soc-manage.frRecevoir 3 devis →
Non-souverainÉditeur MDRRéponse active24/7/365Fondée 1975

Microsoft (Defender Experts)

Éditeur américain (Nasdaq MSFT), gamme Defender Experts XDR, Hunting et Suite P1/P2 lancée en janvier 2026. Plateforme 100 % Defender imposée, SDX dédié à partir de 500 sièges : tier non souverain.

Visiter www.microsoft.com← Retour au catalogue

Pour qui ?

À choisir si

  • Grandes entreprises déjà Microsoft 365 E5 / Defender XDR qui cherchent un MDR éditeur avec 5 actions de confinement et co-management.
  • Acheteurs de plus de 500 sièges qui cherchent SDX dédié + threat hunting inclus (Defender Experts for Hunting built-in).
  • Clients qui veulent Microsoft Incident Response (ex-DART) inclus via Defender Experts Suite Plan 1 / Plan 2 (lancement 06/01/2026).

À éviter si

  • Acheteurs français souverains stricts — capital US (Nasdaq MSFT), exposition CLOUD Act + FISA Section 702.
  • Clients qui veulent chat ou interactions analystes en français — anglais uniquement (chat translation EN/ES/JA/PT, pas FR).
  • Acheteurs qui veulent BYO EDR — plateforme imposée 100 % Defender XDR, zéro BYO EDR tiers.

En bref

Type
Éditeur MDR
Souveraineté FR
Non
Plateforme
Non-souveraine (US/UK/RO)
SOC localisation
Hors UE (rotation mondiale)
Hébergement données
Union européenne
Couverture
24/7/365
Autorité de réponse
Réponse active (containment exécuté par l'analyste)
Première réponse
Configurable (auto + escalade)
Déploiement
Plateforme imposée
Pilotage
Co-managé
Siège
Redmond
Effectif
1000+
Tarification
Sur devis
Transparence prix
Sur demande

Analyse éditoriale

Microsoft Defender Experts (XDR / Hunting) est un éditeur MDR US (Nasdaq MSFT, Redmond WA, environ 228 000 employés). Le tier non souverain est acté : capital US, plateforme Defender XDR + Sentinel sur Azure global, exécution SOC mondiale. Les données opérationnelles Defender Experts (tickets, notes analystes) suivent le périmètre EU Data Boundary (EUDB) du client (UE possible pour les clients EUDB in-scope, US sinon). Le service est par ailleurs soumis à CLOUD Act + FISA Section 702.

Deux nuances importantes à porter dans la fiche. D'abord, l'EU Data Boundary couvre Defender XDR / Sentinel core quand le workspace est en région UE (Paris, Marseille), mais pas Defender for Endpoint, for Identity, for Cloud Apps ni for Office 365 (la plupart des données sont transférées et stockées aux US). Ensuite, Bleu (JV Capgemini/Orange/Microsoft) a passé l'étape 1 SecNumCloud en avril 2025 et vise la qualification H1 2026, mais ne couvre que Azure + M365 core, pas le service Defender Experts (qui reste exécuté par Microsoft mondial). Sur le comportement, l'autorité de réponse est active forte : cinq actions de confinement supportées, 24h/24 humain confirmé, modèle co-managé (le client garde la console Defender), plateforme imposée 100 % Defender XDR (zéro BYO EDR tiers). La recherche proactive de menaces est incluse (Defender Experts for Hunting built-in). Un SDX dédié est attribué à partir de 500 sièges ; en dessous, la relation passe via Commercial Executive Microsoft. Service en anglais uniquement (chat translation EN/ES/JA/PT, pas FR).

Trois SKUs distincts coexistent : Defender Experts for Hunting (threat hunting seul), Defender Experts for XDR (MDR + threat hunting inclus), Defender Experts Suite Plan 1 / Plan 2 (lancement 06/01/2026, ajoute Microsoft Incident Response = ex-DART). Cible : grandes entreprises déjà Microsoft 365 E5 / Defender XDR, segment entreprise global, minimum implicite environ 500 sièges pour SDX dédié et environ 1 500 pour la promo Suite. Reconnu dans le MITRE ATT&CK Managed Services Evaluation 2024.

Reste qu'il n'y a aucune référence client française publique, malgré la présence commerciale Microsoft France. À positionner aux côtés de CrowdStrike Falcon Complete, SentinelOne Vigilance et Sophos MDR, dans la catégorie éditeurs MDR US.

