1. Le marché MSSP en France : chiffres et tendances 2025

Le marché mondial des services de sécurité managés (MSSP) dépasse les 30 milliards de dollars en 2025 et devrait atteindre 65 milliards en 2030 selon IDC. En France, la dynamique est encore plus marquée en raison de la transposition de NIS2 et du renforcement des obligations réglementaires qui créent une demande structurelle de services de sécurité externalisés.

Plusieurs facteurs convergents alimentent cette croissance :

• Pénurie de talents : la France manque d’environ 15 000 professionnels de la cybersécurité selon les estimations sectorielles. Les PME ne peuvent pas recruter.
• Sophistication des attaques : les ransomwares, le phishing ciblé et les supply chain attacks affectent désormais des organisations de toute taille.
• Pression réglementaire : NIS2, DORA, RGPD créent des obligations auxquelles les PME ne peuvent répondre sans aide externe.
• Sensibilisation post-Covid : la massification du télétravail a exposé des vulnérabilités que beaucoup d’organisations cherchent maintenant à adresser.

Pour les MSP généralistes, la cybersécurité représente le levier d’upsell le plus immédiat et le plus rentable. Les marges sur les services de sécurité (25-40%) sont nettement supérieures à celles des services d’infrastructure traditionnels (10-15%).

2. MSP vs MSSP : les différences et comment évoluer

La frontière entre MSP et MSSP s’estompe progressivement. La plupart des MSSP d’aujourd’hui sont d’anciens MSP qui ont structuré une offre de sécurité. Voici comment se positionner et évoluer :

Le MSP traditionnel

Le MSP gère l’infrastructure IT de ses clients : serveurs, postes, réseau, sauvegarde, helpdesk. Il intervient de manière réactive (résolution d’incidents) ou proactive (maintenance préventive). La cybersécurité y est souvent traitée en périphérie : antivirus, pare-feu de base, mises à jour.

Le MSSP spécialisé

Le MSSP fait de la sécurité son cœur de métier. Il propose : monitoring SOC (détection et réponse aux incidents 24/7), gestion des vulnérabilités, tests de pénétration, conformité réglementaire, sensibilisation des utilisateurs, et réponse aux incidents. Sa proposition de valeur est la réduction du risque cyber mesurable.

L’évolution MSP → MSSP : par où commencer ?

La transition la plus accessible est de commencer par la gestion des vulnérabilités et la conformité réglementaire, deux services à forte valeur perçue, automatisables avec les bons outils, et directement liés aux obligations de NIS2 et RGPD que vos clients doivent remplir. Un scanner agentless multi-tenant comme Kapelgy permet de lancer ce service sans recruter une équipe de sécurité.

3. Architecture multi-tenant : isolation, sécurité et performance

L’architecture multi-tenant est la fondation technique qui rend possible l’industrialisation des services MSSP. Comprendre ses enjeux permet de choisir la bonne plateforme.

Isolation logique vs isolation physique

L’isolation logique consiste à partager la même infrastructure entre tous les tenants, avec une séparation applicative stricte des données. Chaque requête est filtrée par un mécanisme de tenant-id, et les données sont chiffrées avec des clés différentes par tenant. C’est le modèle SaaS standard, moins coûteux et plus scalable.

L’isolation physique (instances dédiées par client) offre les garanties les plus fortes mais à un coût nettement supérieur. Elle est réservée aux clients avec les exigences de sécurité les plus strictes (OIV, secteur financier).

Exigences d’isolation pour un MSSP

Pour un MSSP, les données de chaque client sont extrêmement sensibles : elles décrivent précisément les vulnérabilités de l’infrastructure du client. Une fuite d’un tenant vers un autre serait catastrophique. Les exigences minimales :

• Chiffrement des données par tenant avec des clés distinctes
• Contrôle d’accès basé sur les rôles (RBAC) avec validation du tenant à chaque requête
• Journalisation des accès par tenant avec traçabilité complète
• Tests de ségrégation réguliers pour valider l’isolation

Les 3 rôles dans une architecture MSSP multi-tenant

• Admin plateforme : accès global, gestion des tenants MSP, supervision globale, paramétrage des politiques.
• MSP : accès à l’ensemble de son portefeuille clients, création de nouveaux tenants clients, gestion des scans et alertes de tous ses clients.
• Client final : accès limité à ses propres données, consultation de son tableau de bord et de ses rapports de sécurité.

