ISG Provider Lens™ Cybersecurity – Solutions and Services - Digital Forensics and Incident Response - France 2025 (French)

Les équipes de sécurité en France ont besoin de l’expertise des prestataires de services pour faire face aux exigences réglementaires et aux cybermenaces.

Les équipes de sécurité des entreprises françaises sont confrontées à de nombreux défis, notamment le renforcement des exigences réglementaires et la montée des cybermenaces. Elles doivent également s’adapter à la transformation numérique et à la migration vers le cloud. Ces difficultés sont aggravées par une pénurie de travailleurs qualifiés et la nécessité d’adopter de nouvelles pratiques de travail. Sur le marché de la cybersécurité en pleine croissance, marqué par des acquisitions fréquentes, les prestataires de services doivent offrir un soutien clair pour aider ces équipes à naviguer dans les complexités liées à la convergence des opérations et des technologies.

ISG a observé un changement dans le comportement d’achat des clients pour les services de sécurité, en raison de la prolifération des outils de sécurité. Les clients préfèrent désormais des services intégrés qui renforcent leur confiance et leur visibilité sur le paysage des menaces sans dépenses excessives pour des outils individuels. Alors que les budgets de sécurité augmentent, ils recherchent de plus en plus des conseils et des informations exploitables pour les aider à prioriser et à répondre efficacement à leurs préoccupations en matière de sécurité.

Services de cybersécurité

Le marché de la cybersécurité est estimé à 215 milliards de dollars en 2025 et devrait enregistrer un taux de croissance annuel constant de 10 %. Le marché français se situe au sixième rang mondial, avec une valeur estimée entre 6 et 7 milliards de dollars.

La réglementation française présente des caractéristiques spécifiques, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) jouant le rôle de principal régulateur du marché. L’ANSSI fournit des conseils, réglemente certaines activités, telles que la protection des informations sensibles et des infrastructures d’information critiques, et certifie les produits logiciels, y compris les outils d’authentification. Elle permet aux utilisateurs de choisir un produit ou un service qualifié, garantissant l’accès à des solutions fiables utilisées par l’administration française, les opérateurs d’importance vitale et les entreprises des secteurs sensibles. Pour les prestataires de services, une telle qualification ouvre les portes des marchés réglementés français et européens, offrant un avantage concurrentiel dans le paysage de la cybersécurité. Actuellement, l’ANSSI a qualifié 120 services de cybersécurité : cinq pour le conseil, 99 pour l’audit, neuf pour la détection et sept pour la réponse. ISG a pris en compte ces facteurs dans ses évaluations, avec plus de détails dans les quadrants respectifs.

Afin de couvrir de manière exhaustive les principaux services de cybersécurité sur le marché français, ISG a utilisé le NIST Cybersecurity Framework pour analyser les offres de tous les prestataires. L’illustration suivante montre comment l’étude est structurée.

Les services de gouvernance sont évalués dans le quadrant des services stratégiques de sécurité (SSS), tandis que les services d’identification relèvent du quadrant de la gestion des vulnérabilités basée sur les risques. Les services de protection sont analysés dans le quadrant des services techniques de sécurité (TSS), et les services de détection sont classés dans les quadrants des services SOC de nouvelle génération et des services de détection et de réponse gérées (MDR). Enfin, les services de réponse et de récupération sont évalués dans le quadrant Investigation numérique et réponse aux incidents (DFIR).

Sur les 145 entreprises évaluées dans le cadre de cette étude, 67 se sont qualifiées pour au moins un quadrant, 16 étant des leaders et quatre des étoiles montantes.  

Services techniques de sécurité (TSS)

L’IA est aujourd’hui au coeur de presque toutes les discussions commerciales. Elle présente à la fois des risques et des opportunités pour les équipes de sécurité. Alors que les acteurs malveillants peuvent tirer parti de l’IA pour exécuter des attaques rapides et précises, mettant à mal les efforts de détection et de réponse, les prestataires de services de sécurité peuvent exploiter l’IA générative (GenAI) et la ML dans leurs services de transformation pour renforcer les mesures de sécurité et améliorer la protection globale.

