PLATEFORME · SIEM CLOUD-NATIVE
MDR Microsoft Sentinel : MSSP français sur le SIEM cloud Azure
Microsoft Sentinel est le SIEM cloud-native d'Azure, lancé en 2019 sous le nom Azure Sentinel et rebaptisé en 2021. C'est aujourd'hui le SIEM le plus déployé dans le tissu économique français pour deux raisons : la base installée Microsoft 365 chez les ETI et grands comptes (la télémétrie est déjà dans l'écosystème) et l'intégration native avec Defender XDR qui permet de construire un SOC unifié sans agrégateur tiers. La plateforme est éditée par Microsoft (Nasdaq MSFT, Redmond), donc soumise au Cloud Act et au FISA 702, et hébergée sur Azure avec des régions UE (Paris, Marseille, Frankfurt, Dublin).
Concrètement, Microsoft Sentinel agrège la télémétrie multi-sources (cloud, EDR, identity, on-prem) dans un Log Analytics Workspace, applique un moteur de détection KQL (Kusto Query Language), et permet d'orchestrer la réponse via Logic Apps et Defender XDR. Le pricing par volume de logs ingérés (en GB/jour) est le grand sujet d'attention : sans optimisation, la facture peut rapidement dépasser celle d'un Splunk ou d'un Sekoia.io facturé par actif.
L'écosystème MSSP français autour de Sentinel est dense et structuré, dominé par les intégrateurs Microsoft : grands comptes via Capgemini, Sopra Steria, Orange Cyberdefense ; mid-market via Devensys (1er Microsoft Verified MXDR français), Almond CWATCH, Metsys, AISI ; PME via Dataxium qui publie une grille tarifaire de 25/50/75 € par actif/mois. Certains acteurs comme Devoteam, Thales ou I-Tracing supportent Sentinel en BYO mais ne le mettent pas systématiquement par défaut.
L'écart par rapport à Sekoia.io ou Splunk se joue sur trois axes : profondeur de couverture Microsoft (M365, Entra ID, Defender for Cloud) où Sentinel reste imbattable ; économie (Sentinel devient cher au-delà d'un certain volume de logs, là où Sekoia.io facture par actif et Splunk négocie par contrat) ; juridiction (la plateforme reste américaine, et l'EU Data Boundary ne couvre pas l'ensemble des sous-services Defender). Pour un acheteur sous LPM ou avec une exigence PDIS stricte, Sentinel n'est pas éligible en propre sans une qualification SecNumCloud encore inexistante (Bleu vise H1 2026 sur Azure/M365 core, sans Defender Experts).
01 — LA PLATEFORME
Microsoft Sentinel en bref
Microsoft Sentinel est un SIEM cloud-native édité par Microsoft, lancé en 2019 (ex-Azure Sentinel). Il agrège la télémétrie multi-sources (M365, Defender XDR, Entra ID, AWS, GCP, on-prem) dans un Log Analytics Workspace, applique un moteur KQL pour la détection, et orchestre la réponse via Logic Apps et Defender XDR. Hébergement Azure avec régions UE (Paris, Marseille), mais plateforme soumise au Cloud Act et FISA 702. Pricing au volume de logs ingérés (GB/jour) — sujet d'attention central.
02 — CAPACITÉS
Ce que la plateforme fait
SIEM cloud-native
Pas d'infrastructure à gérer, scalabilité automatique, intégration profonde avec l'écosystème Azure et M365.
Intégration native Defender XDR
Couplage Sentinel + Defender XDR donne une vue unifiée endpoint + identity + cloud + email + Office 365.
Moteur KQL
Kusto Query Language pour détection et investigation — courbe d'apprentissage mais puissance reconnue.
Régions Azure UE
Workspace déployable à Paris ou Marseille, EU Data Boundary couvre Sentinel core mais pas tous les sous-services Defender.
Plus de 350 connecteurs
Connecteurs natifs pour AWS, GCP, M365, Salesforce, Okta, CrowdStrike, plus de 200 produits cyber tiers.
Microsoft Verified MXDR
Programme de certification éditeur pour MSSP — atteint par Devensys (1er français en 2024) et Metsys (avril 2024).
Pricing par GB ingéré
Modèle pay-as-you-go ou commitment tier — sujet d'attention majeur (peut dépasser le coût Splunk/Sekoia.io).