4. Fonctionnalités clés d’une plateforme MSSP efficace

Au-delà de l’architecture, voici les fonctionnalités qui déterminent l’efficacité opérationnelle d’une plateforme MSSP :

Gestion centralisée des actifs

Vision unifiée de l’ensemble des actifs surveillés pour tous les clients : domaines, IP, URLs, APIs. Catégorisation par criticité, par client, par type de service. Détection automatique des nouveaux actifs exposés.

Planification des scans

Capacité à planifier des scans récurrents (quotidiens, hebdomadaires, mensuels) sur l’ensemble du portefeuille, avec des plages horaires configurables pour éviter d’impacter la production des clients.

Console d’alertes unifiée

Toutes les alertes de tous les clients dans une vue unique, filtrables par criticité, par client, par type de vulnérabilité. Priorisation intelligente pour que l’analyste traite d’abord les alertes les plus critiques.

API complète

Une API REST complète permet l’intégration avec les outils PSA (ConnectWise, Autotask), les SIEM et SOAR existants, et les systèmes de ticketing (ServiceNow, Jira). Essentiel pour automatiser les workflows opérationnels.

WebSocket pour le temps réel

Les alertes critiques doivent être transmises en temps réel. Une connexion WebSocket évite le polling et garantit une latence minimale entre la détection et l’alerte de l’analyste.

5. Gestion des alertes et priorisation : éviter la fatigue des alertes

La fatigue des alertes est le principal défi opérationnel des équipes SOC et MSSP. Une plateforme générant des centaines d’alertes quotidiennes sans priorisation intelligente devient rapidement inutilisable.

Priorisation par criticité et contexte

Toutes les vulnérabilités ne méritent pas la même urgence. La priorisation doit tenir compte de plusieurs facteurs : le score CVSS de la vulnérabilité, la criticité de l’actif affecté (production vs. développement, données sensibles vs. contenu public), l’exploitabilité connue (vulnérabilité activement exploitée dans la nature ?), et l’exposition (actif accessible publiquement ou uniquement en interne).

Corrélation d’alertes par IA

Une vulnérabilité isolée peut sembler bénigne. Plusieurs vulnérabilités sur le même actif peuvent constituer un chemin d’attaque critique. La corrélation d’alertes par intelligence artificielle identifie ces combinaisons et élève la priorité en conséquence.

Déduplication et suppression du bruit

Un bon moteur de déduplication évite de générer plusieurs alertes pour la même vulnérabilité détectée à des scans successifs. Les vulnérabilités acceptées comme risque résiduel peuvent être marquées pour ne plus générer d’alertes.

SLA par criticité

Définir des SLA de remédiation par niveau de criticité permet de structurer le service et de définir des engagements contractuels clairs : vulnérabilité critique → remédiation sous 24h, haute → 72h, moyenne → 2 semaines, faible → prochain cycle de maintenance.

6. Rapports clients automatisés : le levier de rétention et d’upsell

Le rapport client est l’interface principale entre le MSSP et son client final. Un rapport de qualité démontre la valeur du service, justifie le renouvellement et ouvre des opportunités d’upsell. Voici les bonnes pratiques :

Rapport exécutif mensuel

Destiné au dirigeant ou au DSI, ce rapport synthétise en une page : le score de sécurité du mois, les principales menaces détectées, les actions réalisées, et les recommandations prioritaires pour le mois suivant. Il doit être compréhensible par un non-technicien.

Rapport technique hebdomadaire

Destiné aux équipes IT, ce rapport détaille les vulnérabilités détectées, leur criticité, les recommandations de remédiation et le suivi des actions correctives en cours.

