soc-manage.frRecevoir 3 devis →
Non-souverainÉditeur MDRRéponse active24/7/365Fondée 1985

Sophos

Éditeur britannique sous PE Thoma Bravo, devenu pure-play MDR mondial après le rachat de Secureworks (février 2025). Trois modes de réponse et SLA 60 min sur le tier Complete : tier non souverain.

Visiter www.sophos.com← Retour au catalogue

Pour qui ?

À choisir si

  • SMB, mid-market et ETI qui cherchent un MDR clé en main avec 3 modes de réponse configurables (Authorize / Collaborate / Notify-Only).
  • Acheteurs qui veulent SLA 60 min / 90 % High Severity (Complete) + garantie 1 M$ + IR illimité avec Lead IR dédié.
  • Clients BYO endpoint (Microsoft Defender, CrowdStrike, SentinelOne en télémétrie inclus sans coût additionnel depuis nov 2025).

À éviter si

  • Clients industriels purs qui cherchent OT/ICS dédié — IT/OT convergence only, pas de monitoring OT dédié.
  • Acheteurs souverains français — capital US PE Thoma Bravo, siège UK, SOC mondial non francophone, aucune qualif ANSSI.
  • Acheteurs entreprise qui cherchent clarté produit après Secureworks — Sophos MDR vs Taegis MDR pas encore unified, risque d'intégration.

En bref

Type
Éditeur MDR
Souveraineté FR
Non
Plateforme
Non-souveraine (US/UK/RO)
SOC localisation
Hors UE (rotation mondiale)
Hébergement données
Union européenne
Couverture
24/7/365
Autorité de réponse
Réponse active (containment exécuté par l'analyste)
Première réponse
Configurable (auto + escalade)
Déploiement
Hybride (BYO + plateforme propriétaire)
Pilotage
Clé en main
Siège
Abingdon
Effectif
1000+
Tarification
Par endpoint
Transparence prix
Sur demande

Analyse éditoriale

Sophos est un éditeur MDR UK (Oxford, environ 5 000 employés dont 3 000+ cyber après le rachat de Secureworks en février 2025). Le tier non souverain est acté : capital US sous PE Thoma Bravo (LBO 2020), siège UK, SOC mondial en rotation sans présence France (UK, DE, US, IN, AU), Sophos Central hébergé sur AWS Frankfurt ou Dublin (exposition CLOUD Act), aucune qualification ANSSI/PASSI/PDIS.

L'acquisition Secureworks (859 M$ all-cash, closing février 2025) fait de Sophos le leader pure-play MDR mondial : 28 000+ clients MDR, 39 000+ XDR/MDR cumulés. Premier composant Secureworks intégré après le deal : ITDR (septembre 2025). Sophos Endpoint a été nativement intégré à la plateforme Taegis. Sur le terrain, le positionnement est celui d'un MDR mature, avec trois modes de réponse configurables (Authorize / Collaborate / Notify-Only) sur les deux tiers, 24h/24 standard, un engagement 60 min / 90 % High Severity sur le tier Complete uniquement (mois 4+), et une couverture 100 % MITRE ATT&CK 2025. Autorité de réponse active. La cible va de la SMB à l'ETI en mode clé en main, avec un BYO endpoint réel (Microsoft Defender, CrowdStrike, SentinelOne en télémétrie, intégrations tierces incluses sans coût additionnel depuis novembre 2025), mais Sophos Central reste la plateforme obligatoire pour le management.

Les deux tiers MDR sont à distinguer. MDR Complete est la fiche par défaut : IR illimité, Lead IR dédié, garantie 1 M$, rétention 90 jours de base. MDR Essentials est le palier d'entrée : confinement actif + guidance, gestionnaire de compte partagé, rétention 90 jours. La rétention 90 jours s'applique aux deux tiers, l'extension à 1 an étant un add-on payant.

Reste deux points éditoriaux à porter dans la fiche. D'abord le risque d'intégration post-Secureworks : Sophos Central et Taegis ne sont pas encore pleinement unifiés, et le choix produit Sophos MDR versus Taegis MDR n'est pas encore clair. Ensuite, l'OT/ICS est limité (IT/OT convergence only, pas de monitoring dédié OT), ce qui disqualifie le dossier pour les clients industriels purs. Le canal français est en revanche dense : siège français Paris 17e, partenaires Dynamips, Konica Minolta, AdInfo, Hermitage Solutions. Mais le SOC reste non francophone 24h/24.

