COMPARAISON
MDR vs MSSP : quelle difference concrété et lequel choisir
MDR et MSSP — Managed Detection and Response d'un côté, Managed Security Service Provider de l'autre — sont les deux grandes familles d'externalisation de la sécurité opérationnelle. La confusion entre les deux n'est pas innocente : elle arrange les fournisseurs, qui peuvent recycler une offre MSSP historique en discours MDR, et elle complique le travail des acheteurs qui comparent ce qui n'est pas comparable. Concrètement, ce ne sont pas deux variantes d'un même service. Ce sont deux modèles distincts par leur objet — gérer des équipements de sécurité versus gérer un risque de détection-réponse —, par leurs outils, par leur autorité d'action et par les profils auxquels ils s'adressent. La distinction reste vivante en 2026 même si la convergence est réelle : la plupart des MSSP français historiques ont monté une offre MDR, et certains MDR pure-players élargissent leur scope vers des prestations type MSSP. Ce guide pose les définitions, dresse une comparaison ligne à ligne et précise dans quels cas chacun reste pertinent. Pour le cadre méthodologique d'achat, voir /guide-achat-mdr. Pour comparer avec la posture d'un SOC opéré en interne, voir /mdr-vs-soc-interne.
01 — DÉFINITIONS
MDR vs MSSP
MDR
Managed Detection and Response. Service managé centré sur le risque de détection et de réponse, opéré 24/7 par des analystes humains. Le MDR repose typiquement sur une plateforme EDR (Endpoint Detection and Response) ou XDR (Extended Detection and Response) moderne, couvre plusieurs surfaces critiques (endpoint, identité, cloud, parfois réseau et e-mail) et engage un niveau de service mesuré en MTTA et MTTR. Le MDR fait trois choses : il détecte, il valide, il agit — l'action allant de l'alerte enrichie au confinement actif sur l'environnement du client, selon le niveau d'autorité de réponse contracté. Le MDR est une réponse au risque, pas une externalisation d'exploitation.
MSSP
Managed Security Service Provider. Prestataire de services de sécurité managés au sens large, historiquement centré sur l'exploitation et la supervision d'équipements de sécurité : pare-feu, IDS/IPS, proxies, passerelles VPN, SIEM (Security Information and Event Management), gestion d'identité, parfois antivirus de parc. Le MSSP gère des outils existants. Il livre de la disponibilité opérationnelle, de la gestion des règles, de la collecte de logs, parfois de la corrélation. La détection comportementale avancée et la réponse active ne sont pas, historiquement, son cœur de métier — même si la frontière s'est érodée.
02 — COMPARATIF
Tableau de comparaison
| Dimension | MDR | MSSP |
|---|---|---|
| Périmètre principal | Détection comportementale et réponse active sur surfaces critiques (endpoint, identité, cloud, réseau) | Exploitation et supervision d'équipements de sécurité existants (pare-feu, IDS, SIEM, proxies) |
| Outil pivot | Plateforme EDR/XDR moderne, parfois SIEM + SOAR de nouvelle génération | Logs des équipements existants, SIEM historique, console de management d'équipements |
| Autorité de réponse | Active ou guidée — confinement endpoint, désactivation compte AD, blocage domaine | Souvent alerte seule avec escalade au client ; la réponse reste du ressort du client |
| Threat hunting | Inclus ou en option chez les pure-players, basé sur hypothèses MITRE ATT&CK | Rare, hors scope traditionnel ; ajouté à la marge dans les offres MSSP modernisées |
| Niveau d'engagement | MTTA / MTTR chiffrés, par criticité, avec pénalités | SLA d'exploitation (disponibilité, délai de prise en compte des tickets) sans engagement détection |
| Maturité marché FR | Marché en forte croissance — Markess estime +20 à +25 % par an sur 2024-2026 | Marché historique établi, en mutation accélérée vers l'offre MDR |
| Modèle de tarification | Par poste / mois ou forfait par périmètre | Par équipement géré, par volume de logs, ou forfait global |
| Cible type | ETI et grands comptes avec EDR moderne déployé, organisations soumises à NIS2/DORA | Organisations avec parc d'équipements de sécurité étendu, contexte multi-sites, besoin d'exploitation 24/7 |
