soc-manage.frRecevoir 3 devis →

COÛTS CACHÉS · BUDGET MDR

Coûts cachés MDR : 8 postes a anticiper avant de signer

8 postes · 8 conseils acheteur · 1 exemple chiffré

Quand un fournisseur de MDR (Managed Detection and Response, soit la détection et la réponse aux incidents pilotées par un prestataire externe) vous annonce un prix « tout compris » à 10 ou 12 euros par poste et par mois, vous êtes en train de regarder la partie visible du contrat. La partie qui rentre dans le bon de commande. Pas celle qui rentrera dans le budget réel de votre SOC managé sur trois ans.

La structure tarifaire d'un contrat MDR repose presque toujours sur une souscription par endpoint, facturée mensuellement ou annuellement. Ce chiffre est celui qui circule en RFP (Request For Proposal, l'appel d'offres), celui qui apparaît dans les comparatifs marketing, celui qui sert d'ancrage à la négociation. Et c'est précisément parce que tout le monde se bat sur ce prix de référence que les fournisseurs ont déplacé la marge ailleurs. Onboarding facturé en forfait, rétention de logs facturée au volume, intervention d'un CSIRT (Computer Security Incident Response Team) facturée à l'heure, indexation tarifaire annuelle, options de souveraineté facturées en supplément : autant de lignes qui ne pèsent rien isolément mais qui transforment, sur la durée d'un contrat de trois ans, l'économie réelle de votre projet.

Nous avons examiné une dizaine de contrats MDR signés par des ETI françaises (Entreprise de Taille Intermédiaire, entre 250 et 5 000 collaborateurs) sur les vingt-quatre derniers mois. Le constat est constant : entre le prix affiché en proposition commerciale et le coût total de possession sur la durée du contrat, l'écart médian observé se situe entre +30 % et +60 %. Sur une ETI de 500 postes au tarif d'entrée de 10 euros par poste et par mois, cela représente entre 54 000 et 108 000 euros qui n'étaient pas dans le calcul de départ.

Ce document recense les huit postes de coût qui creusent systématiquement l'écart entre prix annoncé et budget réel. Pour chacun, nous précisons l'ordre de grandeur observé sur le marché français, la raison pour laquelle le fournisseur ne le met pas en avant, et la manière de le neutraliser ou de le borner en phase de négociation. L'objectif n'est pas de transformer un acheteur en expert technique du MDR : c'est de lui donner les questions à poser pour que le devis qu'il signe ressemble au budget qu'il consommera.

01 — POSTES À ANTICIPER

8 coûts qui n'apparaissent pas dans le prix

01

Onboarding et calibration (semaines 1 à 12)

Ordre de grandeur : 10 000 à 50 000 euros en forfait, voire 80 000 euros au-delà de 2 000 postes

Ce que c'est

L'onboarding couvre tout ce qui se passe entre la signature et la mise en production effective du service : déploiement des agents EDR (Endpoint Detection and Response, les sondes installées sur les postes et serveurs), connexion des sources de logs, calibration des règles de détection sur votre contexte métier, intégration au ticketing existant, mise en place des canaux de communication SOC-équipe interne, formation des équipes IT à la procédure d'alerte. La durée standard observée sur le marché français est de six à douze semaines pour un périmètre ETI, mais elle peut s'étaler jusqu'à six mois sur des environnements complexes (multi-sites, OT, cloud hybride).

Pourquoi c'est rarement annoncé

Le forfait d'onboarding n'apparaît presque jamais dans les comparatifs publics ni dans les premiers échanges commerciaux, qui se concentrent sur le tarif récurrent par poste. C'est pourtant la ligne où les fournisseurs ont le plus de latitude tarifaire, parce qu'elle n'est ni comparée ni normalisée. Plus problématique encore : pendant ces trois à six mois, le service est facturé mais ne produit pas encore sa valeur opérationnelle (faux positifs nombreux, runbooks non calés, escalades qui ne savent pas où aller).