Qualifications ANSSI

Aucune qualification ANSSI confirmée à date. Voir analyse éditoriale pour le contexte (qualif en cours, périmètre restreint, ou positionnement non-OIV).

Couverture des surfaces

Statut documenté publiquement par surface. Les surfaces non renseignées ne sont pas couvertes par défaut (ou non documentées — voir notes éditoriales).

Postes de travail (EDR)Inclus
Identité (IAM, AD, Entra ID)Inclus
Cloud (CSPM, IaaS)Inclus
Réseau (NDR, sondes)Inclus
MessagerieInclus
SaaS / collaborationInclus
OT / ICS / IoTLimité

Réponse à incident

Réponse à incident
Inclus dans l'offre de base
Recherche de menaces
Inclus
SLA MTTA
60min/90% High Severity (MDR Complete tier seul)
SLA MTTR
Non publié

Actions de containment documentées

Isolement du posteArrêt de processusBlocage réseau (pare-feu / IP)Désactivation du compte (IAM)Mise en quarantaine du fichier

Approche de recherche de menaces

TH proactif inclus dès Essentials, X-Ops threat intelligence + Counter Threat Unit (CTU) Secureworks intégré post-acquisition fév 2025 + Sophos AI agents. 100% MITRE ATT&CK detection 2025. Pas de cadence fixe documentée (continu).

Tarification

Modèle
Par endpoint
Transparence
Sur demande commerciale
Minimum de postes
Aucun seuil publié

Équipe & opérations

Analystes
Salariés directs (pas de sous-traitance)
Responsable de compte
Dédié par client
Distribution
Non documenté
Maison-mère
Thoma Bravo

Réputation & réserves éditoriales

Sentiment éditorial soc-manage.fr : Neutre (profil correct)

Ce sentiment résume l'arbitrage éditorial sur la base des facts publiés et des qualifications ANSSI. Voir l'analyse éditoriale complète et les sources tracées pour les détails.

Notes éditoriales détaillées (back-office)

Sophos — éditeur MDR UK (Oxford, ~5000 emp dont 3000+ cyber post-Secureworks fév 2025). Tier non-souverain acté : capital US PE Thoma Bravo (LBO 2020), HQ UK, SOC global rotation mondiale sans présence FR (UK/DE/US/IN/AU), Sophos Central hébergé AWS Frankfurt ou Dublin (exposition CLOUD Act), aucune qualif ANSSI/PASSI/PDIS. Acquisition Secureworks (859M$ all-cash, closing fév 2025) = devient leader pure-play MDR mondial (28k+ clients MDR, 39k+ XDR/MDR cumulés). Premier composant Secureworks intégré post-deal : ITDR (sept 2025) ; Sophos Endpoint nativement intégré à la plateforme Taegis. Position : MDR mature, 3 modes de réponse configurables (Authorize/Collaborate/Notify-Only) sur les 2 tiers (correction 1ère passe), 24/7 standard, SLA 60min/90% High Severity (Complete uniquement, mois 4+), 100% MITRE ATT&CK 2025. Cible : SMB → midmarket → ETI en mode clé-en-main (clients sans SOC interne), avec BYO endpoint réel (Microsoft Defender, CrowdStrike, SentinelOne en telemetry — intégrations 3rd party incluses sans coût additionnel depuis nov 2025) mais Sophos Central plateforme obligatoire pour management. Tier MDR Complete = fiche par défaut (IR illimité, Lead IR dédié, warranty $1M, retention 90j base) ; tier Essentials = palier d\'entrée (active containment + guidance, AM partagé, retention 90j). Retention 90j sur les DEUX tiers (correction 1ère passe : pas 30j Essentials), extension 1 an = add-on payant. Risque INTÉGRATION post-Secureworks : Sophos Central et Taegis pas encore fully unified, choix produit Sophos MDR vs Taegis MDR pas clair pour acheteurs enterprise — signal éditorial à mentionner. OT/ICS = limite (IT/OT convergence only, pas monitoring dédié OT) — disqualifie pour clients industriels purs. Channel FR dense : siège FR Paris 17e, partenaires Dynamips (Partner of the Year 2026), Konica Minolta (MDR Partner of the Year), AdInfo, Hermitage Solutions — mais SOC non francophone 24/7. À positionner face à CrowdStrike Falcon Complete, Arctic Wolf, SentinelOne Vigilance — segment « MDR mature non-souverain pour SMB/ETI ».

