soc-manage.frRecevoir 3 devis →

DÉFINITION

Qu'est-ce qu'un MDR : définition, composantes et cas d'usage

Le terme MDR — Managed Detection and Response, soit en français « détection et réponse managées » — désigne une famille de services de cybersécurité qui combine surveillance continue, détection d'incidents, validation par des analystes humains et capacité de réponse opérationnelle. Le terme apparaît dans le vocabulaire des analystes vers 2016, popularisé par Gartner pour distinguer un service intégré de bout en bout des prestations historiques d'exploitation d'équipements de sécurité (qui relèvent du MSSP, Managed Security Service Provider). Depuis, le marché s'est structuré, en particulier en France où une vingtaine d'acteurs pure-players coexistent avec autant d'intégrateurs ayant ajouté une offre MDR à leur catalogue. Cette page pose la définition de référence, décrit les trois composantes — Managed, Detection, Response — résume l'architecture type et précise ce qui distingue un MDR d'autres offres voisines (EDR seul, MSSP, SOC interne, XDR comme produit). Elle se veut accessible : pour la méthodologie d'achat, voir /guide-achat-mdr. Pour comparer aux modèles voisins, voir /mdr-vs-mssp et /mdr-vs-soc-interne.

01 — DÉFINITION

Définition de référence

Selon Gartner

Pour Gartner, le MDR est un service qui combine surveillance 24/7, détection, validation et réponse — incluant des analystes humains capables d'investigation et de remédiation active sur l'environnement du client. La définition insiste sur trois éléments cumulatifs : la continuité du service (24 heures sur 24, 7 jours sur 7), la présence d'analystes humains au-delà de la simple automatisation, et la capacité de réponse — pas seulement d'alerte.

Lecture FR (soc-manage.fr)

Sur le marché français, on attend en plus de la définition Gartner une qualification ANSSI lorsque la conformité l'exige (PDIS — Prestataires de détection d'incidents de sécurité — pour la détection ; PRIS — Prestataires de réponse aux incidents de sécurité — pour la réponse), une localisation FR ou UE du SOC pour rester compatible avec NIS2, DORA et HDS, et une transparence opérationnelle suffisante pour démontrer la conformité réglementaire. Concrètement, un MDR au sens FR du terme combine la définition Gartner avec un cadre normatif national qui n'existe pas avec la même rigueur dans d'autres marchés.

02 — COMPOSANTES

M · D · R, les trois lettres

M — Managed

Le M de Managed signifie que le service est entièrement opéré par un prestataire externe, dans un modèle d'abonnement récurrent — typiquement mensuel ou annuel, parfois trisannuel. L'équipe d'analystes ne fait pas partie de l'organisation cliente ; elle est mutualisée chez le fournisseur, qui répartit ses ressources sur l'ensemble de ses clients. Cette mutualisation est une force opérationnelle : un MDR de 50 analystes voit en temps réel les attaques sur 100 clients et peut généraliser un signal faible en quelques heures. C'est aussi une contrainte : le client n'a pas la main directe sur les priorités, les profils des analystes, ni les rotations. Le modèle d'abonnement implique une discipline contractuelle stricte sur le périmètre, les SLA et la réversibilité.

D — Detection

Le D de Detection désigne la capacité à identifier un comportement suspect avant qu'il ne devienne un incident majeur. La détection s'appuie sur une plateforme technique — EDR (Endpoint Detection and Response), XDR (Extended Detection and Response), SIEM (Security Information and Event Management), parfois NDR (Network Detection and Response) — et sur trois pratiques complémentaires : les règles de détection signature-based pour les menaces connues, la détection comportementale pour les anomalies, et le threat hunting proactif basé sur des hypothèses (typiquement adossé au framework MITRE ATT&CK). La qualité de la détection se mesure à la précision (faibles faux positifs) et au recall (peu de faux négatifs) — un MDR mature documente ces deux indicateurs.

R — Response

Le R de Response distingue le MDR d'un service de simple alerte. La réponse peut être active — le prestataire isole un endpoint, désactive un compte, bloque un domaine sur l'environnement du client —, guidée — il propose les actions, le client exécute — ou en escalade simple — il alerte, le client gère. Pour les incidents majeurs, le relais est passé à un CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team), souvent fourni par le même prestataire ou par un partenaire. La capacité de réponse est ce qui rend le MDR opérationnellement différent d'un MSSP traditionnel — qui s'arrête souvent à l'alerte.

