En cybersécurité, vous n’achetez pas un service, vous achetez une réduction de risque. Si votre SOC tombe en panne le jour où un ransomware se déclenche, personne ne vous demandera quel était le nom du prestataire : on vous demandera pourquoi vous avez jugé ce risque acceptable.
Le problème, c’est que beaucoup d’organisations se rassurent avec un logo ISO 27001 sans vérifier s’il couvre la seule chose qui compte : la capacité du SOC à voir l’attaque, à agir vite et à vous fournir des preuves solides quand il faudra rendre des comptes.
ISO 27001 : ce que la certification garantit réellement
Contrairement à une évaluation de performance technique, la certification ISO 27001 repose sur un système de management de la sécurité de l’information (SMSI) : elle s’appuie sur la définition d’un périmètre, une analyse de risques, la mise en place de politiques, de procédures, de contrôles et d’audits réguliers.
En résumé, la norme ISO 27001 apporte trois garanties majeures :
- L’organisation a clairement défini ce qu’elle protège, c’est-à-dire le “scope” de son SMSI ;
- Des règles et des politiques de sécurité ont été instaurées pour protéger ce périmètre ;
- Un auditeur indépendant contrôle régulièrement que ces règles sont effectivement appliquées.
Cependant, la norme ISO 27001 laisse deux marges de manœuvre importantes :
- Le périmètre de certification : le prestataire définit lui-même ce qui est inclus dans le SMSI et ce qui ne l’est pas ;
- L’applicabilité des contrôles : certains contrôles de sécurité peuvent être écartés, à condition que cela soit justifié et documenté.
En conséquence, il est tout à fait possible qu’un SOC fonctionne en dehors du périmètre certifié, même si le logo ISO 27001 figure sur la documentation commerciale du prestataire. En tant que DSI ou RSSI, votre mission n’est pas de vous fier au logo, mais de comprendre précisément ce que la certification ISO 27001 couvre… et ce qu’elle ne couvre pas.
Les 3 questions fondamentales : ce que tout DSI devrait demander à son SOC
Au lieu de partir des normes, partons de ce que vous devez pouvoir expliquer à votre COMEX ou à un auditeur NIS2 :
- Qui voit quoi ? (Visibilité)
- Qui a fait quoi ? (Preuve)
- Quand serai‑je prévenu ? (Vitesse)
Si votre SOC ne répond pas clairement à ces trois questions, le reste est cosmétique.
1. Visibilité : “Qui voit quoi ?”
En pratique, la question n’est pas “êtes‑vous ISO 27001 ?”, mais : “Qui a les yeux sur mes systèmes, à quel moment, et sous quelle discipline ?”
Ce que cache parfois la certification :
- Le prestataire certifie ses fonctions support, son SI interne, ses bureaux… mais pas le SOC opérationnel qui surveille vos logs.
- Le scope ne mentionne ni “SOC”, ni “Supervision de sécurité 24/7”, ni “détection des incidents”.
Le test simple :
- Demandez le certificat et l’annexe de portée.
- Cherchez noir sur blanc les mots “SOC”, “Supervision de sécurité”, “Détection d’incidents 24/7”, ou équivalent.
Si vous ne les voyez pas, vous payez pour une rigueur qui ne s’applique peut‑être pas à ceux qui regardent vos écrans la nuit.
2. Preuve : “Qui a fait quoi, quand et pourquoi ?”
Le jour où un incident sérieux éclate – ou où un contrôleur NIS2 débarque – on ne vous demandera pas si vous aviez confiance en votre prestataire. On vous demandera : “Montrez‑moi les traces.”
Ce qui doit exister chez votre SOC :
- Une journalisation systématique des accès et actions des analystes ;
- Des journaux protégés contre la modification ou la suppression non autorisée ;
- Une capacité à rejouer l’histoire : qui a vu l’alerte, qui l’a qualifiée, qui a décidé quoi, et quand.
Le test simple :
- Demandez comment sont stockés les journaux des actions des analystes SOC.
- Posez la question “Pouvez‑vous me fournir, sur 6 mois, l’historique des accès et décisions pour un de mes environnements critiques ?”.
S’il y a un malaise, vous savez déjà où votre responsabilité peut être attaquée : pas de preuves = pas de défense.
3. Vitesse : “Quand serai‑je prévenu ?”
Le temps est le seul paramètre que vous ne pouvez pas racheter après coup. Un SOC certifié qui met 4 heures à vous remonter un ransomware reste un excellent élève… pour l’audit, mais un mauvais partenaire pour le business.