Les failles de sécurité dans les systèmes OT sont de plus en plus nombreuses, ce qui rend indispensable la convergence entre les technologies de l’information et les systèmes OT. Par exemple, les problèmes de sécurité dans les systèmes SCADA d’entreprises telles que Mitsubishi Electric et Iconics peuvent avoir de graves conséquences, notamment un accès non autorisé et l’introduction de codes malveillants. Ces vulnérabilités peuvent avoir un impact direct sur des secteurs critiques tels que les services publics. Par conséquent, les équipes de sécurité informatique sont désormais tenues de protéger également les systèmes OT, ce qui souligne l’importance d’intégrer la sécurité des systèmes OT dans les stratégies globales de cybersécurité et de favoriser la convergence avec les technologies de l’information.

Avec un nombre croissant d’entreprises qui adoptent les principes du Zero Trust, la demande de solutions de gestion des identités et des accès (IAM) et de SASE ne cesse de croître. De nombreux prestataires de services de sécurité ajoutent désormais le Security Service Edge (SSE) à leur offre et collaborent avec des partenaires pour proposer des
solutions SASE complètes.

De nombreuses entreprises ayant opté pour la migration vers le cloud, la gestion de la sécurité dans différents environnements dématérialisés et sur site est devenue de plus en plus complexe en raison des problèmes d’intégration et de visibilité. Le passage à des environnements cloud et multiclouds nécessite une assistance pour protéger les applications et les données, en veillant à ce que les outils de sécurité soient correctement configurés et gérés. Par conséquent, les équipes de sécurité recherchent activement une meilleure interopérabilité avec des solutions telles que SASE et Extended Detection and Response (XDR), tout en adhérant aux principes de l’architecture maillée de cybersécurité, qui favorise la rationalisation des technologies. Les clients recherchent également des plateformes de sécurité intégrées, qui améliorent la visibilité et optimisent leurs investissements dans les outils actuels. En réponse au paysage fragmenté de la cybersécurité, les fournisseurs de TSS proposent des plateformes centralisées qui connectent divers outils de sécurité, offrant ainsi une vue d’ensemble des menaces potentielles.

Les clients reconnaissent la pénurie actuelle de talents et la nécessité de l’automatisation, mais beaucoup restent réticents à faire évoluer leurs pratiques et à utiliser des ressources partagées. En conséquence, la lutte pour les talents et les coûts associés n’est pas près de s’arrêter. Les organisations sont confrontées à des défis tels que le manque de personnel, les pressions financières et le besoin d’une plus grande efficacité, ce qui les incite à rechercher le soutien de prestataires de services techniques de sécurité.

Comme souligné précédemment, les tendances clés comprennent l’IA, la sécurité OT, l’IAM, SASE, les plateformes intégrées et la pénurie de main-d’oeuvre. Les fournisseurs de TSS capables de proposer des solutions alignées sur ces tendances sont bien positionnés pour réussir sur le marché.

Services stratégiques de sécurité (SSS)

La gouvernance, le risque et la conformité (GRC) incluent désormais la cybersécurité, car les violations de données et les attaques par ransomware peuvent entraîner des pertes financières et de réputation considérables. Les risques de sécurité sont devenus une menace majeure pour les entreprises, incitant les PDG et les membres des conseils d’administration à s’impliquer davantage dans la cybersécurité et la conformité afin de répondre aux exigences accrues en matière de protection de la vie privée et de réglementation.

Survivre à la vague de conformité devient de plus en plus difficile pour les entreprises, à mesure que les lois et réglementations sur la confidentialité des données, telles que DORA, NIS2 et la loi sur l’IA, se développent dans le monde entier. Les experts en conformité auront besoin d’outils et de connaissances avancés pour gérer ces exigences en constante évolution et en garantir le respect. Ils doivent privilégier des efforts de conformité continus plutôt que sur des tests et des correctifs ponctuels, car il devient difficile de s’appuyer sur des évaluations occasionnelles et de les maintenir. Par exemple, la directive NIS2, désormais intégrée à la législation française, concerne 15 000 entités stratégiques et introduit de nouvelles exigences, telles que la notification des incidents, le renforcement des contrôles et des sanctions financières en cas de non-conformité. Les coûts associés à la conformité réglementaire représentent un défi majeur, en particulier pour les PME. Pour naviguer dans ce paysage complexe, les organisations doivent adopter des stratégies unifiées pour gérer la conformité multiréglementaire, en garantissant une adhésion continue à des normes telles que le RGPD et ISO.

