soc-manage.frRecevoir 3 devis →

SECTEUR · INDUSTRIE & OT

MDR industrie : SOC managés OT, OIV et IEC 62443

10 fournisseurs · 4 référentiels · 5 critères d'achat

L'industrie française est entrée dans la cybersécurité OT (Operational Technology) par la porte des incidents : Norsk Hydro 2019, Colonial Pipeline 2021, MKS Instruments 2023, et une longue série d'attaques par rançongiciel sur des sites de production français en 2024-2025 (Eramet, Lactalis, Engie filiales). La transposition de NIS2 a élargi le périmètre des entités essentielles à de très nombreux industriels (énergie, eau, agroalimentaire, transports, manufacture critique), avec des obligations de détection et de notification qui dépassent largement le périmètre traditionnel des OIV de la LPM.

Le problème structurel reste le même : la majorité des MDR français ont été conçus pour superviser de l'IT (endpoints Windows, identités Active Directory, cloud SaaS), et leur couverture OT — automates Siemens, Schneider, Rockwell, protocoles industriels Modbus/Profinet/OPC UA, sondes passives en zone OT — est souvent un add-on plutôt qu'un cœur de métier. Concrètement, peu d'acteurs ont une vraie pratique IEC 62443 (le standard international pour la sécurité des systèmes d'automatisation industrielle), et encore moins ont des partenariats actifs avec les fournisseurs OT (Schneider EcoStruxure, Siemens Charter of Trust, Rockwell, ABB).

Les acteurs à privilégier sont donc soit des filiales de groupes industriels/défense qui ont l'OT dans leur ADN (Airbus Protect, Thales, SPIE ICS), soit des pure-players qui ont structurellement investi dans la pratique OT (Serma Safety & Security, Sysdream pour l'aviation, Magellan Sécurité pour l'énergie). Les généralistes peuvent couvrir l'IT industriel (poste de gestion, ERP, MES) mais doivent être interrogés précisément sur leur capacité OT réelle.

01 — RÉFÉRENTIELS

Contexte réglementaire

NIS2 entité essentielle

La directive NIS2 (transposée en droit français en 2025) place en entité essentielle la majorité des industriels critiques : énergie, eau potable et usées, transports, fabrication de produits chimiques/pharma/dispositifs médicaux, agroalimentaire grande échelle, manufacturing de produits essentiels. Obligations : gestion d'incidents avec notification ANSSI sous 24 h, mesures de cyber-hygiène, contrôle de la chaîne d'approvisionnement.

IEC 62443

Standard international de cybersécurité pour les systèmes d'automatisation et de contrôle industriel (IACS). Définit des niveaux de sécurité (SL-T cibles) et des zones/conduits à protéger. Un MDR avec une pratique OT mature doit pouvoir dérouler une analyse IEC 62443-3-2 (évaluation de risque par zone) et opérer une supervision compatible IEC 62443-2-4 (sécurité des prestataires de services).

OIV industrie (LPM)

Au titre de la Loi de Programmation Militaire 2013, certains opérateurs industriels (énergie, transports, gestion de l'eau, alimentaire critique) sont qualifiés Opérateurs d'Importance Vitale. Leur prestataire de détection doit alors être PDIS qualifié, et leur prestataire d'audit PASSI LPM.

Cyber Resilience Act (CRA)

Règlement européen 2024/2847 applicable à partir de fin 2027, qui impose aux fabricants de produits comportant des éléments numériques (donc beaucoup d'OT) un cadre de conformité cyber. Indirectement, cela accentue la pression sur les exploitants industriels pour superviser leur OT en continu.

02 — GRILLE DE CHOIX

Critères d'achat propres au secteur

  1. 01Couverture explicite de la surface OT (présence de la valeur `ot` dans les surfaces du fournisseur n'est qu'un signal de départ — exiger une démo sur protocole industriel).
  2. 02Pratique IEC 62443 documentée : références d'audit IEC 62443-3-2, capacité à opérer en environnement avec sondes passives (Claroty, Nozomi, Tenable.ot, Cybus, etc.).
  3. 03Partenariats actifs avec les fournisseurs OT (Schneider, Siemens, ABB, Rockwell). Un MDR sans partenariat OT documenté ne sera pas en mesure d'instrumenter une chaîne de production récente.
  4. 04Qualification PASSI LPM minimum si vous êtes OIV industrie ; PDIS souhaitable si votre SOC supervise un périmètre OIV.
  5. 05Capacité à opérer en mode dégradé/air-gap si votre site industriel a une connectivité limitée ou intermittente — peu d'acteurs cloud-only le savent faire.

