1. Après une approche classique, puis hybride, la tendance s’oriente vers un SOC augmenté. Le SOC de 2025 n’est plus seulement un centre de supervision : c’est un dispositif intégré de pilotage de la cybersécurité, articulant en temps réel, supervision, réponse, conformité et gestion des risques. Les outils d’Identity Access Management (IAM), de Privileged Access Management (PAM) ou de UEBA (User and Entity Behavior Analytics) doivent être pleinement intégrés au SOC pour analyser les comportements, surveiller les déviations et réagir rapidement à toutes compromissions d’accès.

2. Trois architectures de SOC sont envisageables :

• Un SOC centralisé permet à une équipe unique exploitant une infrastructure communautaire d’effectuer la surveillance, la détection, l’analyse et la réponse aux incidents

• Avec un SOC fédéré, plusieurs équipes opèrent de façon autonome au sein de différentes unités opérationnelles ou régions géographiques.

• Un SOC Cloud Natif utilise les atouts du serverless, des services managés et de la flexibilité du cloud pour surveiller, détecter et répondre aux incidents de sécurité, qu’ils surviennent sur les infrastructures cloud, On Premise ou en environnements hybrides.

La fiche pratique propose un tableau synthétique des avantages et inconvénients de chacune.

3. Intégration du cadre réglementaire. La mise en œuvre d’un SOC est encadrée par un ensemble de lois, de règlementation et de normes qui visent notamment à garantir la protection des données (RGPD), ainsi que la sécurité des SI (NIS2, DORA et le Cyber Résilient Act). L’adoption de normes et de standards comme ISO 27001, SOC 2, NIST Cybersecurity Framework, ou encore SOC-CMM reste un moyen efficace de structurer et d’améliorer les pratiques d’un SOC. Une veille réglementaire continue et une intégration proactive des exigences sont indispensables.

4. Un SOC performant s’appuie sur un socle technologique robuste, interopérable et en constante évolution, constitué notamment de technologies comme :

• SIEM : avec l’avènement du Cloud, le SIEM doit désormais traiter un volume massif de données et servir de référentiel de vérité (single source of truth) sur les incidents cyber

• XDR : régulièrement couplés à des algorithmes de GenAI, les XDR permettent de générer des rapports précis à plusieurs niveaux de lecture

• SOAR : brique incontournable des SOC modernes, le SOAR permet d’orchestrer les outils, d’automatiser les réponses et de structurer les processus d’investigation.

• CTI (Cyber Threat Intelligence) ; Intégrée au SOC, elle permet d’anticiper certaines menaces, d’enrichir les alertes pour améliorer leur priorisation, de mieux comprendre le contexte d’un incident et d’adapter les mécanismes de défense.

L’efficience d’un SOC et sa force réside de plus en plus dans sa capacité à faire dialoguer ces outils. La notion d’interopérabilité passe par des APIs ouvertes, l’utilisation de standards (STIX, TAXII...), et des intégrations natives ou personnalisées entre SOAR, SIEM, EDR/XDR, ITSM...

5. Le SOC moderne fait face à plusieurs défis majeurs : 

• La guerre des talents le recrutement devient une lutte concurrentielle, d’autant plus intense que les talents expérimentés sont rares et fortement sollicités par le marché.

• L’intégration technique et organisationnelle Le manque de normalisation des données, l’absence de gouvernance transverse et les cloisonnements entre équipes IT et sécurité freinent la réactivité et réduisent l’efficience des opérations de sécurité. 

• Le coût et la démonstration de la valeur. La mesure du ROI reste un sujet complexe. La mise en place de KPI orientés valeur (temps moyen de détection et de réponse, incidents évités, exposition réduite, …) devient essentielle pour légitimer les investissements

Malgré ces difficultés, l’évolution du SOC ouvre un champ d’opportunités déterminantes 

• L’industrialisation de la détection et de la réponse Grâce à l’automatisation croissante (SOAR), à l’intelligence artificielle le SOC moderne peut, fluidifier ses processus et améliorer la scalabilité de ses opérations. 

• Le pilotage par la gouvernance et la valeur. Le SOC devient un levier de pilotage, un indicateur de santé numérique, capable d’éclairer la prise de décision au niveau de la direction générale 

• La convergence avec d’autres fonctions cyber. Ce mouvement vers un SOC augmenté, plus intelligent, agile et orienté vers l’anticipation, ouvre la voie à une nouvelle génération de centres de cybersurveillance.
   

👉 Retrouvez l’intégralité de la fiche pratique « La révolution silencieuse des SOC » publiée en Juin 2025 dans la plateforme digitale du CRiP : ici.