Le marché de la cybersécurité se concentre de plus en plus sur l’IA, de nombreuses entreprises tirant parti de cette technologie pour renforcer les mesures de sécurité, mettre en oeuvre des capacités de détection et de réponse aux menaces pilotées par l’IA et assurer la conformité en matière de sécurité. De nombreux prestataires intègrent désormais l’IA dans leurs plateformes pour favoriser la consolidation et améliorer l’efficacité opérationnelle.

La sensibilisation et la formation sont essentielles, car le facteur humain reste la principale cause des cyberincidents. Les cyberattaques déclarées ont augmenté de 6 % d’une année sur l’autre, l’hameçonnage devenant la menace principale, avec une hausse de 65 %. Malgré cette recrudescence des attaques, de nombreuses entreprises tardent à mettre en oeuvre des mesures de sécurité adéquates et à former efficacement leurs employés. Investir dans des programmes de formation complets peut contribuer à réduire considérablement le risque d’incidents et à améliorer la sécurité globale.

Les clients renforcent la sécurité du cloud et de l’infrastructure hybride en adoptant le SASE, en utilisant des solutions telles que les Cloud Native Application Protection Platforms (CNAPP) et en mettant en oeuvre des méthodes telles que l’authentification adaptative. Ils passent d’une approche centrée sur la sécurité à une stratégie axée sur la résilience dans les environnements informatiques, OT et d’infrastructures critiques. La résilience s’impose désormais comme un concept clé de la cybersécurité.

En bref, les principales tendances sont les suivantes : services de sécurité pour les cadres dirigeants, exigences réglementaires croissantes, IA, sensibilisation et formation, SASE et résilience. Les fournisseurs de SSS capables de proposer des solutions intégrant ces tendances sont en position de force pour prospérer sur le marché.

Différencier les services SOC de nouvelle génération et MDR

Comme de nombreux prestataires se font concurrence sur le marché des centres d’opérations de sécurité (SOC) de nouvelle génération et des services MDR, ISG a décidé de le diviser en deux quadrants pour la région France. Contrairement à l’année dernière, il n’y aura pas de quadrant séparé pour les grands comptes et le midmarket. Cependant, la distinction reste valable au vu de l’approche choisie.

Le premier quadrant se concentre sur les services SOC Next-Gen, qui englobent la supervision complète de l’ensemble de l’infrastructure informatique et des systèmes de sécurité, et nécessitent une implication interne importante dans la mise en place et la gestion des outils et des technologies de sécurité. Les grands comptes recherchent généralement ce type de service, car ils ont besoin d’une expertise humaine pour soutenir leurs équipes de sécurité et proposer des services supplémentaires axés sur les opérations de sécurité (tels que XDR, parefeu, authentification multifactorielle [MFA]), renseignement sur les menaces, chasse aux menaces, usine de cas d’utilisation, gestion des vulnérabilités, investigation numérique et réponse aux incidents).

Le deuxième quadrant se concentre sur les services de détection et de réponse gérées (MDR), un service externalisé qui détecte, surveille et répond aux cybermenaces avec un minimum d’implication de la part de l’équipe du client. Ce service convient mieux aux entreprises de taille moyenne qui ne peuvent pas se permettre d’avoir un SOC complet avec des licences d’outils coûteuses, et qui doivent faire appel à des fournisseurs de services de sécurité gérés (MSSP) pour bénéficier de services packagés comprenant à la fois des outils et une assistance.

