Choisir un prestataire SOC managé / MDR au Maroc : les questions qui comptent.

Le marché marocain du SOC managé et du MDR s'est densifié, et la plupart des entreprises qui instruisent une mise en concurrence rencontrent trois archétypes de candidats. Les grands MSSP internationaux qui opèrent une plateforme mondiale et ouvrent un guichet régional : outillage mature, couverture horaire confortable, donnée et analyse ailleurs. L'équipe interne montée par l'entreprise elle-même : maîtrise totale, coût élevé, courbe d'apprentissage longue. Et, plus fréquent qu'on ne l'admet, un outil installé chez l'entreprise avec « quelqu'un qui regarde », sans chaîne opérationnelle formalisée.

Cet article propose une grille pratique pour comparer ces options. Six questions, dans un ordre qui n'est pas anodin, toutes vérifiables sans expertise pointue. Ces questions s'appliquent aussi à notre propre offre : chaque section se termine par un test que nous nous appliquons à nous-mêmes, dans une dernière partie au bas de l'article.

Ce que cet article ne traite pas : pas d'avis juridique sur la conformité loi 09-08 (pour ce volet, voir la grille de lecture CNDP que nous avons publiée séparément), pas de guide de configuration, pas de comparaison de tarifs. Le prix se traite après les six tests qui suivent ; avant, il n'a pas de sens, parce que deux offres au même prix peuvent acheter deux choses radicalement différentes.

1. Où vit réellement votre télémétrie ?

C'est la première question, et c'est rarement celle qu'on ose poser frontalement. Un journal d'authentification, une alerte EDR, un événement Microsoft 365 : tout cela est, au sens de la loi 09-08, du traitement de données à caractère personnel. Ces flux doivent être stockés et analysés quelque part. Ce « quelque part » se traduit par une adresse physique, un opérateur identifié, une juridiction qui s'applique. La formulation marketing ne suffit pas à le décrire.

Le piège classique consiste à confondre le pays où se trouve le datacenter avec la destination réelle du transfert. Une plateforme hébergée à Paris, accédée depuis Casablanca via une console qui rapatrie les données pour les afficher, génère un transfert. Un modèle d'analyse étranger à qui l'on envoie le contenu d'une alerte génère un transfert. Un service de notification qui reçoit l'extrait d'un événement génère un transfert. La bonne question porte donc moins sur la localisation des serveurs que sur le chemin technique réel de la donnée à chaque étape de la chaîne.

• Rouge. La réponse mentionne un fournisseur cloud international et un « datacenter européen » sans pouvoir détailler le chemin technique réel des journaux.
• Rouge. Le prestataire affirme « hébergement RGPD » comme s'il répondait à la question CNDP, alors que les deux cadres ne sont pas équivalents pour un dossier marocain.
• Rouge. Aucune liste exhaustive des flux sortants vers des tiers (modèle d'analyse, service de notification, plateforme d'enrichissement) n'est produite, ni promise.
• Vert. Le prestataire peut nommer la zone de datacenter où vivent vos journaux, par ville, sans détour, et désigner l'opérateur du site.
• Vert. La chaîne d'analyse complète, modèles compris, est documentée et tient sur le territoire marocain.
• Vert. Vous obtenez par écrit, en amont du contrat, la liste des destinations réseau sortantes du service, avec leur finalité.

2. Qui opère la supervision, et depuis où ?

La résidence des données est une question d'architecture ; la résidence de l'analyse est une question d'équipe. Une plateforme hébergée au Maroc, opérée depuis un autre fuseau horaire par une cellule qui ne parle pas votre langue de travail, ne résout pas vraiment le problème qu'on lui demande de résoudre. À 3h du matin, quand votre EDR remonte un comportement étrange, le drapeau sur le site marketing ne décide de rien. Ce qui décide : qui décroche, dans quelle langue, et avec quelle compréhension du contexte marocain (M365 en français, parc industriel, contraintes opérationnelles d'une PME ou d'une ETI marocaine).

La supervision CRYPTASEC est opérée par une équipe basée à Casablanca, fuseau marocain. Cette donnée n'est pas un détail commercial : elle détermine la qualité de la conversation avec votre DSI le jour où une alerte demande une décision rapide, le temps de réaction réel sur un incident hors heures ouvrées au Maroc, et la capacité à comprendre les particularités d'un système d'information marocain sans traduction.