Comment l'anticiper

Exigez en RFP un détail ligne à ligne du forfait d'onboarding (jours-hommes, livrables, jalons de recette). Négociez un plafond et un calendrier ferme avec pénalités de retard. Demandez si la souscription mensuelle démarre à la signature ou à la mise en production effective : la différence représente 1 à 3 mois de facturation à neutraliser. Plusieurs fournisseurs français acceptent désormais un onboarding offert sous condition d'un engagement 36 mois.

02

Rétention de logs étendue (12 à 24 mois)

Ordre de grandeur : 1 à 5 euros par poste et par mois supplémentaires selon le volume et le niveau de chaleur du stockage

Ce que c'est

Le service MDR conserve par défaut les logs (journaux d'événements de sécurité collectés sur les endpoints, réseaux, identités et applications) pendant une fenêtre courte, typiquement 7 à 90 jours, qui correspond au besoin de la détection en temps réel. Or les obligations réglementaires européennes récentes (NIS2 transposée en droit français en 2025, DORA pour le secteur financier, HDS pour les données de santé) imposent une rétention beaucoup plus longue, de 12 à 24 mois selon les secteurs, pour permettre l'investigation a posteriori d'un incident et la réponse aux autorités compétentes.

Pourquoi c'est rarement annoncé

La rétention courte est l'angle mort des comparatifs MDR : le prix affiché correspond presque toujours à la rétention minimale, et le passage à 12 ou 24 mois est facturé en option, souvent au volume (en téraoctets) plutôt qu'en pourcentage de la souscription. Sur un parc de 500 postes générant 50 à 150 gigaoctets de logs par mois, le coût marginal de la rétention longue n'est presque jamais anticipé.

Comment l'anticiper

Cadrez dès le RFP la durée de rétention exigée par votre cadre réglementaire (NIS2 : 12 mois minimum recommandé pour la traçabilité ; DORA : 24 mois). Demandez le coût additionnel par mois de rétention et le tarif de la requête sur les logs archivés (certains fournisseurs facturent la « rehydratation » des logs froids 500 à 2 000 euros par investigation). Vérifiez le format d'export pour préserver la portabilité.

03

Croissance du parc d'endpoints en cours de contrat

Ordre de grandeur : +10 à +25 % sur le poste additionnel par rapport au tarif moyen du contrat initial

Ce que c'est

Le tarif par poste annoncé en début de contrat repose sur le périmètre déclaré à la signature. Toute extension du parc en cours d'exécution (recrutements, acquisition d'une filiale, déploiement sur un nouveau site, ajout de serveurs cloud, intégration d'IoT industriel) déclenche une facturation additionnelle. Les grilles tarifaires sont rarement linéaires : elles fonctionnent par paliers (250, 500, 1 000, 2 500, 5 000 endpoints) avec des dégressivités favorables uniquement lorsqu'on franchit un seuil, jamais quand on en dépasse un de quelques dizaines.

Pourquoi c'est rarement annoncé

Le commercial vous proposera le tarif correspondant au palier signé, sans détailler la grille au-delà. Une organisation qui passe de 500 à 650 postes en milieu de contrat se retrouve souvent à payer les 150 postes supplémentaires à un tarif unitaire supérieur à celui de la base, parfois sans dégressivité, parce qu'elle est désormais en posture captive vis-à-vis du fournisseur.

Comment l'anticiper

Exigez en annexe contractuelle la grille de prix par seuil sur toute la durée d'engagement (par tranches de 100 ou 250 endpoints). Négociez une clause de plafond tarifaire sur les ajouts inférieurs à 20 % du parc initial. Pour une organisation en croissance, prévoyez un dimensionnement contractuel à 18-24 mois plutôt qu'au périmètre du jour J.

04

Réponse à incident majeur (CSIRT)

Ordre de grandeur : 200 à 500 euros de l'heure en régie, ou forfait de réservation 15 000 à 40 000 euros par an ; une intervention ransomware complète atteint couramment 50 000 à 200 000 euros

Ce que c'est

Détecter une attaque et y répondre opérationnellement sont deux métiers distincts. Le MDR couvre la détection et le triage des alertes, parfois la réponse de premier niveau (isolation d'un poste, blocage d'un compte). En revanche, l'intervention sur un incident majeur (ransomware avéré, compromission Active Directory, exfiltration de données nécessitant notification CNIL) mobilise un CSIRT spécialisé : forensique, négociation, coordination juridique, restauration. Ce service est presque toujours facturé en supplément.