Ce que la certification garantit :
- Qu’il existe des procédures, des rôles, des circuits de communication.
Ce qu’elle ne garantit absolument pas :
- Que vous serez prévenu en 10 minutes, 30 minutes ou 2 heures ;
- Que ces délais sont tenus dans la vraie vie.
Le test simple :
- Ignorez le logo, demandez les SLA contractuels :
- Temps de détection d’un incident critique ;
- Temps de qualification ;
- Temps d’escalade et de notification.
- Demandez les statistiques réelles sur 12 mois : “Combien de fois avons‑nous respecté ces délais ?”.
Si le temps de détection n’est pas chiffré dans le contrat, il n’existe pas.
Pourquoi cette grille est vitale pour une PME/ETI aujourd’hui
Vous n’êtes plus une “petite cible”. Si vous fournissez des services ou traitez des données pour des entités soumises à NIS2 (santé, énergie, collectivités, finance, etc.), vous devenez un maillon de leur chaîne de risque.
Concrètement, ça veut dire :
- Vos grands clients et vos assureurs vont vous demander des preuves, pas des promesses.
- Un prestataire SOC mal cadré peut remettre en question votre propre conformité NIS2, et donc engager la responsabilité personnelle de vos dirigeants.
Choisir un SOC certifié sur le bon périmètre, avec la bonne traçabilité et les bons délais, ce n’est pas du luxe :
- C’est éviter de payer deux fois (prestataire + sanction / rançon) ;
- C’est réduire le coût et la douleur de vos audits, parce que 70–80% des preuves attendues sont déjà produites par le SOC.
Ce que cela change concrètement dans un cas réel (santé)
Prenons un cas typique : une ETI santé, 500 collaborateurs, très dépendante de ses systèmes pour assurer des services à domicile.
- Un audit RGPD met en lumière :
- Absence de preuves de supervision de la sécurité ;
- Prestataire IT non certifié ISO 27001 ;
- Traçabilité insuffisante des accès aux données de santé ;
- Plans de continuité peu formalisés.
- À la clé : une mise en demeure, des projets avec des GHT et des cliniques mis en pause, un risque financier sérieux.
Quand cette ETI décide de reprendre la main, elle ne commence pas par acheter un “SOC ISO 27001” ; elle commence par :
- Cartographier les prestataires critiques et leurs impacts ;
- Définir ce qu’elle veut comme preuves minimales ;
- Challenger son dispositif de surveillance avec les trois questions :
- Qui voit quoi ?
- Qui a fait quoi ?
- Quand suis‑je prévenu ?
Le passage à un SOC dont le périmètre certifié couvre la détection et la réponse, avec journalisation des actions des analystes et SLA contractuels sur les incidents, devient alors une pièce d’un puzzle plus large : la démonstration qu’elle maîtrise sa chaîne de risque.
C’est cette trajectoire – plus que le simple changement de logo – qui permet de rassurer la CNIL, de débloquer 1,2 M€ de contrats et de reprendre la main dans la relation avec les grands donneurs d’ordre.
L’approche Elit‑Technologies : un SOC pensé pour être interrogé
Chez Elit‑Technologies, on part du même principe que vos auditeurs : vous devez pouvoir expliquer, prouver, et améliorer.
Concrètement, notre SOC est conçu autour de trois engagements :
- Périmètre clair : la supervision 24/7, la détection et la réponse aux incidents sont dans le périmètre certifié ISO 27001, pas seulement le back‑office.
- Traçabilité exploitable : les actions de nos analystes sont journalisées, corrélées et restituables en cas d’audit ou d’incident.
- Délais visibles : les temps de détection, de qualification et d’escalade sont contractualisés et mesurés dans le temps.
Ce n’est pas une promesse de perfection. C’est un engagement à être auditable et à vous fournir des preuves alignées avec vos propres obligations NIS2/RGPD.
Vous voulez savoir si votre SOC (actuel ou futur) réduit réellement votre risque – ou s’il vous rassure juste avec un logo ?
Nous pouvons passer ensemble votre prestataire au crible des 3 questions et des 5 points clés de cet article, en partant de vos contraintes NIS2, RGPD et business.
👉 Réservez un échange de 30 minutes avec un expert Elit‑Technologies pour tester, en direct, la solidité de votre dispositif de supervision.
