MDR ou SOC interne : faire ou faire-faire en 2026

L'arbitrage make versus buy en cybersécurité opérationnelle revient à un seul choix structurant : faut-il construire et opérer son propre Security Operations Center (SOC), ou souscrire à un service Managed Detection and Response (MDR) délivré par un prestataire spécialisé ? Posée en ces termes, la question paraît binaire. En réalité, elle ne l'est pas — le modèle hybride existe et tient debout, à condition d'être conçu comme un projet, pas comme une dérive d'organigramme. Reste que pour la majorité des organisations françaises, la réponse penche vers le MDR, et ce n'est pas seulement une affaire de coût. Le marché du travail cyber en France est structurellement tendu : l'ANSSI et les syndicats professionnels rapportent un taux de postes vacants proche de 50 % sur les profils d'analystes SOC L2 et L3. Recruter et fidéliser une équipe 24/7 relève, hors grands groupes attractifs, de l'exception. Ce guide pose les chiffres réels d'un SOC interne, croise les deux modèles ligne à ligne, et trace les profils qui justifient ou non l'internalisation. Pour le contexte plus large d'achat MDR, voir /guide-achat-mdr. Pour comparer MDR et MSSP, voir /mdr-vs-mssp.

Un SOC interne réellement opérationnel en 24/7 — pas un SOC qui ferme à 18 heures avec une astreinte téléphonique — coûte rarement moins de 1,2 million d'euros par an en France, plateforme et CERT externe exclus. Le détail ci-dessous reconstruit la base sur un périmètre type ETI de 500 à 1 000 postes. La fourchette tient compte du marché de recrutement parisien (haut de la fourchette) et régional (bas de la fourchette), ainsi que des variations entre une équipe sénior et une équipe plus junior. Pour les organisations qui sortent du cadre — multinationales avec contraintes géographiques multiples, OIV avec exigences LPM strictes — les chiffres montent rapidement à 3 à 5 millions d'euros par an. Cette base de coûts ne dit rien de la qualité opérationnelle effective, qui dépend largement du niveau d'expérience des analystes, de la qualité des runbooks et de la maturité de la détection — autant de facteurs difficiles à industrialiser en quelques mois.

L'internalisation totale d'un SOC est justifiée dans un nombre restreint de cas, mais ces cas existent et ne se prêtent à aucun compromis. Premier cas : les organismes soumis à des exigences de secret défense ou de souveraineté maximale, où la simple présence d'analystes externes — même qualifiés PDIS et physiquement en France — pose un problème de classification ou d'autorisation. Ministères, certains opérateurs critiques de la défense, certains centres de recherche stratégique : pour eux, l'externalisation n'est pas une option opérationnelle, indépendamment du coût. Deuxième cas : les grandes organisations avec une stratégie cyber offensive interne — red team, threat intelligence propriétaire, recherche sur la menace ciblée — qui veulent capitaliser une compétence cumulative qu'aucun MDR externe ne pourra livrer. CAC 40, banques de premier plan, opérateurs télécoms : ils internalisent le SOC parce qu'il fait partie d'un dispositif plus large, défensif et offensif, dont la valeur dépasse la simple détection-réponse. Troisième cas : les organisations qui ont déjà recruté et formé une équipe substantielle (10+ analystes), qui ont passé le cap des 18 mois de build-up et qui ont stabilisé leur turn-over. Pour elles, la question ne se pose plus de la même manière : le SOC est en place, l'arbitrage devient « comment l'optimiser », pas « faut-il l'externaliser ». Hors ces trois cas, le SOC interne pur est rarement le bon choix en France en 2026, sauf à accepter de payer 2 à 5 fois plus cher pour une couverture comparable.

Le MDR s'impose pour la majorité des organisations françaises, et c'est le scénario par défaut. Plusieurs facteurs convergents l'expliquent. Le premier est la disponibilité d'analystes : un MDR français mature dispose d'une équipe de 30 à 100 analystes mutualisés sur l'ensemble de ses clients, ce que ne reproduira aucune organisation seule sauf à investir massivement. Le deuxième est la couverture menace mutualisée : un MDR voit en parallèle 50, 100, parfois 500 clients ; un signal faible détecté sur un client peut être appliqué immédiatement à tous les autres. Cette boucle d'apprentissage est structurellement impossible en interne. Le troisième est l'agilité d'extension de périmètre : un avenant suffit pour intégrer une nouvelle surface (cloud public, OT industriel, e-mail) là où un SOC interne devrait recruter, former, intégrer. Le quatrième est l'accès aux qualifications ANSSI déjà obtenues : monter une PDIS en interne représente plusieurs années d'effort ; chez un prestataire qualifié, elle est disponible dès la signature. Concrètement, les profils typiques sont les PME et ETI soumises à NIS2 ou DORA, les opérateurs santé sous HDS, les filiales françaises de groupes internationaux qui cherchent une couverture FR sans dépendre du dispositif groupe, et les organisations en croissance rapide qui ne veulent pas voir le sujet sécurité ralentir la mise sur le marché. Pour cadrer le budget, voir /cout-mdr. Pour explorer les acteurs : /fournisseurs.

Le modèle hybride mérite d'être traité à part car il est souvent évoqué et rarement bien conçu. Deux variantes tiennent debout. Première variante : SOC interne en business hours + MDR en couverture 24/7. L'équipe interne traite la détection et la réponse en journée, en lien direct avec les métiers, et bascule au MDR la nuit, le week-end et les jours fériés. Le découpage doit être clair contractuellement, avec une bascule documentée et un partage du tooling. Cette variante convient aux organisations qui veulent garder une capacité interne pour les sujets sensibles tout en sécurisant la couverture 24/7 sans recruter cinq analystes. Deuxième variante : SOC interne piloté + MDR sur surfaces spécifiques (cloud, OT, identité). L'équipe interne pilote l'ensemble et opère sur les surfaces historiques ; le MDR délivre l'expertise sur les surfaces où l'interne n'a pas la compétence. Cette variante convient aux organisations qui ont déjà un SOC mature mais qui doivent élargir leur périmètre vite. Dans les deux cas, la clé est la définition contractuelle de qui fait quoi, quand, et avec quelles responsabilités. Un hybride flou est pire qu'un SOC interne pur ou qu'un MDR pur — il dilue les responsabilités et complexifie la gestion de crise.

L'arbitrage make versus buy en SOC se joue rarement sur le coût seul, malgré l'écart de facteur 2 à 5 en faveur du MDR sur la plupart des profils. Il se joue sur la maturité organisationnelle, l'accès au marché de l'emploi cyber et la nature du risque à couvrir. Pour la majorité des ETI et PME françaises, le MDR souverain est le bon choix par défaut. Pour les organisations sous contraintes de souveraineté maximales ou disposant déjà d'une équipe interne stabilisée, l'internalisation reste défendable. Le modèle hybride existe et tient debout s'il est conçu comme un projet avec un découpage clair des responsabilités. La décision se prend, idéalement, après un audit objectif des capacités internes — pas uniquement à partir d'une grille de coût. Pour structurer la démarche d'achat MDR : /guide-achat-mdr. Pour comparer les acteurs : /fournisseurs.