Sources & vérification

36 sources tracées pour cette fiche. Chaque fait fournisseur est rattaché à une URL publique vérifiable (catalogue ANSSI, site éditeur, presse, comparateur tiers). Dernière vérification : 2026-06-29T08:05:45.697Z.

Identité (Passe 1) 6 source(s)
  • identity:website
    « Site officiel. »
    www.sophos.com
  • identity:hq_city
    « Siège mondial Abingdon, Oxfordshire, Angleterre. »
    en.wikipedia.org
  • identity:founded_year
    « Fondée 1985 par Jan Hruska et Peter Lammer. »
    en.wikipedia.org
  • identity:headcount
    « ~5 000-7 000 employés groupe global (sources tierces divergent ; chiffre officiel post-acquisition Secureworks févr. 2025 non publié). »
    www.reveliolabs.com
  • identity:ownership
    « Acquise par Thoma Bravo octobre 2019, clôturée début 2020 ; sortie LSE, retour en privé sous PE majoritaire. »
    www.infosecurity-magazine.com
  • identity:parent_company
    « Sophos au portefeuille Thoma Bravo depuis 2020. »
    www.thomabravo.com
Champs comportementaux (Passe 2) 23 source(s)
  • moat:french_sovereign
    « Éditeur UK (Oxford) sous contrôle capitalistique US (Thoma Bravo PE, LBO 2020). Sophos Central hébergé AWS Frankfurt/Dublin/US. Aucune qualif ANSSI. Tier non-souverain CLAUDE.md règle 3 (filiales UK/US MDR : tier séparé). CLOUD Act applicable via Thoma Bravo + parent UK post-Brex »
    www.sophos.com
  • moat:soc_location
    « Sophos opère MDR depuis SOC globaux (UK, US, Australie, Inde). Support FR heures ouvrées disponible mais SOC MDR opère en anglais (mondial en rotation). »
    mdrproviders.io
  • moat:data_hosting
    « Sophos Central régions disponibles : Allemagne (eu-central-1 AWS Frankfurt), Irlande (eu-west-1), US East/West, UAE. Client FR peut choisir Frankfurt ou Dublin. AWS = hyperscaler US (CLOUD Act exposure). »
    support.sophos.com
  • moat:francophone_soc
    « Support FR heures ouvrées disponible, **SOC MDR non francophone 24/7**. Majorité staffing MDR opère en anglais. Pas de SOC FR confirmé. »
    docs.sophos.com
  • moat:platform_sovereignty
    « Plateforme Sophos Central propriétaire UK/global hébergée AWS. Pas d'intégration plateforme souveraine FR/EU. Intégrations 350+ : Microsoft Defender, CrowdStrike, SentinelOne, Palo Alto, Fortinet, Check Point — toutes non-souveraines. »
    www.sophos.com
  • moat:response_authority
    « Service Description : 3 modes Authorize/Collaborate/Notify-Only configurables sur **les DEUX tiers** (correction 1ère passe). Mode Authorize par défaut = équipe Sophos agit sans consentement préalable. Mode Notify-Only optionnel. »
    www.sophos.com
  • moat:first_response_model
    « 3 modes configurables explicites (Authorize/Collaborate/Notify-Only) sur les 2 tiers. Fallback automatique Collaborate→Authorize si pas réponse client dans délai. »
    www.sophos.com
  • moat:deployment_model
    « 350+ intégrations 3rd party (Microsoft Defender, CrowdStrike, SentinelOne, Palo Alto, Fortinet, M365, AWS, GCP, Okta, Darktrace) MAIS Sophos Central plateforme obligatoire pour management. MDR Essentials limité à Sophos endpoints, BYO via Integration Packs au-delà. Depuis nov 202 »
    mdrproviders.io
  • moat:management_model
    « « Fully managed » 24/7. Cible « organizations that lack a dedicated security operations team ». Mode Authorize par défaut. Co-management possible via mode Collaborate. »
    www.sophos.com
  • moat:coverage_hours
    « 24/7/365. SLA 60min/90% High Severity (MDR Complete uniquement, à partir mois 4). »
    www.sophos.com
  • moat:incident_response
    « MDR Complete : Remote Incident Response inclus, no limits/extra fees. Sophos X-Ops IR team intégrée. MDR Essentials = pas IR retainer (option). »
    www.sophos.com
  • moat:threat_hunting
    « Threat Hunting proactif inclus dès Essentials. Powered by X-Ops threat intelligence + Sophos AI agents. »
