Secu
Les MSSP, une solution pour pallier la pénurie de talents cyber
Par Alain Clapaud, publié le 31 décembre 2025
Tous les recruteurs le disent, recruter un expert cyber reste un défi. Pénurie de talents, mais aussi fort turnover, le secteur peine à trouver des bras. Cette situation persistante pousse les entreprises à externaliser leur cyber auprès de MSSP et à miser sur l’IA pour assurer les tâches les plus basiques.
Avec des budgets en hausse de 10 % par an entre 2024 et 2027, la cybersécurité va connaître son âge d’or en France. Et pour faire face au besoin, malgré la création prévue par l’OPIIEC de 25 000 postes d’ici 2028 en France, les écoles et les centres de formation auront bien du mal à répondre… faute de vocations.
Ce manque de ressources humaines pousse les entreprises à recourir de plus en plus aux services externalisés de sécurité.
La montée en puissance du modèle MSSP
Selon Markess, le taux de croissance du marché des services de sécurité va s’élever en France à 12,5 % par an jusqu’en 2027 où il pourrait atteindre 5,6 Md€.
Parmi les moteurs de cette croissance, les MSSP (Managed Security Services Provider), ces prestataires de service spécialisés qui délivrent des services cyber gérés en externe. On assiste ainsi à la montée en flèche des MDR (Managed Detection and Response), des services où les éditeurs et leurs intégrateurs assurent la supervision des EDR / XDR déployés dans les entreprises.
De même, l’externalisation est de mise pour les SOC (Security Operations Center), en particulier auprès de grands acteurs comme les opérateurs de télécom, les ESN et les MSSP qui ont donné accès à ces solutions avancées à un plus grand nombre d’entreprises.
Pour certains services de cybersécurité offensive comme le bug bounty ou encore le red teaming, l’externalisation est même le modèle dominant.
Enfin, les RSSI en temps partagé permettent clairement de mutualiser des ressources humaines rares et coûteuses.
Directeur de l’organisme de formation cyber Sysdream, Ylan Elkeslassy souligne : « Peu de PME ont la capacité de créer un poste à temps complet. Elles font donc appel à un expert en temps partagé. C’est un moyen pour elles d’avoir quelqu’un qui soit garant de la sécurité du SI, qui puisse sensibiliser le personnel et jouer le rôle de pendant au DSI. »
L’étude Cybersécurité – Données de marché (en M€) et perspectives d’évolution 2022-2027 de Markess by Exaegis montre la croissance rapide de la demande de services en cybersécurité auprès des entreprises françaises.
Une externalisation synonyme d’automatisation à outrance
De nombreux MSP et ESN s’intéressent aujourd’hui au marché cyber et montent des activités MSSP. Fanny Sicard, ingénieur avant-vente en charge de l’offre MSP chez Hermitage Solutions, précise : « Pour un intégrateur ou une ESN, devenir MSSP implique d’une part de mettre en oeuvre de nouveaux outils, mais aussi de standardiser ses processus et structurer son offre. Cela passe par des outils de RMM (Remote Monitoring and Management), de PSA (Professional Services Automation) et par la documentation des processus, l’idée étant de réduire le plus possible les coûts d’exploitation pour améliorer sa rentabilité. »
L’automatisation est la règle dans les SOC managés et ce sont les analystes de niveau 1, dédiés au tri des milliers d’alertes, qui sont remplacés par des process portés par les SOAR (Security Orchestration, Automation and Response). À chaque faux positif qui se répète, un script va éliminer l’alerte et soulager d’autant les équipes de permanence.
