai prix d'un SOC interne 24/7
Pour assurer un 24/7 réel (3×8 ou 4×6 + astreintes), il faut au minimum :
| Poste | Coût annuel chargé |
|---|---|
| 1 manager SOC | 110 - 140 k€ |
| 2 analystes N3 (lead detection engineering) | 200 - 260 k€ |
| 4 analystes N2 (investigation) | 320 - 400 k€ |
| 4 analystes N1 (triage 24/7) | 200 - 280 k€ |
| 1 ingénieur threat intel | 80 - 110 k€ |
| Sous-total RH | 910 - 1 190 k€ |
| SIEM / XDR (licences + storage) | 180 - 350 k€ |
| Threat intelligence feeds | 60 - 120 k€ |
| EDR (parc 1 500 endpoints) | 90 - 150 k€ |
| Outillage SOAR + ticketing + sandbox | 60 - 100 k€ |
| Formation et certifications | 40 - 60 k€ |
| Espace dédié + secret + sécurité physique | 30 - 80 k€ |
| TOTAL annuel — première année | 1 800 - 3 500 k€ |
À cela s'ajoute le délai de montée en charge. Compter :
- 4 à 6 mois pour recruter l'équipe complète (si le marché coopère).
- 6 à 9 mois pour outiller, paramétrer, écrire les premiers playbooks.
- 12 à 18 mois pour avoir une couverture MITRE ATT&CK > 60 %.
Pendant cette période, vous payez l'équipe sans détecter grand-chose.
Le coût réel d'un SOC managé
Un SOC managé français facture en général au per asset (endpoint, VM, identité) ou en forfait par tranche de collaborateurs :
| Périmètre type | Tarification mensuelle indicative |
|---|---|
| PME 50 collaborateurs (essentiel : EDR + SIEM cloud) | 1 500 - 3 000 € |
| PME/ETI 200 collaborateurs (EDR + NDR + IR de base) | 6 000 - 9 000 € |
| ETI 800 collaborateurs (XDR complet + threat intel + IR avancé) | 15 000 - 25 000 € |
| Groupe coté 3 000+ (multi-site, hybride avec SOC interne) | sur devis |
Mise en service : 2 à 4 semaines (intégration EDR, sondes, connecteurs SIEM, validation des playbooks).
6 critères pour décider sereinement
1. Quelle est votre dette en détection aujourd'hui ?
Si vous n'avez ni SIEM, ni EDR, ni threat intelligence active, démarrer en interne signifie 18 mois sans détection sérieuse. Un SOC managé compresse ce délai à 1 mois.
2. Avez-vous une obligation de souveraineté ?
Un SOC interne sur sol français reste possible. Mais beaucoup d'entreprises tombent dans le piège d'externaliser à un MSSP US ou irlandais, soumis au Cloud Act. Préférez un SOC managé français hébergé en France (ex. UniSOC chez Unitel, certifié HDS V2).
3. Combien d'incidents critiques par an ?
En dessous de 3-4 incidents critiques/an, l'expertise interne se perd entre deux crises. Un SOC managé voit des centaines d'incidents par mois sur l'ensemble de ses clients : l'effet de mutualisation des détections est massif.
4. Quel est votre profil RH ?
Si votre DSI a déjà du mal à garder ses sysadmins, recruter et garder 8-12 analystes N1/N2/N3 sera très difficile. Le turn-over moyen d'un analyste SOC est de 18 mois — un SOC managé absorbe ce risque.
5. Devez-vous prouver une conformité (NIS2, ISO 27001, DORA, HDS) ?
Les MSSP fournissent les rapports d'audit prêts à l'emploi, les preuves de détection 24/7, les délais de notification. Vous gagnez 2 à 3 mois sur chaque audit.
6. Avez-vous besoin d'IA dans la détection ?
Les SOC modernes utilisent désormais des modèles IA pour la corrélation, la priorisation et la réponse automatique. Construire ce stack en interne (LLM souverain, fine-tuning, garde-fous) est hors de portée pour 95 % des ETI. Un SOC managé l'apporte clé en main.
Le modèle hybride : souvent le bon compromis
Pour les ETI à partir de 1 500 collaborateurs avec des enjeux métier forts, le bon modèle est hybride :
- MSSP assure le 24/7, le triage N1, l'enrichissement CTI, la réponse de premier niveau.
- Équipe interne (1-2 ETP) gère les incidents critiques, l'engineering détection custom, la communication crise.
Ce modèle divise par 3 le coût d'une équipe full-internal tout en gardant le contrôle stratégique.
Comment choisir son SOC managé
Trois pièges à éviter :
- Le contrat sans engagement de moyens — exigez un SLA détection (ex. 15 min sur HIGH/CRITICAL), un SLA réponse (30 min N2), et des pénalités contractuelles.
- L'opacité technique — demandez la couverture MITRE ATT&CK exacte, le nombre de détecteurs, les sources CTI utilisées, l'accès au portail client en lecture (pas une PDF mensuelle).
- L'extraterritorialité juridique — vérifiez le pays d'hébergement, l'éditeur de l'EDR (US ? UE ?), la nationalité des analystes qui voient vos logs.
Conclusion
Pour 95 % des ETI françaises, externaliser le SOC en 2026 est le bon choix. Le calcul économique est tranché, la pénurie de talents inverse définitivement le rapport de force, et la maturité des MSSP français permet aujourd'hui un service équivalent ou supérieur à ce qu'une équipe interne pourrait construire — c'est exactement la promesse de la plateforme SOC managé UniSOC.
Reste à bien choisir le partenaire — ce qui est le sujet de l'article suivant : SOC interne ou externalisé : 8 critères pour choisir en 2026.
Vous évaluez un SOC managé pour votre organisation ? Demandez une démo personnalisée UniSOC → — 30 minutes, on cadre votre périmètre et on vous remet un devis ferme sous 48h.