03 — SÉLECTION (10)

Fournisseurs recommandés

01

Airbus Protect

Souverain FR· Blagnac

Filiale cyber Airbus, qualifiée PASSI RGS + LPM et PDIS à Élancourt, surface OT/ICS revendiquée comme spécialité forte (héritage Apsys). Cinq SOC interconnectés FR/DE/ES/UK, capital européen. Absence de PRIS à signaler.

02

Thales

Souverain FR· Meudon

Groupe défense français coté, quatre qualifs ANSSI (PASSI + PDIS + PRIS + SecNumCloud via S3NS), plateforme propriétaire Cybels (SIEM + sonde NDR qualifiée ANSSI). Profil OIV/Défense assumé, partenariats stratégiques Sekoia et HarfangLab.

03

Serma Safety & Security

Souverain FR· Pessac

Filiale du groupe SERMA, PASSI niveau élevé et premier acteur qualifié PRIS Substantiel selon le nouveau référentiel ANSSI. Couverture explicite IT + OT + IoT, SOC qualifié de proximité, Micro SOC adapté PME/ETI industrielles.

04

SPIE ICS

Souverain FR· Malakoff

Filiale ICT du groupe SPIE, SOC 24/7 à Montbonnot opéré par analystes salariés, plateforme Sekoia.io FR avec option SecNumCloud. Surface OT couverte, intégrateur ESN avec ancrage industriel. Absence de qualif ANSSI au registre à signaler.

05

Sysdream

Souverain FR· Levallois-Perret

Filiale de Hub One (groupe ADP), PASSI LPM + PDIS via maison-mère, CSIRT CERT Aviation France. Spécialité transport/aviation (OIV), capital public, engagement de non-transit des logs vers cloud tiers.

06

Néosoft

Souverain FR· Paris

ESN française indépendante, capital 100 % FR, offre SOCIndus dédiée environnements industriels (vendor de sonde OT non divulgué — à valider en RFP). PASSI LPM sur périmètre restreint. CSIRT 8x5 historique CONIX à anticiper.

07

Magellan Sécurité

Souverain FR· Paris

Filiale cyber du groupe Magellan Partners, ancrée historiquement grands comptes énergie/défense/secteur public. Double qualif PASSI après fusion Akerva 2025. Pas de PDIS/PRIS à date — à exclure pour OIV strict.

08

Cheops Technology

Souverain FR· Canéjan

ETI bordelaise indépendante (1998), division CyberDefense avec 60+ experts, surface OT déclarée explicitement. Stack Elastic + CrowdStrike/Trend/Withsecure, deux SOC FR + CH. Souveraineté à nuancer (CERT opéré en Suisse).

09

Integrity360

Non-souverain· Dublin (Irlande)

Pure-player irlandais, SOC Paris ouvert en 2025 via acquisition de Holiseum (pure-player FR OT/critique). Apport de Holiseum significatif sur OT et infrastructures critiques. Tier non-souverain à conserver — recevable hors OIV strict.

10

APIXIT

Non-souverain· Les Ulis

Filiale 100 % Bechtle AG (DE coté MDAX), tier EU-souverain non-FR. SOC 24/7 opéré en France (Les Ulis + Montauban) par 75+ ingénieurs, PASSI 2.0 confirmé, surface OT couverte. Bonne option pour industriels DE/FR multinationaux.

04 — EXCLUSIONS

Non recommandés pour ce secteur

Les éditeurs MDR non-souverains généralistes (CrowdStrike, SentinelOne, Sophos, Microsoft, Bitdefender, Palo Alto Unit 42, Arctic Wolf) ne couvrent pas l'OT en standard. Arctic Wolf est limité au tier IT IDR/MDR. Les MSSP IT non-orientés OT (Metsys, Dataxium, Cyna, Devensys, AISI, BLUE) sont volontairement exclus malgré leur qualité IT : ils n'ont pas de pratique OT documentée. Les MDR assurance (Stoik, Dattak) sont structurellement IT only.

05 — À RETENIR

Conclusion

Le marché OT français est en sous-capacité chronique : la demande explose (NIS2, sinistres industriels, CRA à venir) mais les analystes OT formés restent rares. La conséquence pratique est qu'un fournisseur revendiquant une surface OT doit être testé sur sa capacité réelle (démo sur protocole industriel, références client vérifiables, formation IEC 62443 documentée des analystes). Nos fiches détaillent les partenariats OT documentés, les sondes supportées et les références industrielles publiques. Pour les RFP en cours, posez systématiquement la question de l'opération en mode dégradé (perte de connectivité site) : c'est le test qui élimine le plus rapidement les MDR cloud-only mal adaptés à l'OT.

Vous cherchez un MDR pour le secteur industrie & ot ?

Décrivez votre périmètre en 90 secondes. On vous met en relation avec 3 fournisseurs adaptés à vos contraintes (HDS, NIS2, OIV…). Réponse sous 24h ouvrées, indépendant, gratuit.

Recevoir 3 propositions adaptées