SOC, SIEM, antivirus : quelle différence ?

Toute personne qui gère l'informatique d'une entreprise marocaine a déjà entendu, ou prononcé, cette phrase : « on a déjà un antivirus, pourquoi dépenser plus ? » C'est une objection légitime. Le problème n'est pas la mauvaise foi, c'est le vocabulaire. SOC, SIEM, EDR, MDR : ces sigles désignent des choses différentes, qui ne se remplacent pas les unes les autres. Cet article les explique en français clair, sans présupposer de connaissances techniques.

1. L'antivirus : première ligne de défense, pas la seule.

L'antivirus reste utile. Son rôle est de bloquer les menaces déjà connues : il compare les fichiers d'un poste à une base de signatures de logiciels malveillants identifiés. Quand un fichier correspond à une signature connue, il est bloqué.

Sa limite tient à ce même principe. Un antivirus reconnaît ce qu'il a déjà vu. Une menace nouvelle, ou une attaque qui ne passe pas par un fichier malveillant classique mais par un détournement d'outils légitimes, lui échappe. Or les attaques courantes utilisent de plus en plus ces techniques. L'antivirus est une fondation nécessaire, mais il regarde une seule machine, et seulement le connu.

2. Le SIEM : la caméra de surveillance.

Le SIEM, pour « gestion des informations et des événements de sécurité », joue un rôle de mémoire et de mise en relation. Il collecte les journaux de tout votre environnement : postes, serveurs, pare-feu, applications, services cloud. Puis il corrèle ces événements pour faire apparaître des enchaînements qui, pris isolément, passeraient inaperçus.

Le SIEM est une caméra de surveillance : il enregistre tout et signale ce qui sort de l'ordinaire. Mais une caméra sans personne pour regarder l'écran ne protège personne. Un SIEM génère un volume d'alertes important, et la grande majorité de ces alertes sont sans conséquence. Sans analystes pour les trier, le SIEM produit du bruit, pas de la sécurité.

3. Le SOC : l'équipe qui surveille, analyse et réagit.

Le SOC, « centre des opérations de sécurité », est l'équipe humaine qui donne du sens à tout le reste. Ce sont des analystes, organisés en rotation pour assurer une présence continue, dont le travail est de :

• Trier les alertes remontées par les outils, pour séparer le signal du bruit.
• Analyser les événements qui méritent un examen, et qualifier les vrais incidents.
• Réagir en cas d'incident avéré : confinement, coordination, remédiation.
• Investiguer pour comprendre l'origine et l'étendue d'une attaque.
• Rendre compte de ce qui a été observé et de ce qui a été fait.

Le SOC n'est pas un produit que l'on installe. C'est une fonction, qui combine des outils, des procédures et surtout des personnes. Sans cette fonction, les outils restent muets.

4. EDR : la protection avancée des terminaux.

L'EDR, « détection et réponse sur les terminaux », est l'évolution de l'antivirus. Là où l'antivirus compare à des signatures connues, l'EDR observe le comportement des programmes et repère ce qui est anormal, même sans signature préalable.

Un exemple concret : un logiciel de traitement de texte qui, à l'ouverture d'un document, lance un outil système comme PowerShell. Aucun usage bureautique normal ne justifie cet enchaînement. Un antivirus classique, qui ne voit qu'un fichier de texte légitime et un outil système légitime, ne signale rien. Un EDR, lui, reconnaît la séquence comme suspecte et déclenche une alerte. L'EDR fournit aussi au SOC les moyens d'agir à distance sur un terminal compromis.

5. MDR : le SOC livré comme un service.

Le MDR, « détection et réponse gérées », répond à une réalité simple : monter et opérer un SOC interne demande des recrutements rares, une présence continue, et un investissement que la plupart des PME et entreprises de taille intermédiaire ne peuvent pas porter seules.