Qualifications ANSSI

Aucune qualification ANSSI confirmée à date. Voir analyse éditoriale pour le contexte (qualif en cours, périmètre restreint, ou positionnement non-OIV).

Couverture des surfaces

Statut documenté publiquement par surface. Les surfaces non renseignées ne sont pas couvertes par défaut (ou non documentées — voir notes éditoriales).

Postes de travail (EDR)Inclus
Identité (IAM, AD, Entra ID)Inclus
Cloud (CSPM, IaaS)Inclus
Réseau (NDR, sondes)Inclus
MessagerieInclus
SaaS / collaborationInclus
OT / ICS / IoTNon couvert

Réponse à incident

Réponse à incident
En option / retainer séparé
Recherche de menaces
Inclus
SLA MTTA
Non publié
SLA MTTR
Non publié

Actions de containment documentées

Isolement du posteArrêt de processusMise en quarantaine du fichierDésactivation du compte (IAM)Blocage réseau (pare-feu / IP)

Approche de recherche de menaces

Hypothesis-driven hunting cross-domain (endpoints, identité, email, cloud apps, cloud workloads) sur télémétrie Defender XDR + 100 trillions de signaux quotidiens Microsoft Threat Intelligence. Hunting humain 24/7 + AI hunter-trained.

Tarification

Modèle
Sur devis
Transparence
Sur demande commerciale
Minimum de postes
Aucun seuil publié

Équipe & opérations

Analystes
Salariés directs (pas de sous-traitance)
Responsable de compte
Dédié par client
Distribution
Non documenté
Maison-mère
Indépendant

Réputation & réserves éditoriales

Sentiment éditorial soc-manage.fr : Neutre (profil correct)

Ce sentiment résume l'arbitrage éditorial sur la base des facts publiés et des qualifications ANSSI. Voir l'analyse éditoriale complète et les sources tracées pour les détails.

Notes éditoriales détaillées (back-office)

Microsoft Defender Experts (XDR / Hunting) — éditeur MDR US (Nasdaq MSFT, Redmond WA, ~228k emp). TIER NON-SOUVERAIN acté : capital US, plateforme Defender XDR + Sentinel sur Azure global, exécution SOC mondiale, données opérationnelles Defender Experts (tickets, notes analystes) suivent le scope EUDB du client (correction 1ère passe : EU possible pour clients EUDB in-scope, US sinon). Le service est soumis à CLOUD Act + FISA Section 702. ⚠️ À NUANCER : (1) EU Data Boundary couvre Defender XDR / Sentinel core quand workspace en région EU (Paris, Marseille) — mais PAS Defender for Endpoint, for Identity, for Cloud Apps, for Office 365 (most data transferred and stored in US) ; (2) Bleu (JV Capgemini/Orange/Microsoft) a passé étape 1 SecNumCloud avril 2025, vise qualification H1 2026, mais ne couvre QUE Azure + M365 core, PAS le service Defender Experts (exécuté par Microsoft global). Sur le moat comportemental : remediation_active forte (5/5 actions de containment supportées), 24/7 humain confirmé, co-managé (client garde console Defender), plateforme imposée 100% Defender XDR (zéro BYO EDR tiers). Threat hunting inclus (Defender Experts for Hunting built-in). SDX dédié si ≥500 sièges, sous le seuil = relation via Commercial Executive Microsoft. English-only (correction 1ère passe : chat translation EN/ES/JA/PT, PAS FR). 3 SKUs distincts : (1) Defender Experts for Hunting (TH seul), (2) Defender Experts for XDR (MDR + TH inclus), (3) Defender Experts Suite Plan 1/Plan 2 (lancement 06/01/2026, ajoute Microsoft Incident Response = ex-DART). Cible : grandes entreprises déjà Microsoft 365 E5 / Defender XDR, segment enterprise global, minimum implicite ~500 sièges pour SDX dédié et ~1500 pour promo Suite. Reconnu MITRE ATT&CK Managed Services Evaluation 2024 (18 incidents, 196 alerts générés, méthodologie sans score chiffré). Aucune référence client FR publique malgré présence commerciale Microsoft France. Concurrents éditeurs MDR US comparables : CrowdStrike Falcon Complete, SentinelOne Vigilance, Sophos MDR.