Pierre Haïkal
SOC Manager France chez Nomios
« Opérer un SOC sans analystes de niveau 1, c’est déjà une réalité chez Nomios. Nous avons aujourd’hui un taux d’automatisation de 90 % de l’ensemble des alertes qui arrivent sur notre SOAR. Cette automatisation est réalisée par une équipe outillage qui développe toute l’ingénierie nécessaire sur le SOAR et travaille avec le concours des analystes de niveau 2 et 3 à réaliser ces automatisations. »
Certains ont poussé le concept très loin en éliminant ce niveau 1 : aujourd’hui les MSSP revendiquent des taux d’automatisation de 90 % des alertes. Pour y parvenir, ils ont modifié leur organisation interne. Auparavant, les analystes de niveau 2 et 3 étaient chargés de développer leurs automatisations en plus de leurs tâches d’investigation et de remédiation. Désormais, une équipe dédiée vient les aider dans cette tâche. « Le fonctionnement est hybride : il est très important que les N2 et N3 soient toujours capables d’automatiser, de manière à ce qu’ils continuent de comprendre ce que fait l’équipe dédiée », continue Fanny Sicard.
L’autre conséquence est une élévation du niveau d’expérience des nouvelles recrues : « De fait, en 2025, nous avons recruté des analystes N2 et N3 et aucun analyste N1. Les N3 sont des experts en détection avec une dizaine d’années d’expérience, des experts en investigation et réponse à incident. »
L’IA pallie déjà le manque de personnel dans les SOC
Les responsables de SOC mutualisés sont dans une véritable course à l’automatisation pour absorber de nouveaux clients tout en assurant la rentabilité des services délivrés. « Nous sommes en concurrence avec l’offre Micro-SOC d’Orange Cyberdefense, totalement automatisée et avec peu d’interactions humaines, explique par exemple Franck Burtin, directeur général de SNS Security. De notre côté, nous développons des playbooks, des automatisations, nous exploitons des sources de CTI et nous implémentons de l’IA. Mais si 70 % des alertes sont traitées en automatique, 30 % donnent encore lieu à une intervention humaine. »
Franck Burtin
Directeur général de SNS Security
« Les PME et les ETI n’ont pas les compétences pour internaliser un SOC. La technologie et les menaces évoluent trop vite. Nous leur mettons à disposition trois SOC, deux en France et un troisième au Vietnam afin de suivre les incidents de sécurité en H24. Pour proposer un tel service aux PME, la recette est de mutualiser le backend, avec le même XDR Sequoia pour tous nos clients. Mais si nous proposons l’EDR de SentinelOne en priorité à nos nouveaux clients, nous restons capables d’opérer tous les XDR du marché. »
Selon les éditeurs, la solution est technologique : l’IA va prendre en charge les tâches les plus élémentaires de la cybersécurité et consacrer les maigres moyens humains aux tâches les plus nobles. « Sur une étude que nous avons menée auprès de 8 000 RSSI, dont 300 en France, 89 % des répondants expliquent qu’ils utilisent l’IA pour détecter les menaces, y répondre et remonter les systèmes, résume Éric Vedel, directeur des activités et conseils en cybersécurité de Cisco. Ces outils font aujourd’hui consensus dans les SOC afin d’atteindre une efficacité optimale. C’est une réalité et nous fournissons une intelligence augmentée avec tous nos outils XDR et SOAR au travers d’assistants conversationnels qui vont aider les analystes. »
Les copilotes et autres assistants IA assurent l’enrichissement des données relatives aux alertes, effectuent les premières corrélations afin de prémâcher le travail des humains.
Pour autant, la remédiation automatique reste encore très limitée : « L’IA permet de simplifier la prise de décision des analystes, et d’automatiser le traitement de certains cas simples : si on détecte un fichier malicieux déjà bien identifié par plusieurs sources CTI, alors on peut le bloquer automatiquement. L’IA peut déjà réduire ce que l’on appelle l’alerte-fatigue chez nos analystes. »
En gommant les aspects les plus rébarbatifs du métier, peut-être ces outils vont-ils aussi contribuer à redorer le blason de la cyber et convaincre enfin les populations les moins représentées – jeunes, femmes – à s’y intéresser enfin.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
