Cybersécurité managée en infogérance : mesures, preuves et reporting (PME)

La “cybersécurité managée” n’a de valeur que si vous pouvez répondre à 3 questions, noir sur blanc :

1. Qu’est-ce qui est couvert (périmètre) ?
2. Qui fait quoi (RACI + escalade) ?
3. Quelles preuves vous recevez (reporting + exports + traçabilité) ?

Les guides publics le rappellent d’une autre façon : il n’y a pas de risque zéro, mais une PME peut faire beaucoup avec des mesures accessibles et un pilotage régulier.

🔗 Pour aller plus loin, voir: présentation concrète de l’infogérance.

Cybersécurité managée : définition pragmatique

La cybersécurité managée est un service où un prestataire :

• met en place un socle de sécurité (prévention),
• surveille des signaux d’attaque (détection),
• aide à réagir quand un incident arrive (réponse),
• et s’assure que vous pouvez redémarrer (restauration / PRA).

Vous verrez souvent les termes :

• SOC managé : “centre de supervision” (surveillance + analyse + alertes).
• MDR : “détection + réponse” (souvent centré postes/serveurs + actions guidées).

Pour une PME, le sujet n’est pas de “choisir un acronyme”, mais d’acheter un service mesurable : alertes utiles, actions tracées, délais, et preuves.

Ce que la cybersécurité infogérée couvre vraiment

Couvert (quand c’est bien cadré)

• Identités & accès : MFA, comptes admin, départs salariés, droits.
• Postes/serveurs : antivirus nouvelle génération / EDR, chiffrement, durcissement.
• Messagerie & collaboration (souvent Microsoft 365) : anti-phishing, règles, alertes.
• Patching : mises à jour + exceptions documentées.
• Sauvegardes + tests de restauration : sinon c’est “théorique”.
• Journalisation (logs) + détection : la base recommandée d’une capacité de détection.
• Gestion d’incident : qualification, containment, rétablissement, actions correctives.

Souvent non couvert (à clarifier)

• Assurance cyber, conformité “garantie”, prise en charge juridique complète.
• Sécurité applicative sur mesure (si vous avez des apps spécifiques) sans projet dédié.
• Interventions illimitées “sur site” (hors périmètre / hors horaires).
• “Réponse à incident” avancée sans conditions (forfait, plafond, astreinte, etc.).

🔗 Aller plus loin: évaluer le périmètre couvert en infogérance

Le pack “socle PME” : mesures minimales à demander

Le but est d’obtenir un niveau homogène : pas une collection d’outils. Inspirez-vous de guides PME publics pour rester sur des actions réalistes.

Mesures (liste courte, pilotable)

1. MFA partout, priorité comptes admin + messagerie
2. Gestion des départs/arrivées (process + délai)
3. Patching (postes/serveurs) avec indicateur de conformité
4. EDR / protection endpoints + couverture mesurée
5. Protection messagerie (anti-phishing, règles, alertes)
6. Sauvegardes + tests de restauration planifiés
7. Journalisation minimale (événements clés) + conservation
8. Vulnérabilités (au minimum : scans périodiques + priorisation)
9. Sensibilisation (phishing, mots de passe, réflexes)
10. Durcissement (chiffrement PC, blocage macros, principes de moindre privilège)

Le tableau qui évite les offres “marketing” : Mesure → Preuve → Fréquence → Décision

Voici le format le plus utile pour un dirigeant : vous devez pouvoir lire une ligne et savoir quoi décider.

Pourquoi insister sur la journalisation ?

Parce que la détection et la supervision s’appuient sur des logs bien conçus, l’ANSSI publie des recommandations dédiées et relie explicitement journalisation et capacité de détection.

Mesure	Preuve fournie (exemples)	Fréquence	Décisions possibles
MFA (dont admin)	% comptes couverts + liste exceptions	Mensuel	Forcer MFA / traiter exceptions
Comptes admin	inventaire + changements + justification	Mensuel	Réduire privilèges / valider accès
Patching	% conforme + postes “en retard”	Mensuel	Planifier correctifs / arbitrer exceptions
EDR / endpoints	% agents actifs + incidents détectés	Mensuel	Couvrir trous / corriger causes
Messagerie	incidents phishing + actions (règles, blocages)	Mensuel	Renforcer politiques / sensibiliser
Sauvegardes	succès/échecs + alertes	Hebdo/Mensuel	Corriger sources d’échec
Tests de restauration	compte-rendu test + temps réel	Trimestriel (min.)	Ajuster PRA / confirmer RTO
Journalisation (logs)	périmètre collecté + qualité + alertes clés	Mensuel	Étendre logs / réduire angles morts
Vulnérabilités	top 10 + criticité + statut	Mensuel	Prioriser remédiations
Incidents	timeline + actions + rétablissement	À chaque incident	Investir sur cause racine

Reporting : exemple d’un “bon” rapport mensuel en PME

Un rapport utile tient en 2 niveaux :

Niveau 1 — 1 page “dirigeant”

• Synthèse du mois (3 faits + 3 actions)
• Risque principal et ce qui est fait pour le réduire
• Incidents significatifs (nombre + sévérité + impact)
• Décisions attendues (2–5 max)

Niveau 2 — annexes “preuves”

• Export incidents / tickets (horodatage, sévérité, délai de rétablissement)
• Couverture MFA, comptes admin, EDR
• Conformité patching + exceptions
• Sauvegardes + résultats tests de restauration
• Périmètre logs + alertes + corrections
• Vulnérabilités : liste priorisée + statut

Si le prestataire ne peut pas fournir d’exports (ou refuse), vous n’achetez pas un service “managé”, vous achetez une promesse.