Sources & vérification

34 sources tracées pour cette fiche. Chaque fait fournisseur est rattaché à une URL publique vérifiable (catalogue ANSSI, site éditeur, presse, comparateur tiers). Dernière vérification : 2026-06-29T08:05:45.697Z.

Identité (Passe 1) 6 source(s)
  • identity:website
    « Site officiel Microsoft Corporation. »
    www.microsoft.com
  • identity:hq_city
    « Siège mondial Redmond, Washington, USA. »
    en.wikipedia.org
  • identity:founded_year
    « Fondée 1975 par Bill Gates et Paul Allen. »
    en.wikipedia.org
  • identity:headcount
    « Form 10-K FY2025 (30/06/2025) : ~228 000 ETP groupe global. »
    www.sec.gov
  • identity:ownership
    « Cotée NASDAQ MSFT, Dow Jones et S&P 500. »
    en.wikipedia.org
  • identity:parent_company
    « Microsoft Corporation = entité mère cotée indépendante. »
    www.sec.gov
Champs comportementaux (Passe 2) 21 source(s)
  • moat:french_sovereign
    « Microsoft Corporation (Nasdaq MSFT, Redmond WA, ~228k emp). Tier non-souverain CLAUDE.md règle 3. Capital US, plateforme Defender XDR + Sentinel sur Azure global. Soumis CLOUD Act + FISA 702. Bleu (JV Capgemini/Orange/Microsoft) vise SecNumCloud H1 2026 mais couvre Azure/M365 cor »
    learn.microsoft.com
  • moat:soc_location
    « Service MDR delivery globale Microsoft. Doc explicite : « Defender Experts for XDR operational data, such as case tickets and analyst notes, is generated and stored in a Microsoft data center in the United States region for the duration of the service » (sauf si client in-scope E »
    learn.microsoft.com
  • moat:data_hosting
    « CORRECTION 1ère passe : data_hosting Defender Experts ops data **suit le scope EUDB du client**. Si tenant Defender XDR EUDB in-scope → tickets/notes stockés EU. Sinon US. MAIS Defender for Endpoint, for Identity, for Cloud Apps, for Office 365 **EXCLUS de l'EUDB** (most data tra »
    learn.microsoft.com
  • moat:francophone_soc
    « Service explicitement English-only. Doc Microsoft Learn : « This service is currently available only in English ». Chat in-portal translate AI supporte EN/ES/JA/PT — francais NON supporté. Pas d'analystes francophones documentés. »
    learn.microsoft.com
  • moat:platform_sovereignty
    « Pré-requis : au moins un produit Microsoft Defender en mode actif (MDE, MDO, MDI, MDCA, Entra ID). Pas de support EDR tiers. 100% Defender XDR. Plateforme US. »
    learn.microsoft.com
  • moat:response_authority
    « Avec rôle Security Operator accordé, analystes Microsoft prennent actions de remédiation directes : device isolation, process kill, file quarantine, registry deletion, account disable. « Take action on your behalf as needed ». Mode guided response possible si client retire droits »
    learn.microsoft.com
  • moat:first_response_model
    « Automated attack disruption (auto natif) + triage humain Defender Experts. Client peut configurer scope (scoped coverage, exclusions device/user groups). »
    learn.microsoft.com
  • moat:deployment_model
    « Pré-requis explicite Defender XDR. Pas BYO EDR tiers (CrowdStrike, SentinelOne, HarfangLab). 100% Microsoft. »
    learn.microsoft.com
  • moat:management_model
    « Co-managé : Microsoft Experts triage/investigate/respond mais client garde console Defender + configurations + SOC. Service AUGMENTE le SOC client, ne remplace pas. »
    learn.microsoft.com
  • moat:coverage_hours
    « 24/7/365 explicite. Confirmé sur les deux offres (XDR et Hunting). »
    www.microsoft.com
  • moat:incident_response
    « Microsoft Incident Response (ex-DART) = service distinct, packagé séparément ou inclus dans Defender Experts Suite Plan 1/2 (lancement 06/01/2026). Pour Defender Experts for XDR standalone, IR forensique non inclus. FAQ Microsoft : « Defender Experts currently don't provide incid »
    www.microsoft.com
  • moat:threat_hunting
    « Defender Experts for Hunting INCLUS dans Defender Experts for XDR (built in). Disponible aussi en standalone. 24/7 proactive hunting cross-domain (endpoint, email, identity, cloud apps). »
