SOC souverain : comment Formind garantit la maîtrise des données ?

Face à la montée des tensions géopolitiques, la multiplication des cyberattaques et la densification du paysage réglementaire européen (NIS2, DORA, RGPD), les entreprises souhaitent avoir le contrôle sur leurs données et leurs outils numériques.

Puisqu’il ne fait plus sens de fournir la gestion de la sécurité informatique à des entreprises étrangères qui pourraient être impactées par des changements soudains de réglementations, la notion de SOC souverain semble désormais au cœur des préoccupations. Un modèle défendu par Formind qui combine performance opérationnelle, maîtrise technologique et gouvernance des données.

• Qu’est-ce qu’un SOC souverain ?
• Sur quels critères objectifs baser cette évaluation ?
• Peut-on définir différents niveaux de souveraineté selon la sensibilité des données et les besoins de chaque organisation ?
• Et surtout, comment Formind applique ces principes dans ses opérations au quotidien ?

Réponses et éclairages de nos experts dans cet article.

Qu’est-ce qu’un SOC souverain ?

Si la notion de souveraineté associée à un SOC (Security Operation Center) peut sembler abstraite, elle repose en réalité sur trois critères : la maîtrise de la technologie, la maîtrise de la donnée et la maîtrise de l’humain.

Maîtrise de la stack technologique

La maîtrise de la stack technologique consiste à conserver le contrôle sur les outils qui composent le SOC tels que le SIEM, les EDR, le NDR, les sondes et autres outils de supervision.

Si l’utilisation de solutions logicielles étrangères n’est pas un problème en soi, leur usage implique cependant une dépendance juridique, économique et stratégique.

Or il existe désormais, en France, un écosystème capable de rivaliser face aux leaders mondiaux présents majoritairement en Israël et outre-Atlantique.

Comme le rappelle Geoffrey Montel, Manager SOC chez Formind : « choisir une solution technologique française quand la performance est équivalente, c’est aussi soutenir des éditeurs capables de tenir tête aux grands acteurs internationaux, et renforcer une filière qui progresse vite ».

Parmi ces alternatives crédibles :

• Harfanglab pour les technologies EDR
• Pradeo pour la sécurité des terminaux mobiles
• Custocy et Seckiot pour la détection réseau

Un SOC peut ainsi intégrer des solutions françaises sans perdre en efficacité. Le point clé étant la faisabilité : si une solution française offre le même niveau de performance et un coût comparable, il est logique de la choisir.

C’est d’ailleurs l’approche défendue chez Formind comme le rappelle Charles Melin Associé et Directeur SOC & CERT chez Formind : « non par principe, mais parce que c’est un choix de raison, cohérent et durable. La souveraineté n’est pas l’autarcie, elle consiste à réduire la dépendance là où c’est possible. »

Maîtrise de la donnée

La maîtrise de la donnée constitue le deuxième point à prendre en compte :  qui contrôle les données de sécurité et quels en sont leur usage ?

En matière de stockage et de traitement des données, la position de Formind est la suivante : les données restent dans le système d’information du client, en France dans la majorité des cas et chez des fournisseurs non soumis aux clauses d’extraterritorialité ce qui réduit le risque d’exposition juridique.

Cette logique s’applique également aux outils d’intelligence artificielle. Une attention particulière est portée à ce que les données utilisées ne soient ni copiées ni utilisées pour entraîner des modèles hors du périmètre contractuel ou souverain. L’IA doit être soumise aux mêmes exigences de gouvernance que le SOC : transparence, maîtrise, conformité.

À la question de la consultation des données par des utilisateurs. Un SOC qui opère sur une amplitude horaire 24/7 nécessite que des analystes accèdent aux données pour traiter les alertes.

Dans le cas de Formind, cette consultation peut être réalisée depuis l’étranger (Canada, Taïwan), sans transfert ni stockage hors de l’Union européenne : les données restent en France, mais sont visualisées à distance. Point important, puisqu’une simple consultation transfrontalière constitue un traitement juridique.

La maîtrise ne dépend donc pas de la localisation physique des personnes, mais du fait que l’accès reste soumis au droit français et que la donnée ne quitte pas le périmètre d’hébergement.

Maîtrise de l’humain (organisation & sous-traitance)

Dans un contexte où la cybersécurité repose sur des chaînes de sous-traitance de plus en plus complexes, la souveraineté d’un SOC ne dépend pas uniquement des technologies employées, mais aussi des personnes qui l’opèrent.

Pour Geoffrey Montel : « la sous-traitance étrangère est un point de vigilance majeur. Certaines organisations choisissent d’externaliser tout ou partie du traitement des alertes à des équipes situées hors d’Europe (Maghreb, île-Maurice), souvent pour des raisons de coûts ou de disponibilité. »

Or, cela implique un accès direct à des données sensibles, parfois critiques, par des entités qui relèvent d’autres juridictions et peuvent avoir des intérêts nationaux divergents.

Ce risque est particulièrement marqué sur le triage, cette première étape du traitement des alertes qui, bien qu’opérationnelle et volumique, touche directement à l’information de sécurité. Dès lors qu’un analyste accède à une alerte depuis l’étranger, même sans stocker les données, la souveraineté du traitement est compromise.

C’est précisément ce que Formind a choisi d’éviter. Le SOC est opéré exclusivement par des équipes françaises, qu’elles soient en France ou en mobilité dans le cadre du modèle « follow-the-sun« . Ces analystes sont formés, habilités et rattachés à une gouvernance française, sans aucune délégation à des prestataires étrangers.

Chaque alerte, chaque traitement et chaque décision reste sous autorité française — un choix qui relève autant d’une stratégie humaine que d’un positionnement technique.

Adapter son niveau de souveraineté aux enjeux réels de l’organisation

Dans un environnement numérique où les dépendances technologiques sont multiples, la souveraineté d’un SOC doit être pensée comme un curseur, que chaque organisation ajuste selon ses contraintes, ses risques et ses ambitions.

Comme l’explique Charles Melin : « il n’existe pas de SOC 100 % souverain. Ce qui compte, c’est de définir un niveau de maîtrise opérationnelle et juridique cohérent avec les enjeux métiers et la sensibilité des données traitées. »

La souveraineté devient alors une construction graduelle, qui s’appuie sur plusieurs dimensions :

• La criticité des données traitées ;
• Le niveau de conformité réglementaire requis ;
• L’exposition aux ingérences externes ;
• Et les ressources technologiques et humaines mobilisables.

Ainsi pour certaines entreprises, il sera acceptable d’utiliser un cloud américain hébergé en Europe, conforme au RGPD, pour des données peu sensibles. D’autres opteront pour des technologies exclusivement européennes, voire françaises, afin de réduire l’exposition aux ingérences, ou d’assurer une maîtrise totale de bout en bout.

Dès lors, la vraie question n’est plus : faut-il un SOC souverain ? Mais bien :
Quels risques souhaite-t-on maîtriser, et jusqu’où l’entreprise est prête à aller pour cela ?

C’est ce principe que Formind applique au quotidien : aider chaque organisation à positionner son curseur de souveraineté là où il est le plus pertinent, en fonction de ses enjeux. La souveraineté doit être vue comme un levier au service de la maîtrise de la donnée, de la conformité et de la résilience.