Analystes SOC externalisés — Surveillance cybersécurité managée à Madagascar

Les analystes SOC Aurysse sont positionnés niveau 1 (L1) à niveau 2 (L2) selon les référentiels SOC standards. Un analyste L1 assure la surveillance des alertes, le triage initial et l'escalade des incidents selon un playbook défini. Un analyste L2 peut réaliser des investigations approfondies, écrire des règles de corrélation et produire des analyses de menaces.

La sélection repose sur une validation des compétences techniques : maîtrise d'au moins un SIEM (Splunk, QRadar ou Microsoft Sentinel), connaissance du framework MITRE ATT&CK pour la qualification des incidents, bases de réseau (TCP/IP, DNS, HTTP) et de scripting (Python ou Bash pour l'automatisation des tâches répétitives). Un test pratique de triage sur des logs réels fait partie du processus de sélection.

Pour les profils souhaitant progresser vers le niveau L3 (forensics, threat hunting), Aurysse encourage et finance partiellement les certifications en cours de mission (CEH, CompTIA Security+, Blue Team Labs certifications). Cette politique de formation continue augmente la valeur des profils sur le long terme et réduit le turnover.

Oui. L'accès aux outils SIEM se fait via VPN d'entreprise avec authentification multi-facteurs (MFA), selon les politiques de sécurité de votre organisation. L'analyste reçoit un accès read-only ou un accès en lecture/écriture limité aux fonctions nécessaires à sa mission — jamais des droits d'administration sur l'infrastructure.

Aurysse recommande fortement que l'analyste externalisé travaille sur un environnement dédié (VM ou compte séparé) et que tous ses accès soient tracés dans vos logs d'audit. Cette transparence permet à votre équipe de sécurité interne de vérifier à tout moment les activités effectuées depuis le compte de l'analyste externalisé.

Pour les organisations soumises à des exigences réglementaires strictes (OIV, secteur bancaire, santé), des conditions d'accès spécifiques peuvent être nécessaires (poste durci fourni par le client, accès depuis un réseau dédié, interdiction de stockage local). Aurysse peut s'adapter à ces contraintes — elles doivent être définies avant le démarrage de la mission.

Une couverture 24/7 est possible mais requiert un minimum de 3 analystes en rotation (shifts de 8h couvrant les 3 tranches horaires) ou 2 analystes avec des shifts de 12h. Le coût d'une couverture 24/7 complète avec des analystes Aurysse reste très compétitif comparé à un SOC interne ou à un MSSP (Managed Security Service Provider) français.

Pour les PME dont la criticité ne justifie pas un 24/7 complet, une couverture 8h-20h heure de Paris (horaires étendus) avec un système d'astreinte automatisée (alertes SMS/email pour les incidents critiques hors horaires) est souvent suffisante. Aurysse peut vous aider à évaluer votre niveau de criticité réel avant de dimensionner la couverture.

Pour les incidents survenant en dehors des heures de surveillance, une procédure d'escalade doit être définie avec votre équipe IT interne ou votre RSSI. L'analyste externalisé est un premier rempart mais pas le seul — un plan de réponse aux incidents complet inclut des procédures de réponse d'urgence que votre organisation doit maîtriser.

Un MSSP (Managed Security Service Provider) est une organisation qui vous fournit un service packagé : outils SIEM inclus, playbooks standardisés, rapports formatés. L'avantage est la rapidité de démarrage ; l'inconvénient est le manque de personnalisation et la mutualisation des analystes sur plusieurs clients (l'analyste qui surveille vos logs surveille aussi ceux de 10 autres entreprises).

Un analyste Aurysse est dédié à votre organisation, connait votre infrastructure, votre stack technique et vos processus. Il développe une expertise sur votre contexte spécifique que n'aura jamais un analyste mutualisé dans un MSSP. Il s'adapte à vos outils existants plutôt que de vous imposer une plateforme.

Sur le plan tarifaire, un MSSP de qualité coûte généralement entre 3 000 et 10 000 € par mois pour une couverture horaires ouvrés avec quelques heures d'analyste dédié. Un analyste L1 Aurysse à temps plein est à 700 € tout compris. Pour les organisations ayant déjà un SIEM en place, le modèle Aurysse est souvent plus économique et plus qualitatif dès lors qu'un chef de projet sécurité interne supervise la mission.

Oui, dans un périmètre précis. Un analyste SOC externalisé peut contribuer aux contrôles opérationnels de sécurité (surveillance des accès, détection des incidents, journalisation), à la production de preuves documentaires (logs d'incidents, rapports mensuels, tableaux de bord) et à la mise en place de procédures de réponse aux incidents — autant d'éléments requis par ISO 27001 (Annexe A) et NIS2.

En revanche, la responsabilité de la politique de sécurité, du SMSI (Système de Management de la Sécurité de l'Information) et des décisions stratégiques de sécurité reste côté client. L'analyste externalisé est une ressource opérationnelle, pas un RSSI ou un consultant en conformité. Pour les certifications, l'intervention d'un consultant ISO 27001 interne ou externe reste nécessaire.

Aurysse peut documenter formellement la relation de sous-traitance dans le registre des traitements RGPD et fournir les éléments nécessaires à l'audit de certification (nature des accès, mesures de sécurité appliquées, liste des engagements contractuels). Cette transparence facilite les audits et rassure les organismes certificateurs sur la maîtrise des risques liés à la sous-traitance.