    learn.microsoft.com
  • moat:th_approach
    « Page officielle Defender Experts for Hunting. »
    learn.microsoft.com
  • moat:containment_actions
    « 5/5 actions liste explicite doc Microsoft : « isolate a device, stopping running processes, quarantining files, deleting persistent data such as registry keys, restricting execution, locking down the device, disabling an identity from accessing the network ». »
    learn.microsoft.com
  • moat:response_sla_disclosed
    « Aucun SLA MTTA/MTTR chiffré publié publiquement. Engagement « 24/7 » + SLA Defender Experts Service Terms contractuelles (NDA). Marketing Defender XDR cite MTTA 15min/MTTR <1h mais ne couvre PAS spécifiquement Defender Experts. »
    www.microsoft.com
  • moat:log_export
    « Defender XDR + Sentinel = SIEM natif Microsoft, accès complet logs via Advanced Hunting (KQL), tables Defender, export Sentinel Log Analytics. Pas de limitation côté Defender Experts (logs restent tenant client). »
    learn.microsoft.com
  • moat:analyst_model
    « Analystes Microsoft internes (équipe Defender Experts, 600+ années expérience cumulée). Pas de sous-traitance. »
    learn.microsoft.com
  • moat:account_manager
    « Service Delivery Expert (SDX) dédié inclus si licence ≥500 sièges/workloads. SDX = trusted advisor + single point of contact escalation + business reviews. Sous 500 sièges : pas de SDX dédié ; relation via Commercial Executive Microsoft standard. »
    learn.microsoft.com
  • moat:pricing_model
    « Pricing non public, contact sales Microsoft requis. Promo Defender Experts Suite 2026 : -66% conditionnée à 1500+ sièges + M365 E5/E7/Defender frontline, valable 01/01-31/12/2026. »
    www.microsoft.com
  • moat:price_transparency
    « Aucun tarif public sur microsoft.com pour Defender Experts (XDR ou Hunting). Page redirige « contact sales ». »
    www.microsoft.com
  • moat:editorial_notes
    « Raisonnement éditorial composé à partir des facts moat validés humainement. »
Narratif éditorial (Passe 3) 6 source(s)
  • narratif:short_desc
    « Composé à partir d'editorial_notes (source unique) + facts moat. Charte FR : phrases courtes, acronymes ANSSI explicités, anglicismes traduits. »
  • narratif:long_desc
    « Composé à partir d'editorial_notes (source unique) + facts moat. Charte FR : phrases courtes, acronymes ANSSI explicités, anglicismes traduits. »
  • narratif:ideal_for
    « Composé à partir d'editorial_notes (source unique) + facts moat. Charte FR : phrases courtes, acronymes ANSSI explicités, anglicismes traduits. »
  • narratif:not_ideal_for
    « Composé à partir d'editorial_notes (source unique) + facts moat. Charte FR : phrases courtes, acronymes ANSSI explicités, anglicismes traduits. »
  • narratif:long_desc
    « Réécriture narrative magazine cyber FR : phrases complètes avec verbes, connecteurs logiques, construction 4 paragraphes (présentation / offre / différenciateurs / réserves). Cohérence stricte avec editorial_notes. »
  • narratif:short_desc
    « Réécriture narrative 2 phrases (130-200 chars), positionnement + différenciateur ou réserve. Cohérence stricte avec long_desc. »
Autres sources 1 source(s)
  • sovereignty_rationale
    « Éditeur US (Nasdaq MSFT), siège Redmond WA. Plateforme Defender XDR + Sentinel sur Azure global. Cloud Act + FISA 702 applicables. EU Data Boundary partielle. Aucune qualif ANSSI, service exécuté en EN. »
    soc-manage.fr

Microsoft (Defender Experts) vous intéresse ? Recevez 3 propositions comparables

On vous met en relation avec Microsoft (Defender Experts) et 2 alternatives crédibles sur votre périmètre. Pas de pression vendeur, comparaison instantanée. Réponse sous 24h ouvrées, gratuit.

Recevoir 3 propositions adaptéesDemander directement à Microsoft (Defender Experts)
Microsoft (Defender Experts) retient votre attention ?Contacter Microsoft (Defender Experts)Recevoir 3 propositions →