Pourquoi c'est rarement annoncé

Le commercial MDR met en avant la « réponse » dans son acronyme mais omet souvent de préciser que la réponse incluse couvre les actions automatisables et le triage, pas l'intervention d'urgence. La ligne CSIRT est traitée comme un service distinct, parfois opéré par une filiale ou un partenaire du fournisseur. C'est précisément en situation de crise (donc en position de faiblesse) que l'organisation découvre que ce service est en facturation à l'heure.

Comment l'anticiper

Cadrez dès le RFP le périmètre exact de la « R » de MDR : actions de réponse incluses, plafond horaire annuel, qualification de l'équipe d'intervention (PRIS, prestataire de réponse aux incidents de sécurité qualifié ANSSI). Négociez un forfait de réservation CSIRT couvrant 40 à 80 heures par an, généralement plus économique que la régie pure. Vérifiez la disponibilité en astreinte 24/7 et le délai d'intervention contractuel (généralement 2 à 4 heures sur incident critique).

05

Threat hunting structuré

Ordre de grandeur : 1 000 à 3 000 euros par mois en option chez les pure-players français ; inclus en standard uniquement dans les offres premium ou les contrats à partir de 1 000 postes

Ce que c'est

Le threat hunting (chasse aux menaces) est une démarche proactive : un analyste expérimenté formule des hypothèses (« et si un attaquant utilisait telle technique pour passer sous le radar de nos détections ? ») et interroge les données de l'environnement pour les valider ou les infirmer. Cette pratique complète la détection automatisée, qui ne voit que ce qu'on lui a appris à voir. Sur les attaques sophistiquées et les compromissions de longue durée, c'est souvent le hunting qui débloque la situation.

Pourquoi c'est rarement annoncé

Le terme apparaît dans presque toutes les plaquettes commerciales mais recouvre des réalités très différentes. Chez la majorité des fournisseurs, ce qui est inclus correspond à un hunting opportuniste sur signaux faibles repérés par le SOC, pas à un programme structuré avec hypothèses documentées et restitution mensuelle. Le hunting réellement piloté est en option payante, parfois sous la forme d'un service additionnel facturé en jours-experts.

Comment l'anticiper

Demandez en RFP un exemple concret de livrable de hunting (rapport de campagne, hypothèses testées, indicateurs de compromission identifiés). Précisez la fréquence attendue (mensuelle ou trimestrielle) et le périmètre couvert. Si le hunting est positionné en option, comparez le coût additionnel au gain réel : sur des parcs de moins de 250 postes, l'effort de hunting est souvent disproportionné au risque résiduel.

06

Account manager dédié (TAM)

Ordre de grandeur : +15 à +25 % de la souscription annuelle MDR, soit 15 000 à 60 000 euros par an pour une ETI

Ce que c'est

Le TAM (Technical Account Manager) est le point d'entrée unique côté fournisseur : il porte la relation, anime les comités de service mensuels ou trimestriels, suit les indicateurs de performance, escalade en cas de difficulté opérationnelle, accompagne les évolutions du périmètre. En standard, ce rôle est mutualisé sur dix à trente clients par TAM. Un TAM nommé, dédié à votre compte, change la qualité de la relation : il connaît votre architecture, anticipe les évolutions, raccourcit les délais de prise en charge.

Pourquoi c'est rarement annoncé

Le rôle de TAM est mentionné systématiquement dans les propositions commerciales, mais le caractère mutualisé ou dédié est rarement explicite. Beaucoup d'organisations découvrent en phase d'exécution que leur TAM gère vingt autres comptes, que les délais de réponse sont longs et que les comités de service se résument à une revue de tableau de bord générique.

Comment l'anticiper

Faites préciser en RFP le ratio de mutualisation du TAM (nombre maximum de clients par TAM) et l'engagement de disponibilité (jours de présence, délai de réponse mail et téléphone). Si vous êtes une organisation à enjeu réglementaire ou à forte volumétrie d'alertes, le TAM dédié se justifie ; en deçà de 500 postes, la mutualisation est généralement acceptable à condition de borner le ratio.

