EDR, XDR et NextGen SOC : comment anticiper l’incident avant qu’il ne coûte des millions à votre SI

Alors que les menaces sont de plus en plus diversifiées, selon advens– 87% des professionnels interrogés ont affirmé avoir été confrontés à des cyberattaques pilotées par l’IA –, le phishing reste le vecteur d'attaque dominant (60%), suivi par l'exploitation de failles (47%) et les dénis de service (41%) d' après le Baromètre CESIN, 2025. On assiste à une véritable surenchère : attaques ciblées visant les hôpitaux et mairies, à des tentatives de double extorsion, à du Ransomware as a Service (RaaS), à des attaques visant la supply chain, etc.

Alors que l'intelligence artificielle se démocratise, les cybercriminels l’exploitent pour automatiser et personnaliser leurs offensives. Ainsi les IA aident à générer des emails de phishing crédibles, à adapter des malwares pour éviter leur détection et à cibler rapidement les failles dans les infrastructures. Avec ces IA, on peut lancer des campagnes de phishing ultra-ciblées, et créer des deepfakes (audio & vidéo) pour tromper utilisateurs et entreprises.
Selon Capgemini, 45% des entreprises ont été victimes de deepfakes sophistiqués sur les deux dernières années, et la croissance des attaques alimentées par l’IA a été de
135%⁽¹⁾ en moins de 2 ans.

De nombreuses entreprises ont déjà la mesure du phénomène en intégrant des briques de protection traditionnelles. Antimalware et pare-feu font partie des contre-mesures intégrées dans les solutions EPP (Endpoint Protection Platform) capables, sur un poste donné, de stopper des menaces par phishing, d’identifier des failles zero day, d'alerter sur des attaques réseau, trouver un virus dans un fichier téléchargé, etc.

Cependant, ces outils ne sont pas toujours en mesure d’analyser précisément ce qui se passe sur l’ensemble du système d’information (SI) à un instant T, ni de détecter de nouveaux types de menaces laissant peu de traces. Si bien que, à ce jour, ces outils s’avèrent inaptes à réagir promptement face à des attaques qui seraient ciblées.

Résultat, ils n’arrivent plus à protéger efficacement l’organisation. Face à un environnement digital de plus en plus complexe, il est vivement recommandé aux ETI et grands groupes de revoir leur sûreté en mettant en place des solutions de sécurité de dernière génération, pérennes et évolutives.

Le SOC est historiquement la tour de contrôle du SI de l’entreprise. Son rôle consiste à détecter, alerter et fournir un rapport détaillé de tout incident de sécurité afin d’aiguiller la réaction à l’incident. Il doit ensuite passer la main à une autre équipe, chargée de répondre à l’incident. Permettant une approche de sécurité informatique totalement sur mesure, le SOC est assez complexe à installer et à maintenir dans le temps et représente un coût non négligeable, même pour les structures importantes.

Le SOC traditionnel n’est plus toujours en mesure de répondre totalement aux menaces diffuses et souterraines. Moins de 10 % des alertes seraient examinées par les équipes de sécurité, selon Westcon-Comstor. De plus, sans automatisation ni remédiation et avec un taux de faux positifs de 40 % à 50 %, son efficacité pose question par rapport à son budget de fonctionnement.

SFR Business déploie une nouvelle génération de SOC pour répondre aux enjeux de sécurité des ETI et grands groupes. La solution repose sur un service managé basé sur un orchestrateur de sécurité (SOAR - Security Orchestration, Automation and Response) venant se positionner entre le SI à protéger, les éléments de sécurité et les équipes de sécurité SFR Business.

L’offre de services flexibles clé en main NextGen SOC est composée de modules de sécurité plus ou moins avancés. Le prérequis est de déployer une première plateforme de protection endpoint (EPP), puis d’évoluer vers une brique EDR ou XDR assurant une couverture étendue à l’entreprise. Celle-ci peut alors rehausser son niveau de sécurité global en recourant à l’outil et aux équipes NextGen SOC, qui lui confèrent des services de détection et de protection supplémentaires.

NextGen SOC est doté d’un dashboard qui assure une visibilité totale des événements du SI 24/7. La communication des incidents (tentatives d’intrusion, exfiltration de données, injection de malwares…) s’effectue en quasi-temps réel par SMS, e-mail, etc.

L’un des principaux atouts de l’offre NextGen SOC réside en sa capacité à effectuer de l’inter-remédiation et l’inter-enrichissement. En cas de cyberattaque, la solution est capable de se connecter sur des assets de l’entreprise afin de procéder à une recherche contextualisée (annuaire, proxy web, messagerie…).
Pour la gestion des incidents, qui s’effectue en coordination avec les équipes de sécurité de l’entreprise, la solution permet également de déclencher des actions quasi immédiates sur des points clés du système d’information pour y bloquer par exemple un flux ou un compte utilisateurs compromis.

Le NextGen SOC prend ainsi le pas sur le SOC traditionnel à travers de nouveaux outils, tout en permettant d’exploiter toutes les capacités de détection et réaction des EDR/XDR. Il fédère des éléments qui s’appuient sur l’IA, l’apprentissage automatique et la Threat Intelligence* pour optimiser la gestion des alertes.
Ses capacités d’automatisation et de remédiation font tomber les faux positifs entre 5 % et 12 % et permettent de gagner de précieuses minutes en cas d’incident. De plus, ses playbooks, ou scénarios de réponse, sont personnalisables pour les besoins organisationnels, fonctionnels ou risques de l’entreprise.

Avec la montée de nouvelles menaces diffuses, la protection du SI de l’entreprise se complexifie, et le SOC traditionnel n’apporte plus l’efficacité suffisante pour relever ce défi. Les nouvelles briques de sécurité que représentent l’EDR, le XDR, et le SOC de nouvelle génération viennent ainsi simplifier, automatiser et accélérer la détection et remédiation de ces nouvelles menaces. La solution NextGen SOC de SFR Business renforce efficacement la supervision et la sécurité de votre système d’information 24/7.