Nous distinguons les quadrants des services SOC Next-Gen et des services MDR dans le rapport dédié à la France en raison des cadres opérationnels distincts et des exigences en matière de ressources propres à chaque service, répondant aux différents besoins des clients - les services SOC Next-Gen nécessitant une implication interne importante et les services MDR étant une solution externalisée. En outre, la distinction entre les grands comptes et le marché intermédiaire en France est plus nuancée : la définition du marché intermédiaire d’ISG englobe certaines des plus grandes entreprises du pays. Comme les principaux MSSP ciblent de plus en plus ces entreprises du midmarket, le paysage concurrentiel diverge de celui d’autres régions où ces segments sont plus clairement définis.

Services SOC de nouvelle génération

Les services de sécurité gérés (MSS) évoluent au-delà des SOC traditionnels, se transformant en entités de cyberdéfense avancées pilotées par l’IA, pour faire face à la complexité croissante des menaces de cybersécurité. Les SOC se concentraient généralement sur la surveillance des alertes provenant de divers outils de sécurité tels que les pare-feu et les logiciels anti-malware. Des facteurs tels que l’élargissement de la surface d’attaque, la diversité croissante des environnements informatiques, y compris OT et IoT, et l’essor du travail à distance compliquent encore les efforts de sécurité. Les SOC restent essentiels malgré ces défis croissants. Alors que les entreprises s’efforcent de protéger leurs opérations dans un vaste paysage de risques, la demande de services SOC Next-Gen capables de répondre à ces besoins évolutifs augmente.

Le champ d’action des SOC s’élargit pour inclure une plateforme de services qui combine la détection et la réponse de base avec divers services opérationnels de cybersécurité tels que la gestion des vulnérabilités, la sécurité OT, la sécurité du cloud et la gestion de l’exposition. Les SOC intègrent désormais la gestion de l’exposition aux menaces et la simulation de brèches et d’attaques (BAS), ce qui permet de passer de réponses réactives à des stratégies de prévention proactives. Cette approche repose sur des techniques de visibilité avancées pour surveiller le dark web et le deep web et s’attaque aux nouvelles vulnérabilités découlant de l’intégration de l’IA. En outre, les SOC améliorent les capacités de réponse aux incidents et élaborent des plans d’action prédéfinis qui impliquent une coordination entre les équipes de sécurité et les équipes informatiques. Ils mettent également en oeuvre de nouveaux modèles de data lake pour améliorer les coûts de gestion des données et la couverture.

Les SOC alimentés par l’IA commencent à intégrer des fonctions GenAI viables qui améliorent l’analyse et l’ingénierie des services, en se concentrant sur les requêtes et les playbooks plutôt que sur la détection entièrement autonome. Il existe une forte demande pour ces fonctions GenAI afin d’améliorer l’interface utilisateur et de stimuler la productivité en matière de sécurité. Les principaux cas d’utilisation comprennent l’explication, le résumé et l’automatisation de la réponse aux incidents, ainsi que l’adoption du ML pour la sécurité prédictive, qui aide les organisations à anticiper et à traiter efficacement les menaces potentielles.

Les clients cherchent à renforcer leurs capacités de sécurité existantes en s’associant avec des MSSP pour l’expertise et le soutien supplémentaire de la main-d’oeuvre, en optant pour la cogestion plutôt que pour l’externalisation complète ou l’internalisation. De nombreuses organisations préfèrent une approche plus intégrée de la gestion des incidents plutôt que des services uniquement axés sur la détection. Elles veulent comprendre les processus et avoir la possibilité de gérer elles-mêmes certains aspects des opérations de sécurité. Cette demande de capacités en libre-service ou en cogestion augmente, en particulier chez les clients qui souhaitent améliorer progressivement leurs opérations de sécurité. Les clients alignent leurs stratégies de sécurité sur les objectifs globaux de modernisation de l’entreprise en optimisant l’efficacité de leur technologie existante et en améliorant la protection, la visibilité et la surveillance.