07

Renouvellement et indexation tarifaire annuelle

Ordre de grandeur : +5 à +12 % par an sur la durée du contrat ; +15 à +30 % au moment du renouvellement

Ce que c'est

Les contrats MDR sont presque toujours signés pour 24 ou 36 mois, parfois 60 mois sur les grands comptes. À l'intérieur de la durée d'engagement, les fournisseurs intègrent une clause d'indexation tarifaire annuelle, généralement adossée à un indice composite (SYNTEC, inflation IT, ICC) avec un plancher contractuel. À la fin du contrat, le renouvellement s'accompagne quasi systématiquement d'une révision tarifaire à la hausse, justifiée par l'enrichissement du service ou la couverture de nouvelles surfaces.

Pourquoi c'est rarement annoncé

L'indexation est inscrite en petits caractères dans les conditions générales et rarement chiffrée en simulation pluriannuelle dans la proposition commerciale. Sur un contrat de 36 mois avec indexation à +8 %/an, la facture de la troisième année est 17 % supérieure à celle de la première, ce qui change l'économie du business case.

Comment l'anticiper

Exigez en RFP une simulation pluriannuelle complète (cash-out année 1, 2 et 3 incluant indexation) et négociez un plafond annuel d'indexation (idéalement 4 ou 5 %). Demandez le détail de l'indice de référence : un indice SYNTEC est plus prévisible qu'une indexation libre. Prévoyez un appel d'offres concurrentiel six mois avant la fin du contrat pour reprendre la main sur le renouvellement.

08

Hébergement souverain (SecNumCloud, HDS, France)

Ordre de grandeur : +20 à +40 % sur le prix de base pour SecNumCloud ; +10 à +25 % pour un hébergement UE non qualifié

Ce que c'est

L'hébergement des logs, des données de configuration et des éléments d'investigation chez un fournisseur MDR peut s'opérer sur des infrastructures variées : cloud public américain (AWS, Azure, GCP), cloud européen, cloud souverain qualifié SecNumCloud (qualification ANSSI garantissant la protection contre les lois extraterritoriales), ou hébergeur HDS pour les données de santé. Le tarif d'entrée d'une offre MDR correspond presque toujours à l'option la moins chère, hébergée hors zone souveraine.

Pourquoi c'est rarement annoncé

La souveraineté est devenue un argument commercial mais reste rarement chiffrée en standard. Beaucoup de fournisseurs présentent l'hébergement souverain comme « disponible » sans préciser le surcoût associé. Or pour les organisations soumises à NIS2 entité essentielle, à DORA, ou opérant en santé, défense, énergie, le choix de l'hébergement n'est pas un confort : c'est une exigence réglementaire qui doit être budgétée dès l'origine.

Comment l'anticiper

Précisez dès le RFP l'exigence d'hébergement (SecNumCloud requis, HDS requis, UE acceptable, etc.) et faites chiffrer chaque option en parallèle. Vérifiez les qualifications réelles du fournisseur (qualification PDIS pour la détection d'incident, qualification PRIS pour la réponse) et celles de son sous-traitant cloud. Méfiez-vous des formulations ambiguës type « hébergé en France » qui peuvent recouvrir un cloud américain dont les datacenters sont localisés en France mais soumis au CLOUD Act.

02 — EXEMPLE CHIFFRÉ

Exemple chiffré : ETI 500 postes, contrat 3 ans, exigence NIS2 entité importante

PosteMontant
Souscription annuelle MDR (10 €/poste/mois × 500 × 12)60 000 € / an
Indexation tarifaire (+7 %/an sur années 2 et 3)+8 700 € cumulés
Onboarding initial (forfait, payé année 1)25 000 € one-shot
Rétention logs étendue 18 mois (+2 €/poste/mois)12 000 € / an
Threat hunting structuré (option mensuelle)18 000 € / an
Forfait de réservation CSIRT (50 h/an inclus)22 000 € / an
Hébergement souverain SecNumCloud (+25 %)15 000 € / an
TAM dédié (ratio 1 pour 8 clients)12 000 € / an
Croissance parc estimée (+60 postes en année 2-3)+9 000 € cumulés
Intégration SIEM existant (connecteur custom one-shot)8 000 € one-shot
Total observé sur 3 ans : environ 320 000 €

