L’élévation du niveau d’exigence en matière de cybersécurité oblige les prestataires IT à interroger la portée de leur offre. Pour un nombre croissant d’entre eux, la bascule vers un modèle MSP est amorcée, mais les contours de ce modèle restent encore parfois flous, et sa mise en œuvre se heurte à des contraintes techniques, humaines et économiques.

Sébastien Gest, fondateur du cabinet ndnm, accompagne depuis plusieurs années des prestataires dans la structuration de leur approche commerciale. Il partage ici les principaux enseignements tirés d’un panel d’acteurs interrogés dans le cadre d’une étude menée sur leur positionnement et leur maturité.

MSP et MSSP, deux réalités distinctes

Le premier constat porte sur l’usage du terme MSSP, que près d’un quart des répondants revendiquent. Une proportion que Sébastien Gest invite à relativiser, au regard des capacités réellement déployées par ces structures. « Le rôle du MSSP ne consiste pas à gérer les postes de travail, mais à assurer la sécurité globale de l’entreprise, qu’il s’agisse du cœur et de la périphérie du réseau, des terminaux fixes comme mobiles. » À l’inverse, le MSP conserve un périmètre plus centré sur le poste utilisateur, la messagerie, la sauvegarde et l’infogérance.

L’étude révèle que si 54 % des prestataires interrogés se déclarent MSP, ce positionnement recouvre des réalités hétérogènes. Certains intègrent une tarification récurrente sans disposer d’une stack technique complète ; d’autres exploitent des outils sans les inscrire dans une logique d’offre packagée. Les outils RMM (Remote Monitoring and Management) et PSA (Professional Services Automation) sont pourtant au cœur du fonctionnement MSP, permettant supervision, gestion des tickets et suivi des prestations. La mise en œuvre concrète de ces outils reste cependant inégale.

Des briques cybersécurité encore fragmentées

La cybersécurité constitue un bon révélateur de cette diversité de maturités. De nombreuses structures proposent des services de sécurité, mais ceux-ci se limitent souvent à des briques isolées, comme des solutions EDR (Endpoint Detection and Response). Sébastien Gest précise : « Le prestataire informatique traditionnel déploie généralement de l’EDR, sans toutefois aller jusqu’à une supervision managée, faute de ressources internes. Ces solutions sont souvent limitées à des fonctions de mise en quarantaine. » La protection existe, mais elle ne repose pas encore sur une capacité de remédiation avancée ou d’analyse approfondie des alertes.

Certains outils, plus accessibles, permettent néanmoins d’amorcer une offre cohérente. C’est le cas de solutions de sensibilisation comme USecure, que Sébastien Gest décrit comme un produit d’appel efficace : « C’est une solution abordable, efficace, et particulièrement adaptée comme point d’entrée dans une offre cyber. » Leur déploiement permet d’initier une relation avec le client, sans surinvestissement technique.

Le SOC, un objectif encore inaccessible pour la majorité des MSP

À mesure que les besoins en sécurité s’élargissent, une minorité de prestataires cherche à intégrer des briques plus avancées, comme un SOC (Security Operations Center). Mais ce niveau d’exigence reste aujourd’hui hors de portée pour la majorité. Le frein est d’abord économique. « Le coût d’un analyste est significatif : il est difficile d’en recruter un à moins de 75 000 euros par an », souligne Sébastien Gest, en rappelant que le SOC impose aussi une isolation physique et logique des environnements, par exemple via des diodes ou cassures protocolaires. L’effort d’investissement humain et matériel est tel que seuls des acteurs structurés, comme Nao Secure (groupe Nao Team) ou XEFI, parviennent à l’intégrer dans leur modèle.

Face à cette difficulté, la majorité des MSP s’oriente vers des offres de type MDR (Managed Detection and Response), proposées par des éditeurs. Cette stratégie permet de proposer une réponse à incident sans internaliser l’analyse. « De nombreux éditeurs proposent aujourd’hui des services MDR, parmi lesquels Sophos, Trend Micro, WeSecure, Rocket Cyber via Kaseya, ou encore N-able. » Ce modèle soulève cependant des questions de dépendance technologique, mais aussi de souveraineté, en particulier quand les services sont opérés depuis l’étranger. Sébastien Gest alerte à ce sujet sur les risques liés à d’éventuels revirements politiques ou réglementaires dans certains pays fournisseurs.

Gouvernance et conformité : quelles attentes ?

L’évolution des attentes des clients amène aussi les MSP à s’interroger sur leur capacité à intervenir sur des sujets de gouvernance et de conformité. Ce mouvement s’accélère, porté par des contraintes contractuelles, mais aussi par les assureurs. Le sujet dépasse largement la simple fourniture d’outils techniques. Il s’agit d’accompagner les entreprises dans des démarches structurantes, comme les diagnostics sur référentiels ANSSI ou le suivi d’un plan d’alignement vers des objectifs de sécurité. « Les MSP sont de plus en plus sollicités pour aller au-delà de la technique, et intervenir sur des problématiques de gouvernance », explique Sébastien Gest. Il insiste également sur l’idée que la conformité n’est jamais totale, mais constitue un processus d’amélioration continue.

Pour répondre à cette demande, certains prestataires intègrent un rôle de RSSI externalisé, souvent sous la forme d’un vCISO. Cette fonction permet de compléter l’offre sans recruter en interne un profil rare et coûteux. « Ce type d’accompagnement inclut fréquemment un service de RSSI externalisé, souvent désigné sous le terme de vCISO », précise-t-il. Cette approche donne aux prestataires un levier pour se positionner sur des missions plus stratégiques, au-delà de l’exploitation technique.

L’ensemble de ces constats invite à une forme de lucidité opérationnelle. Les ambitions sont fortes, les besoins réels, mais les marges de manœuvre restent contraintes pour une majorité de structures. « L’enjeu est d’identifier ce que l’on est en mesure d’opérer en interne, ce qui doit être confié à un tiers, et de savoir le formuler de manière lisible pour le client », résume Sébastien Gest. La maturité d’un MSP ne se mesure donc pas uniquement à sa stack ou à son catalogue, mais à sa capacité à arbitrer, à structurer et à formaliser un périmètre de services cohérent, compris du client et soutenable pour l’équipe. C’est sur ce terrain que se joue désormais la crédibilité des prestataires IT.

Photo : Sébastien Gest, fondateur du cabinet ndnm

Propos recueillis par Guilhem Thérond, rédacteur en chef de ChannelBiz.