03 — ARBITRAGE
Quand choisir un MDR
Le MDR s'impose quand le risque de détection-réponse est le sujet réel, pas la disponibilité opérationnelle d'un équipement. Trois profils relèvent typiquement du MDR. Premier profil : une organisation qui a déployé un EDR ou un XDR moderne et qui n'a pas les analystes pour l'exploiter en 24/7 — donc qui veut un service pour activer la valeur de cet outil. Deuxième profil : une organisation soumise à NIS2 ou DORA, qui doit démontrer une capacité de détection et de réponse documentée, avec MTTA et MTTR contractuels — ce que seul un MDR moderne livre. Troisième profil : une organisation qui anticipe ou subit une menace ciblée — secteur exposé (industrie de défense, santé, finance, recherche) — et qui veut une équipe d'analystes capable de comprendre une chaîne d'attaque, pas seulement de filtrer des alertes. Pour ces trois profils, la question n'est pas « quel équipement gérer », mais « quel risque couvrir ». Le MDR souverain français — Advens, Intrinsec, Almond, I-Tracing, Sekoia.io pour son offre managée, parmi d'autres — répond à ces enjeux avec des qualifications ANSSI (PDIS, PRIS) qui ancrent la prestation dans un cadre normé. Voir /fournisseurs et /conformite/nis2.
04 — ARBITRAGE
Quand choisir un MSSP
Le MSSP reste pertinent dans des configurations précises, plus opérationnelles que défensives au sens MITRE. Trois cas typiques. D'abord, une organisation qui dispose d'un parc d'équipements de sécurité large et hétérogène — plusieurs marques de pare-feu, IDS sur sites multiples, SIEM historique en place — et qui veut externaliser leur exploitation pour libérer son équipe interne. Le MSSP livre alors de la productivité opérationnelle, sans nécessairement viser la détection comportementale avancée. Ensuite, une organisation multi-sites avec une exigence forte de disponibilité réseau et de gestion centralisée des règles de filtrage — typique des retailers, de l'hôtellerie, de l'industrie multi-usines. Le MSSP est le bon outil pour cela. Enfin, une organisation qui a une stratégie d'externalisation graduelle : commencer par confier l'exploitation des équipements à un MSSP, monter en maturité, puis basculer ou compléter par une offre MDR sur les surfaces critiques. Cette stratégie est cohérente, à condition de ne pas confondre les deux services dans le même contrat. Reste que pour les organisations dont le sujet principal est la détection d'attaques sophistiquées, le MSSP seul ne suffit pas — il faut le compléter ou le remplacer par un MDR.
05 — TENDANCE
Évolution du marché en France
Le marché français est en pleine convergence MSSP vers MDR depuis 2022-2023, sous l'effet conjugué de NIS2, de la pression menace et de la disponibilité d'EDR matures. Concrètement, Orange Cyberdefense — historiquement un grand acteur MSSP français issu d'Atheos — a élargi son catalogue avec une offre MDR structurée, avec capacité PDIS et PRIS qualifiées. Intrinsec, autre acteur historique aux racines MSSP, a investi massivement sur sa plateforme XDR maison et propose désormais un MDR au sens strict. Capgemini et Sopra Steria ont monté des offres MDR sur leur base d'exploitation MSSP. À l'inverse, des pure-players nés MDR comme Sekoia.io ou Glimps ont gardé un périmètre étroit centré sur la détection-réponse. La distinction conceptuelle reste valable, mais en pratique l'acheteur doit lire attentivement chaque offre pour savoir laquelle des deux familles elle relève vraiment — souvent, l'étiquette commerciale dit moins que le contrat. C'est précisément pour cela que la lecture du contrat est plus déterminante que celle de la plaquette. Voir /guide-achat-mdr pour la méthode.
À RETENIR
Conclusion
MDR et MSSP ne sont pas substituables. Ils répondent à deux questions différentes : le MDR à « comment je détecte et réponds à une attaque ciblée », le MSSP à « comment je fais vivre mes équipements de sécurité sans embaucher ». Beaucoup d'organisations ont besoin des deux, parfois chez le même prestataire, parfois chez deux. La règle d'or : ne signez pas un MSSP en pensant acheter un MDR, et inversement. Pour explorer les acteurs : /fournisseurs.