Affiché initialement (souscription seule × 3 ans) : 180 000 € · Coût réel projeté : 320 000 € · Écart : +78 % par rapport au prix de référence

03 — RFP

8 conseils pour le RFP

  • Exigez en RFP un cash-out pluriannuel complet (années 1, 2 et 3) intégrant onboarding, indexation, rétention, options et surcoûts d'hébergement. Refusez les propositions qui ne raisonnent qu'en tarif récurrent par poste : c'est l'angle mort de la négociation.
  • Demandez la grille de prix complète par seuils d'endpoints (paliers de 100 ou 250) sur toute la durée d'engagement, pas seulement au palier signé. C'est la clause qui protège l'organisation en croissance.
  • Cadrez précisément le périmètre de la « R » de MDR : actions de réponse automatisées incluses, plafond horaire d'intervention humaine, qualification PRIS de l'équipe CSIRT, délai d'intervention contractuel sur incident critique. Préférez un forfait de réservation à la facturation pure à l'heure.
  • Imposez un plafond annuel d'indexation tarifaire (4 à 5 % maximum) adossé à un indice public et prévisible (SYNTEC), et planifiez une mise en concurrence six mois avant la fin du contrat. Ne laissez jamais le renouvellement se négocier en bilatéral à chaud.
  • Précisez l'exigence d'hébergement dès le RFP (SecNumCloud, HDS, UE) et faites chiffrer chaque option en parallèle. Vérifiez les qualifications ANSSI réelles du fournisseur et de son sous-traitant cloud, pas les déclarations marketing.
  • Négociez l'inclusion ou la gratuité de l'onboarding contre un engagement de durée plus long (36 mois plutôt que 24). C'est souvent acceptable côté fournisseur et économiquement très favorable côté client.
  • Faites figurer en annexe contractuelle un état détaillé des options incluses et des options en supplément (rétention, hunting, TAM dédié, CSIRT, intégrations sur-mesure), avec leur tarif unitaire actuel. C'est cette annexe qui protège du marketing flou.
  • Avant signature, demandez à parler à deux clients de référence du fournisseur dont le contrat tourne depuis au moins 18 mois. Posez-leur la seule question utile : « quels postes de coût n'aviez-vous pas anticipés au démarrage ? »

04 — À RETENIR

Conclusion

Le marché du MDR français est en train de mûrir vite. Les pure-players souverains (Advens, Almond, Intrinsec, Orange Cyberdefense, I-TRACING, Tehtris, et la dizaine d'acteurs de taille intermédiaire qui les accompagnent) ont structuré des offres lisibles, et la concurrence est désormais réelle sur le tarif de souscription. C'est précisément cette pression sur le prix de référence qui a poussé la marge ailleurs : dans le forfait d'onboarding, dans les options de rétention, dans la facturation à l'heure de l'intervention, dans l'indexation tarifaire annuelle. Ce déplacement n'est pas un complot, c'est une réalité économique du marché du service managé. Mais il implique que le travail d'analyse de l'acheteur s'est lui aussi déplacé : ce n'est plus le tarif par poste qui fait l'écart entre une bonne et une mauvaise décision, c'est la lecture de la grille complète.

Notre conviction sur soc-manage.fr est qu'un acheteur correctement informé négocie un contrat 20 à 30 % plus économique qu'un acheteur qui s'arrête au prix de référence, à qualité de service égale, et en gardant le même fournisseur. Ce n'est pas une question de marchandage : c'est une question d'avoir mis sur la table, dès le RFP, les huit ou neuf lignes qui font le total réel. Pour aller plus loin, vous pouvez utiliser notre calculateur de TCO MDR pour estimer le budget projeté de votre contrat sur 36 mois en intégrant les postes décrits ici, et télécharger notre modèle de cahier des charges MDR qui structure la grille de questions à poser à chaque candidat. Notre comparateur indépendant, lui, vous permet de qualifier les fournisseurs sur les critères qui comptent vraiment : souveraineté effective, autorité de réponse réelle, et qualifications ANSSI vérifiées.