• Rouge. La localisation de la cellule analyste n'est pas nommée, ou bouge selon l'interlocuteur commercial.
• Rouge. Les analystes opèrent depuis un fuseau distant et la couverture des heures ouvrées marocaines repose sur des tickets transférés.
• Rouge. Aucune désignation nominale d'un référent côté prestataire pour votre dossier.
• Vert. Le prestataire peut désigner la ville où sont assis les analystes et le fuseau dans lequel ils travaillent.
• Vert. Un référent désigné suit votre périmètre dans la durée et connaît vos systèmes.
• Vert. L'astreinte hors heures ouvrées est tenue par la même équipe que la supervision en journée, pas par un centre distant qui ouvre un ticket.

3. Quelle posture face à un incident ?

Un SOC qui détecte mais n'agit pas est un SOC à moitié utile. La différence opérationnelle entre « nous vous notifions » et « nous prenons en charge le confinement initial » ne se voit pas dans une plaquette ; il faut la chercher dans le périmètre exact de l'offre. La réponse à incident est-elle incluse, ou facturée séparément ? Le forensic léger des premières heures est-il prévu, ou faut-il faire appel à un tiers en urgence ? Le confinement (isolation d'un poste, blocage d'un compte, coupure d'un flux réseau) est-il une action que vos analystes peuvent déclencher seuls ?

Côté CRYPTASEC, la réponse à incident est incluse dans l'offre de SOC managé : forensic léger, confinement initial, accompagnement de la notification CNDP quand le périmètre le justifie. Cette inclusion est explicite, pas conditionnelle. Une grille tarifaire qui sépare la détection de la réponse construit un mauvais incitatif : le jour d'un incident grave, le client doit choisir entre signer un avenant ou attendre, ce qui n'est pas la bonne conversation à ce moment-là.

• Rouge. La réponse à incident est vendue à part, à l'heure, sans engagement de mobilisation rapide.
• Rouge. Le périmètre exact des actions que le SOC peut prendre sans autorisation préalable n'est pas formalisé par écrit.
• Rouge. Le prestataire détecte mais sous-traite tout le reste à un partenaire externe non documenté.
• Vert. Le forensic léger des premières heures est inclus dans l'offre courante.
• Vert. La liste des actions de confinement préautorisées est documentée, par classe d'événement, avant la signature.
• Vert. L'accompagnement réglementaire (notification CNDP, communication client) est intégré, pas renvoyé à un cabinet externe.

4. Réversibilité et format des données.

La question de la sortie se pose au moment de l'entrée, ou elle ne se pose plus. Une offre qui s'engage uniquement sur l'arrivée et reste muette sur la migration future construit un verrou. Trois variables comptent. Pouvez-vous récupérer l'historique de vos journaux dans un format ouvert et exploitable hors plateforme ? La taxonomie de détection (règles, allow-lists, contexte d'asset) co-construite avec le prestataire vous appartient-elle ? Le délai de mise à disposition d'une exportation complète est-il borné ?

Ces points rendent la relation commerciale saine, ils ne l'enveniment pas. Un prestataire confiant de la valeur qu'il apporte n'a aucune raison de craindre une clause de réversibilité claire. À l'inverse, une opacité sur la sortie est presque toujours le symptôme d'un modèle qui retient les clients par friction plutôt que par qualité.

• Rouge. Aucune mention de l'export des journaux historiques dans la documentation contractuelle.
• Rouge. Les règles de détection construites pour votre périmètre sont déclarées propriété du prestataire.
• Rouge. Le format d'export est un format propriétaire qui suppose de garder un outil du prestataire pour le lire.
• Vert. L'export des journaux est explicitement prévu, dans un format ouvert et documenté, avec un délai borné.
• Vert. Les règles de détection et l'inventaire d'assets vous appartiennent et restent exploitables hors plateforme.
• Vert. Une clause de sortie sans pénalité financière au-delà du préavis raisonnable figure dans le contrat type.

5. Comment se vérifient les engagements ?

Un engagement vit dans la durée par sa vérifiabilité, pas par l'éloquence avec laquelle il a été promis. Toute promesse opérationnelle d'un prestataire SOC devrait pouvoir se traduire par une preuve montrable : la documentation des procédures, le rapport d'activité périodique, la liste à jour des destinations réseau, la trace des actions menées sur votre environnement. La transparence opérationnelle est un test simple : demandez à voir.