    www.sophos.com
  • moat:th_approach
    « Évolution portfolio post-Secureworks oct 2025. »
    www.sophos.com
  • moat:containment_actions
    « 5/5 actions confirmées : insertion IP/URL/domaine malicious dans Sophos Firewall (network_containment), isolation endpoint via Intercept X, kill process via Active Threat Response, file quarantine standard EDR, account_disable via ITDR (acquis Secureworks fév 2025). »
    www.sophos.com
  • moat:response_sla_disclosed
    « SLA 60min/90% High Severity (MDR Complete uniquement, à partir mois 4). Service Level Targets : case creation 2min from detection, initial response 30min from case creation. »
    www.sophos.com
  • moat:mtta_sla
    « Verbatim Service Description. Tier Complete uniquement, mois 4+. »
    www.sophos.com
  • moat:log_export
    « mdrproviders.io : « Dashboard-only access to telemetry; no raw query capability ». Export via API XDR + Sophos Data Lake possible mais cadence/formats restreints. Retention 90j standard sur les 2 tiers (correction 1ère passe : pas 30j Essentials). Add-on 1 an payant. »
    mdrproviders.io
  • moat:data_retention_months
    « 90 jours standard sur les DEUX tiers (Essentials ET Complete) — correction 1ère passe. Extension 1 an = add-on payant (Central Data Storage 1 yr Pack). »
    docs.sophos.com
  • moat:analyst_model
    « Sophos opère SOC en propre (UK, DE, US, IN, AU). Post-Secureworks fév 2025 : 3000+ employés cyber, équipe X-Ops intégrée. »
    www.sophos.com
  • moat:account_manager
    « MDR Complete : « dedicated incident response lead, direct call-in access ». Essentials = pool partagé (correction 1ère passe distinguant les 2 tiers). »
    www.sophos.com
  • moat:pricing_model
    « « simple per-user and per-server pricing ». Indicatif FR : 10-25€/poste/mois tout inclus EDR+SOC. Distinction user/server. »
    mdrcost.com
  • moat:price_transparency
    « « Request a Quote ». Aucun tarif public officiel. »
    www.sophos.com
  • moat:editorial_notes
    « Raisonnement éditorial composé à partir des facts moat validés humainement. »
Narratif éditorial (Passe 3) 6 source(s)
  • narratif:short_desc
    « Composé à partir d'editorial_notes (source unique) + facts moat. Charte FR : phrases courtes, acronymes ANSSI explicités, anglicismes traduits. »
  • narratif:long_desc
    « Composé à partir d'editorial_notes (source unique) + facts moat. Charte FR : phrases courtes, acronymes ANSSI explicités, anglicismes traduits. »
  • narratif:ideal_for
    « Composé à partir d'editorial_notes (source unique) + facts moat. Charte FR : phrases courtes, acronymes ANSSI explicités, anglicismes traduits. »
  • narratif:not_ideal_for
    « Composé à partir d'editorial_notes (source unique) + facts moat. Charte FR : phrases courtes, acronymes ANSSI explicités, anglicismes traduits. »
  • narratif:long_desc
    « Réécriture narrative magazine cyber FR : phrases complètes avec verbes, connecteurs logiques, construction 4 paragraphes (présentation / offre / différenciateurs / réserves). Cohérence stricte avec editorial_notes. »
  • narratif:short_desc
    « Réécriture narrative 2 phrases (130-200 chars), positionnement + différenciateur ou réserve. Cohérence stricte avec long_desc. »
Autres sources 1 source(s)
  • sovereignty_rationale
    « Éditeur cyber UK (Oxford), capital US via PE Thoma Bravo (LBO 2020). Sophos Central hébergé AWS Frankfurt/Dublin (exposition Cloud Act). SOC global rotation mondiale sans présence FR. Aucune qualif ANSSI. »
    soc-manage.fr

Sophos vous intéresse ? Recevez 3 propositions comparables

On vous met en relation avec Sophos et 2 alternatives crédibles sur votre périmètre. Pas de pression vendeur, comparaison instantanée. Réponse sous 24h ouvrées, gratuit.

Recevoir 3 propositions adaptéesDemander directement à Sophos
Sophos retient votre attention ?Contacter SophosRecevoir 3 propositions →