6) RACI sécurité : qui fait quoi

Même en PME, un mini-RACI évite 80% des frictions :

• Client (vous) : décide priorités, valide exceptions, arbitre budget/risque
• Prestataire : exécute mesures, surveille, alerte, propose plan d’actions
• Éditeurs/Cloud/Opérateurs : interviennent sur incidents dépendants (à intégrer au processus)

Ajoutez deux éléments indispensables :

1. Escalade (quand vous êtes appelé, sur quels seuils)
2. Preuves (quels logs/rapports, où, combien de temps)

Sur la supervision, l’ANSSI insiste aussi sur la nécessité de moyens organisationnels adaptés, y compris en cas d’externalisation : cela se traduit concrètement par des canaux d’échange, une gouvernance et des responsabilités claires.

Contrat & RGPD : ce que vous devez cadrer

Dès que votre prestataire administre votre SI (comptes, messagerie, logs, etc.), il intervient potentiellement sur des données personnelles. Le RGPD encadre la relation responsable de traitement / sous-traitant, y compris la sous-traitance ultérieure (chaîne de sous-traitants).

À exiger, côté “concret”

• Un cadre contractuel conforme (souvent “DPA” / clause article 28).
• La gestion des sous-traitants ultérieurs (cloud, outils) et la transparence associée.
• La traçabilité des accès et actions d’administration (preuve, conservation, restitution).

La CNIL publie aussi :

• un guide sous-traitant (utile pour cadrer responsabilités et pratiques),
• et des exemples de clauses de sous-traitance (base de travail).

(Ce guide est opérationnel, pas juridique. Pour la rédaction finale des clauses, faites valider si besoin.)

🔗 Pour aller plus loin:

• Analyser la qualité des clauses RGPD en infogérance
• Que doit absolument inclure un contrat d’infogérance

Comment démarrer en PME : plan 30 jours

Semaine 1 — cadrage

• Inventaire minimum (postes, comptes admin, messagerie, sauvegardes)
• Périmètre “inclus/exclu”
• RACI + escalade + canaux

Semaine 2 — socle identités & endpoints

• MFA, durcissement comptes admin
• EDR déployé + mesure de couverture
• Process arrivées/départs

Semaine 3 — patching + sauvegardes

• Patching : indicateurs + exceptions
• Sauvegardes : succès/échecs + alerting
• Préparer le 1er test de restauration

Semaine 4 — logs + pilotage

• Journalisation minimale + conservation
• Définir reporting mensuel + KPIs
• 1er comité : prioriser 5 actions à 30 jours

Pour la supervision, il existe des documents ANSSI sur le pilotage d’un projet de supervision : même si vous ne faites pas “un SOC complet”, vous pouvez reprendre la logique (gouvernance, périmètre, objectifs, exploitation).

Red flags : 10 signaux d’une offre vide

1. “SOC 24/7” mais pas de périmètre écrit
2. Pas de reporting, ou uniquement “joli PDF” sans annexes/exports
3. Aucune métrique de couverture (MFA, EDR, patching)
4. Sauvegardes annoncées sans tests de restauration
5. “On gère la sécurité” mais pas de RACI ni d’escalade
6. Logs flous (“on collecte”) sans périmètre ni conservation
7. Incidents non tracés (pas de timeline, pas d’actions)
8. Sous-traitants cachés / non listés
9. Tout est “inclus” mais rien n’est opposable (SLA, horaires, plafonds)
10. Refus de donner accès aux preuves (exports, historique)

🔗Pour aller plus loin:

• SLA: le guide complet pour l’infogérance
• les erreurs et risques de l’infogérance
• comparer deux offres d’infogérance

Réponses à vos questions

C’est quoi la cybersécurité managée pour une PME ?

Un service qui met en place un socle de sécurité, surveille les signaux d’attaque, et aide à répondre aux incidents — avec des preuves (reporting + exports) pour piloter.

SOC managé et MDR : quelle différence ?

Le SOC est centré supervision/alertes/analyse. Le MDR met l’accent sur détection + réponse, souvent via la protection endpoints. Dans les deux cas, exigez périmètre + preuves + gouvernance.

Quelles preuves demander chaque mois ?

Couverture MFA/admin, patching, EDR, incidents (timeline), sauvegardes + tests de restauration, périmètre logs/alertes, vulnérabilités priorisées.

Pourquoi la journalisation est si importante ?

Parce que la détection s’appuie sur des logs fiables : l’ANSSI publie des recommandations dédiées et relie la journalisation à la capacité de détection.

RGPD : que faut-il cadrer avec un prestataire ?

La relation responsable/sous-traitant (article 28), la chaîne de sous-traitants, les mesures de sécurité, l’assistance, et les modalités de restitution/suppression.

Prêt à sécuriser votre informatique ?

Si vous êtes une PME à Paris ou en Île-de-France, vous pouvez comparer les tarifs de prestataires à Paris, ou consulter notre offre d’infogérance.