03 — SOUVERAINETÉ
Positionnement souveraineté
Microsoft Sentinel est édité par Microsoft (US), hébergé sur Azure, et soumis au Cloud Act et au FISA 702. L'EU Data Boundary garantit que les données Sentinel et Defender XDR core stockées dans une région UE (Paris, Marseille) y restent, mais cela ne couvre pas tous les sous-services Defender (for Endpoint, for Identity, for Cloud Apps, for Office 365) qui font encore transiter une partie des données vers les États-Unis. Le projet Bleu (JV Capgemini/Orange/Microsoft) vise une qualification SecNumCloud sur Azure et M365 core (étape 1 validée avril 2025, qualification visée H1 2026), mais ne couvrira pas le service Defender Experts opéré par Microsoft global. Pour un OIV LPM ou un PDIS strict, Sentinel reste aujourd'hui inéligible en propre : la conformité s'obtient via une stack souveraine alternative (Sekoia.io, Cybels) ou via le bundle Bleu une fois qualifié.
04 — FOURNISSEURS MDR (12)
Fournisseurs FR qui opèrent un service managé sur cette stack
L'editorial excerpt confirme : « plateforme principale Microsoft Sentinel + Defender XDR (1er français certifié MXDR Microsoft Verified) ». SOC opéré 100% par employés FR sur 5 sites.
Force spécifique → GTI <30 min publié avec pénalités contractuelles (rare), CANUT Lot 1 attribué décembre 2025 (marché 80-100 M€/4 ans secteur public/santé), maison-mère Adista (HDS v2 + 16 DC France).
L'editorial excerpt cite : « plateforme cœur = Microsoft Sentinel/Defender » et « Microsoft Verified MXDR (avril 2024) » comme attribut différenciant majeur.
Force spécifique → CERT propriétaire articulé au SOC, CTI OpenCTI native, capacité multi-SIEM/multi-EDR via N3 — BYO possible pour clients non-Microsoft.
L'editorial excerpt précise : « la plateforme socle reste Microsoft Azure Sentinel + Defender (non souveraine technologiquement), complétée par les outils propriétaires ITERA (detection-as-code) et M&NTIS ».
Force spécifique → Triplet PASSI-LPM/PACS/PRIS hérité d'Amossys, 120+ experts H24/7, partenariat Qevlar AI pour auto-investigation.
L'editorial excerpt confirme : « Le service est entièrement bâti sur la stack Microsoft (Sentinel SIEM + Defender for Endpoint EDR) ».
Force spécifique → Grille tarifaire publique 25/50/75 €/asset/mois (rareté sur le marché FR), 2 offres Azure Marketplace (DXDR + DXTE).
L'editorial excerpt cite explicitement : « RightSecurity MXDR sur Microsoft Sentinel + Defender XDR (BYO tenant client) pour comptes M365 », en complément de la suite souveraine MACTAN.
Force spécifique → Triplet PASSI + PDIS + PRIS via l'entité Annecy, 1 600 experts cyber FR, profondeur sectorielle énergie/défense, Qevlar AI intégré (sept 2025).
L'editorial excerpt précise : « Stack par défaut très largement Microsoft (Sentinel SIEM, Defender XDR, MISA member) + CrowdStrike + Palo Alto + ServiceNow ». Sentinel est la pile par défaut sur le segment Large Accounts.
Force spécifique → Leader ISG Provider Lens France 2025 (deux quadrants MDR), 6 200+ cyber experts, PDIS en cours de qualification.
L'editorial excerpt cite : « stack opérationnelle dominée par Microsoft Sentinel/Defender (partenariat MISA renforcé) ».
Force spécifique → 4 qualifs ANSSI (PACS + PASSI + PDIS + PRIS), SOC France multi-sites, option FR-strict contractualisable pour OIV.
L'editorial excerpt confirme : « mySOC orchestre stacks souveraines (HarfangLab, Gatewatcher) ET non-souveraines (CrowdStrike, SentinelOne, Microsoft Sentinel) selon le choix du client ».
Force spécifique → Triple qualif ANSSI (PASSI + PDIS + PRIS), capital majoritairement français, containment direct via SOAR.
L'editorial excerpt indique : « Plateforme mixte : Sekoia + HarfangLab (souverains FR) + Splunk + MS Defender + SentinelOne (US non-souverains) selon choix client ».
Force spécifique → Triplet ANSSI PASSI-LPM + PRIS Élevé + PACS, SLA chiffrés publiés (rare en France).
L'editorial excerpt cite : « partenariats MSSP officiels Google Chronicle + Palo Alto Cortex XSIAM + Microsoft Sentinel + Splunk, multi-vendeur grands éditeurs US ».
Force spécifique → 35 clients du CAC 40, 600+ clients dont 450 blue-chip, qualifié PAMS (premier français oct 2024), positionnement MSSP grand compte.