03 — ARCHITECTURE

L'architecture type

L'architecture type d'un MDR suit une chaîne en cinq maillons. Premier maillon : la collecte. Des agents EDR sur les postes et serveurs, des connecteurs cloud sur les environnements Azure / AWS / GCP, des connecteurs identité sur Active Directory ou Entra ID, parfois des sondes réseau sur les segments critiques. Deuxième maillon : la plateforme de corrélation. EDR avec capacité XDR native, ou plateforme XDR dédiée, ou SIEM moderne — selon les choix du fournisseur. La plateforme normalise, déduplique, corrèle. Troisième maillon : la détection. Règles natives, règles sur mesure développées par le MDR, modèles comportementaux, threat intelligence — interne et externe — appliquée en temps réel. Quatrième maillon : l'investigation humaine. L'analyste L1 trie, l'analyste L2 enquête, l'analyste L3 ou le hunter creuse les cas complexes. Cinquième maillon : la réponse. Action automatique préapprouvée, action humaine guidée ou ticket d'escalade au client selon la criticité et le périmètre contractuel. Cette chaîne est complétée par un portail client — visibilité, reporting, journal des actions — et par un point de contact technique côté MDR.

04 — DISTINCTIONS

MDR vs autres concepts

EDR seul
Outil, pas un service. Un EDR détecte et permet une réponse technique, mais sans analyste 24/7 pour qualifier les alertes, l'outil reste inexploité — ou exploité uniquement en réaction. Le MDR ajoute la couche humaine et opérationnelle qui transforme l'EDR en couverture réelle.
MSSP
Le MSSP gère des équipements de sécurité existants (pare-feu, IDS, SIEM, proxies). Le MDR gère un risque de détection-réponse, généralement sur une plateforme EDR ou XDR moderne, avec autorité d'action. Voir le détail dans /mdr-vs-mssp.
SOC interne
Le SOC interne est l'équipe de sécurité opérationnelle propre du client. Le MDR est l'externalisation de cette équipe à un prestataire spécialisé. Le SOC interne offre une maîtrise maximale et une connaissance fine du métier ; le MDR offre une couverture 24/7 immédiate, mutualise les analystes et capitalise sur la visibilité multi-clients. Voir /mdr-vs-soc-interne.
XDR (produit)
L'XDR est une plateforme technique qui corrèle plusieurs surfaces. Un MDR peut utiliser un XDR comme outil pivot, mais ajoute le service humain et l'engagement opérationnel. Acheter un XDR sans service MDR, c'est comme acheter un avion sans pilote. Voir /techno.

05 — CAS D'USAGE

Quand un MDR est pertinent

  1. 01PME de 100 à 300 postes sans RSSI dédié : MDR clé en main, plateforme imposée par le fournisseur, autorité de réponse guidée, 6 à 15 €/poste/mois. Cible : pure-players FR mid-market type Devensys Cybersecurity, Néosoft, Hexanet, Linkt.
  2. 02ETI de 500 à 2 000 postes avec EDR déjà déployé : MDR BYO (Bring Your Own) sur stack existante, autorité de réponse active sur endpoint, threat hunting structuré, 8 à 20 €/poste/mois. Cible : Intrinsec, Almond, I-Tracing, Advens, Iliade Solutions selon stack.
  3. 03OIV soumis à la LPM : MDR PDIS + CERT PRIS qualifiés, autorité de réponse active sur l'ensemble des surfaces, reporting réglementaire, 25 à 60 €/poste/mois hors CERT. Cible : Advens, Orange Cyberdefense, Thales, Sopra Steria, Airbus Protect. Voir /conformite/lpm.
  4. 04Filiale santé sous HDS : MDR sur infrastructure HDS-certifiée, traçabilité des accès aux données patients, +20 à 40 % vs base ETI. Cible : Exodata, Sigma, BLUE, AntemetA, ITS Group, Docaposte. Voir /conformite/hds et /secteur/sante.
  5. 05Banque ou assurance soumise à DORA : MDR avec tests d'intrusion réguliers, threat hunting structuré, reporting d'incident sous 4 heures, intégration aux exercices de résilience opérationnelle. Cible : Intrinsec, Orange Cyberdefense, Capgemini, Sopra Steria, Almond. Voir /conformite/dora et /secteur/banque-finance.

À RETENIR

Conclusion

Le MDR n'est pas une technologie : c'est un service opérationnel qui s'appuie sur des technologies. Cette distinction conditionne tous les choix d'achat. Acheter « un EDR avec du support » n'est pas acheter un MDR. Acheter un MSSP en pensant avoir un MDR conduit à une couverture illusoire le jour de l'incident. Acheter un XDR sans équipe d'analystes revient à acheter un instrument que personne ne joue. Le MDR français mature combine une plateforme technique moderne, une équipe d'analystes 24/7 souvent qualifiée ANSSI, un engagement contractuel mesurable en MTTA et MTTR, et une transparence opérationnelle qui rend la prestation auditable. Pour structurer un achat : /guide-achat-mdr. Pour comparer aux modèles voisins : /mdr-vs-mssp et /mdr-vs-soc-interne. Pour explorer les acteurs : /fournisseurs.