Rapport de conformité trimestriel

Pour les clients soumis à des obligations réglementaires (ISO 27001, RGPD, PCI-DSS), un rapport de conformité trimestriel documente l’état par rapport aux contrôles exigés et constitue une preuve pour les auditeurs.

Portail client en self-service

Un portail web permettant au client de consulter en temps réel son score de sécurité, ses alertes actives et l’historique des rapports améliore significativement la satisfaction et réduit les sollicitations au support.

7. Intégration SIEM/SOAR : vers le SOC managé

Pour les MSSP souhaitant proposer un service SOC (Security Operations Center) managé, l’intégration avec les plateformes SIEM et SOAR est indispensable.

SIEM (Security Information and Event Management)

Les SIEM (Splunk, Microsoft Sentinel, IBM QRadar, Elastic SIEM) agrègent et corrèlent les événements de sécurité de l’ensemble de l’infrastructure. Les résultats d’audit agentless doivent être exportés vers le SIEM pour enrichir le contexte des alertes : une alerte de détection d’intrusion prend une signification différente si l’on sait que le système cible a une vulnérabilité d’injection SQL active.

SOAR (Security Orchestration, Automation and Response)

Les plateformes SOAR (Palo Alto Cortex XSOAR, Splunk SOAR, IBM Resilient) automatisent les workflows de réponse aux incidents. L’intégration avec une plateforme d’audit agentless permet d’automatiser : l’ouverture d’un ticket de remédiation dès la détection d’une vulnérabilité critique, la notification du client, le suivi jusqu’à la correction et la validation par un re-scan.

Formats d’intégration standardisés

Les intégrations les plus courantes passent par : API REST avec webhooks pour les alertes en temps réel, export STIX/TAXII pour les flux de threat intelligence, Syslog/CEF pour l’intégration SIEM classique, et connecteurs natifs pour les plateformes majeures.

8. Modèles commerciaux et tarification des services MSSP

Construire un modèle commercial rentable est aussi important que de choisir la bonne technologie. Voici les approches les plus courantes :

Tarification par actif surveillé

Le modèle le plus transparent : facturation par domaine, IP ou URL surveillé(e) par mois. Facile à comprendre pour le client, directement corrélé au volume de travail pour le MSSP. Exemple : 50€/mois par domaine audité de manière continue.

Forfait mensuel par tier de service

Bronze / Silver / Gold : les clients choisissent un niveau de service et paient un forfait mensuel fixe. Plus simple à vendre mais moins précis sur la valeur délivrée. Adapté aux clients voulant un budget prévisible.

Facturation à l’incident / au rapport

Modèle transactionnel : le client paie pour chaque rapport d’audit ou chaque incident traité. Adaptés aux clients avec des besoins irréguliers, moins adapté à une relation MSSP long-terme.

Wholesale et marge revendeur

Beaucoup de plateformes MSSP proposent une tarification wholesale permettant au revendeur de définir sa propre marge. Le MSSP achète des capacités à un tarif partenaire et les revend au prix de son choix. Cette approche simplifie la gestion et garantit la marge.

9. La conformité réglementaire comme service (Compliance-as-a-Service)

Pour les MSSP cherchant à se différencier, le Compliance-as-a-Service (CaaS) est l’une des offres à la plus forte valeur ajoutée et à la récurrence la plus assurée. Les obligations réglementaires (RGPD, NIS2, ISO 27001, PCI-DSS) ne disparaissent pas — elles créent un besoin permanent.

Une offre CaaS MSSP inclut typiquement :

• Audit continu de la conformité technique par scanning agentless
• Mapping automatique aux contrôles réglementaires applicables
• Rapports de conformité trimestriels auditables
• Assistance à la préparation des audits de certification (ISO 27001, HDS…)
• Veille réglementaire et adaptation des contrôles aux nouvelles exigences

Ce type d’offre se contractualise sur des engagements annuels ou pluriannuels, offrant une visibilité revenus excellente pour le MSSP.

10. La plateforme MSP de Kapelgy : audit agentless + PQC + conformité multi-tenant

Le portail MSP de  » class= »article-cta-link »>Découvrir le portail MSP multi-tenant Kapelgy en démo →