L'editorial excerpt cite : « Devoteam utilise Microsoft Sentinel, Splunk, Sekoia (offres d'emploi multi-SIEM) ». Sentinel est l'un des trois SIEM supportés en mode BYO.
Force spécifique → PASSI LPM (Sécurité Nationale référentiel v2.2 niveau Élevé), SOC FR opéré depuis L'Isle-d'Abeau.
L'editorial excerpt précise : « Multi-stack BYO supporté (IBM QRadar, Microsoft Sentinel, Google SecOps, Palo Alto XSOAR) mais Cybels reste socle d'agrégation ».
Force spécifique → Cumule 4 qualifs ANSSI rares (PASSI + PDIS + PRIS + SecNumCloud via S3NS), plateforme propriétaire Cybels.
05 — CAS D'USAGE
Quand cette stack est pertinente
- 01Grand compte FR avec base installée M365 mature cherchant à industrialiser son SOC
- 02ETI cloud-first sur Azure construisant un SOC depuis zéro
- 03PME M365 cherchant un MDR francophone clé en main avec pricing par actif (Dataxium type)
- 04Migration depuis un SIEM legacy (QRadar, ArcSight) pour rationaliser sur Azure
- 05Co-managé MXDR Microsoft Verified pour bénéficier des certifications et du roadmap éditeur
06 — ARBITRAGE
Avantages & réserves honnêtes
Microsoft Sentinel offre l'écosystème de connecteurs le plus dense du marché et une intégration native imbattable avec M365/Defender XDR. Pour une organisation déjà investie dans Microsoft 365, c'est le SIEM le plus rapide à déployer et le plus profond sur les workloads natifs. Vs Sekoia.io, l'avantage technique reste net côté couverture cloud Microsoft, mais le pricing par GB ingéré est imprévisible et le facteur juridictionnel est défavorable (Cloud Act + FISA 702). Vs Splunk, l'écart d'industrialisation s'est largement comblé, et Sentinel a généralement un meilleur TCO sur les workloads cloud-native. La vraie réserve est juridictionnelle : pour un OIV LPM ou un acheteur sous exigence PDIS stricte, Sentinel n'est pas éligible en propre. Le projet Bleu (Capgemini/Orange/Microsoft) vise une qualification SecNumCloud H1 2026 sur Azure et M365 core, sans couvrir le service Defender Experts. Pour ces cas-là, une stack Sekoia.io ou Cybels reste l'arbitrage par défaut.
07 — NON CONCERNÉS
Fournisseurs qui n'opèrent pas sur cette stack
Cette page ne liste pas Microsoft Defender Experts (le MDR opéré par Microsoft lui-même sur Sentinel et Defender XDR) — il fait l'objet d'une fiche dédiée distincte. Les pure-players orientés stack souveraine (OWN.security, Linkt 6e Sens, SPIE ICS, Hexanet) ne sont pas inclus : leur plateforme par défaut est Sekoia.io et ils ne proposent pas Sentinel managé. Les acteurs verticaux insurance-driven (Stoik, Dattak) n'apparaissent pas non plus : leur stack EDR est imposée et n'inclut pas Sentinel managé en standalone. Les acteurs PME orientés EDR (Cyna, AISI sur SentinelOne) sont écartés sauf mention explicite Sentinel.
08 — À RETENIR
Conclusion
Pour un acheteur Microsoft 365, le choix entre fournisseurs MDR sur Sentinel se structure ainsi : (1) pour une PME/petite ETI cherchant un tarif transparent et clé en main, Dataxium offre la grille la plus lisible du marché ; (2) pour une ETI mid-market voulant un MDR français certifié Microsoft, Devensys et Metsys sont les deux MXDR Microsoft Verified français ; (3) pour une grand compte ou ETI exigeant un SOC FR avec qualifications ANSSI partielles, Almond, Capgemini, Orange Cyberdefense et Sopra Steria couvrent le segment ; (4) pour un grand compte multi-stack souhaitant le pluralisme (Sentinel + Splunk + Sekoia + SecOps), Devoteam et I-Tracing sont les deux MSSP les plus polyvalents. Garder en tête que la couche juridictionnelle reste américaine : l'arbitrage final dépend du profil de risque et des exigences PDIS/LPM.
Vous cherchez un MDR sur Microsoft Sentinel ?
On vous met en relation avec 3 fournisseurs FR qui opèrent vraiment un MDR managé sur Microsoft Sentinel (pas juste « compatible »). Réponse sous 24h ouvrées, gratuit.