Côté CRYPTASEC, le portail client donne accès à chaque alerte et à chaque action menée sur votre environnement, en lecture directe. Sur le format de rapport mensuel partageable à votre direction et à vos auditeurs, nous le préparons en ce moment : un format type sera disponible sur demande dans les prochains cycles, et nous communiquerons ouvertement lorsqu'il sera prêt. Promettre l'artefact dès aujourd'hui serait commercialement confortable et opérationnellement malhonnête ; nous préférons l'ordre inverse.

• Rouge. Les engagements opérationnels sont décrits avec des superlatifs et aucune procédure produite à l'appui.
• Rouge. L'accès aux journaux d'activité du SOC se fait par demande humaine, à délai variable, sans vue en temps réel.
• Rouge. Le prestataire refuse de montrer un échantillon de livrable récent au prétexte de confidentialité d'autres clients.
• Vert. Le portail vous expose les alertes et les actions du SOC en lecture directe, sans intermédiaire.
• Vert. Un échantillon de livrable, anonymisé, vous est montré en phase commerciale.
• Vert. Le prestataire vous dit clairement ce qu'il sait faire aujourd'hui et ce qu'il prépare encore, sans confondre les deux.

6. Juridiction et propriété des données.

Dernière question, et c'est aussi la plus simple. Vos journaux contiennent des données à caractère personnel. Sur quelle juridiction repose le contrat qui les encadre ? Quels sont les recours en cas de litige ? Et si la réponse implique un tribunal hors du Maroc, vos équipes juridiques sont-elles préparées au coût et à la lenteur réels d'une action transfrontalière ?

Le contrat type CRYPTASEC place les litiges sous la juridiction marocaine, devant le Tribunal commercial de Casablanca, et garantit votre droit à un export portable de vos journaux dans un format ouvert sur simple demande. Ces clauses ne sont pas un raffinement juridique : elles déterminent la rapidité avec laquelle vous pouvez agir si quelque chose se passe mal, et la facilité avec laquelle vous pouvez quitter la relation sans perdre votre historique opérationnel.

• Rouge. Le contrat type place les litiges devant une juridiction étrangère, sans clause d'arbitrage local.
• Rouge. Le droit applicable n'est pas le droit marocain, ce qui complique les voies de recours pour une entreprise marocaine.
• Rouge. Aucune clause ne formalise votre propriété des journaux historiques en cas de fin de contrat.
• Vert. Le droit marocain s'applique, et la juridiction compétente est marocaine et identifiée nommément.
• Vert. Vos journaux historiques restent votre propriété, leur restitution sous format ouvert est contractuellement garantie.
• Vert. Les conditions de fin de contrat sont écrites dans des termes que votre service juridique peut lire sans glose.

Comment nous nous évaluons sur cette grille.

Une grille de tests n'a de valeur que si celui qui la propose accepte de s'y soumettre. Voici, dans le même ordre que les six sections, comment CRYPTASEC se positionne, sans embellir ni minorer.

1. Résidence. La télémétrie de chaque client vit dans un datacenter physiquement situé sur le territoire marocain, à Rabat. La chaîne d'analyse, modèles compris, tourne sur du matériel CRYPTASEC physiquement au Maroc. Aucune sauvegarde et aucune réplication hors du pays.
2. Supervision. Cellule analyste basée à Casablanca, fuseau marocain. Un référent désigné suit chaque périmètre dans la durée. L'astreinte hors heures ouvrées est tenue par la même équipe que la supervision en journée.
3. Réponse. La réponse à incident est incluse dans l'offre standard : forensic léger, confinement initial, accompagnement réglementaire CNDP. Aucune facturation à l'événement, aucun avenant à signer dans la panique.
4. Réversibilité. Vos journaux historiques restent exportables dans un format ouvert sur demande, dans un délai borné contractuellement. Vos règles de détection et votre inventaire d'assets vous appartiennent et restent exploitables hors plateforme.
5. Vérifiabilité. Le portail expose chaque alerte et chaque action en lecture directe. Le format de rapport mensuel partageable à votre direction est en cours de finalisation et sera mis à disposition sur demande dans les prochains cycles ; nous préférons l'annoncer prêt que le promettre tôt.
6. Juridiction. Droit marocain. Tribunal commercial de Casablanca. Vos données personnelles relèvent du seul droit marocain, par construction de l'architecture et par clause contractuelle.

Si vous instruisez actuellement une mise en concurrence et que cette grille vous semble utile, le plus efficace est probablement de la transmettre telle quelle aux candidats que vous évaluez, et de comparer la qualité des réponses obtenues. Si vous souhaitez en discuter avec nous, le diagnostic de 30 minutes est l'entrée la plus simple.