Le MDR est un SOC externalisé, livré comme un service géré. Un prestataire spécialisé déploie les outils, assure la surveillance continue avec ses propres analystes, et prend en charge la réponse aux incidents. C'est exactement le métier de CRYPTASEC. L'entreprise cliente bénéficie d'une capacité de détection et de réponse de niveau professionnel, sans avoir à constituer cette équipe en interne.

6. Tableau récapitulatif.

Pour fixer les idées, voici une vue d'ensemble des briques abordées : ce que chacune fait, ce qu'elle ne fait pas, et le profil d'entreprise auquel elle correspond.

7. Alors, de quoi avez-vous vraiment besoin ?

La réponse dépend de la taille et de la maturité de votre organisation. Quelques repères, formulés prudemment.

Une petite structure a besoin, au minimum, d'un antivirus moderne sur tous ses postes, de sauvegardes fiables et de l'authentification multifacteur. Mais ce socle ne détecte pas une attaque en cours. Pour une détection et une réponse réelles, une petite ou moyenne entreprise gagne le plus à passer par un service MDR, plutôt qu'à tenter de constituer une fonction de sécurité en interne.

Une entreprise de taille intermédiaire a généralement assez de systèmes et d'enjeux pour justifier une surveillance continue. La question n'est plus « faut-il une détection ? » mais « interne ou externalisée ? ». Pour la plupart, le MDR reste l'option la plus raisonnable, parce qu'il évite le coût et la difficulté de recruter et de retenir des analystes.

Une grande entreprise peut avoir les moyens d'un SOC interne. Même dans ce cas, beaucoup choisissent un modèle mixte, en s'appuyant sur un partenaire MDR pour la couverture hors heures ouvrées ou pour une expertise spécialisée.

8. Le coût de ne rien faire.

Repousser la décision a un prix, même s'il ne se voit pas tant qu'un incident n'a pas eu lieu. Une attaque non détectée peut rester active des semaines avant de se déclencher. Pendant ce temps, l'attaquant prépare son action : vol de données, chiffrement, fraude.

L'antivirus seul laisse cette fenêtre ouverte, parce qu'il ne regarde ni le réseau, ni les enchaînements, ni les comportements anormaux. Le coût d'un incident, à savoir l'arrêt d'activité, la remédiation, l'exposition réglementaire et l'atteinte à la réputation, dépasse très largement, dans la plupart des cas, celui d'une surveillance continue. La sécurité opérationnelle n'est pas une dépense de confort. C'est une assurance dont le sinistre, lui, est presque certain à terme.

9. Ce que fait concrètement CRYPTASEC.

CRYPTASEC opère un SOC managé souverain pour les entreprises marocaines. Concrètement, cela réunit en un seul service :

• La détection sur les terminaux par EDR comportemental, au-delà des signatures.
• Un SIEM qui collecte et corrèle les journaux de votre environnement.
• De la veille sur les menaces, pour anticiper les techniques en circulation.
• Des analystes en rotation qui assurent la surveillance et la réponse.
• Une réponse à incident conduite par des humains. Le confinement, par exemple l'isolement d'un poste compromis, est validé par un analyste : nos systèmes proposent l'action, un humain la décide. Le confinement n'est jamais entièrement automatique.

L'ensemble de la télémétrie est traité et conservé sur une infrastructure située sur le territoire marocain. Vos données de sécurité ne quittent pas le pays.

10. L'antivirus ne suffit plus.

L'antivirus garde sa place de fondation. Mais il a été conçu pour un monde où les menaces étaient connues et où une machine isolée pouvait être défendue seule. Ce monde a changé.

La sécurité d'aujourd'hui se joue sur la capacité à voir l'ensemble de l'environnement, à relier des événements épars, et à réagir vite avec des analystes compétents. SIEM, EDR et SOC sont les briques de cette capacité. Le MDR est la manière la plus accessible, pour une entreprise marocaine, d'en disposer sans bâtir l'équipe elle-même. La question pratique est celle du passage d'une protection statique à une détection vivante.

Voir aussi : comment les ransomwares contournent les antivirus et les obligations de notification au titre de la loi 09-08.