Les ransomwares restent également une préoccupation majeure pour les organisations. Les attaquants tirent parti de l’IA pour exécuter des frappes rapides et ciblées dans des environnements multiclouds et hybrides complexes, ce qui complique les efforts de détection et de réponse. Pour contrer ces menaces en constante évolution, les centres d’opérations de sécurité (SOC) adoptent des outils de détection des menaces pilotés par l’IA, des analyses comportementales avancées et des systèmes de réponse automatisés. Ces capacités permettent aux SOC d’identifier les anomalies en temps réel, de corréler les renseignements sur les menaces dans les différents environnements et d’accélérer la réponse aux incidents pour contenir la propagation des ransomwares avant qu’elles ne s’aggravent.

Comme de nombreuses organisations luttent pour gérer efficacement la cybersécurité en raison d’un manque d’expertise, la demande de services SOC devrait rester forte en 2025. Par conséquent, la demande de MSSP augmente, en particulier dans des pays comme la France, où les entreprises font généralement appel à des partenaires externes pour les services informatiques. Les fournisseurs de SOC qui peuvent offrir la gamme complète de services supplémentaires recherchés par les clients sont bien positionnés pour prospérer dans ce quadrant.

Services de détection et de réponse gérées (MDR)

Les entreprises de taille moyenne qui n’ont pas la possibilité de rivaliser avec des SOC sophistiqués, se tournent vers les MSSP pour des services essentiels tels que la surveillance, la réponse et la chasse aux menaces. Le principal défi pour ces entreprises est de retenir les experts en cybersécurité, et les MSSP répondent à ce problème en offrant un accès à des professionnels qualifiés par le biais de services MDR. Les MSSP affectent généralement quatre analystes par client afin d’assurer une couverture 24 heures sur 24 et 7 jours sur 7, mais le passage à l’échelle de ce modèle reste difficile.

De nombreux MSSP continuent de donner la priorité aux grands comptes plutôt qu’aux entreprises de taille moyenne, alors même que l’automatisation et l’IA peuvent améliorer l’efficacité opérationnelle dans les deux segments de marché. Ils entrent également de plus en plus en concurrence avec des fournisseurs de solutions XDR tels que CrowdStrike et Palo Alto Networks, en particulier aux États-Unis, alors que la tendance est moins répandue en France. Le quadrant des services MDR de cette étude évalue uniquement les MSSP qui ne se limitent pas à leurs solutions propriétaires. Pour rester compétitifs, les MSSP doivent soit s’associer à des fournisseurs de produits de qualité supérieure, soit développer leurs propres plateformes avancées. Ceci est d’autant plus important que le marché intermédiaire recherche des services de plus grande valeur, évoluant de l’adoption initiale des services MDR à la décision de renouveler ou non ces services.

Investigation numérique et réponse aux incidents (DFIR)

La DFIR est un domaine en pleine expansion qui se concentre sur l’identification, la gestion et l’investigation des incidents de cybersécurité. Il s’agit de rassembler, de préserver et d’analyser les preuves afin de contenir et d’atténuer les cyberattaques. La DFIR requiert un mélange de compétences techniques et non techniques, telles que la pensée analytique et une communication efficace, ainsi qu’une expertise technique dans des domaines tels que l’investigation des systèmes de fichiers, l’investigation de la mémoire, l’investigation des réseaux, le triage des logiciels malveillants et l’analyse des journaux. Compte tenu des difficultés à trouver des candidats qualifiés, de nombreuses organisations choisissent de faire appel à des prestataires de services DFIR tiers en raison de leurs ressources internes limitées.

Les organisations font généralement appel à des services d’investigation numérique pour confirmer les cyberattaques, comprendre leur impact, identifier leurs sources et rassembler des preuves. Des outils d’investigation spécialisés permettent d’accélérer les processus de remédiation, de restauration et de récupération. Avec la montée des cybermenaces et le nombre croissant de points d’extrémité, la DFIR est essentielle pour les stratégies de sécurité modernes, en particulier lorsque les entreprises adoptent des solutions cloud et des modalités de travail à distance. Bien que la DFIR soit souvent réactive, elle s’appuie de plus en plus sur des technologies avancées telles que le ML et l’IA pour permettre une analyse et une réponse rapides. Le réseau de partenaires technologiques et d’assurance se renforce également, améliorant la qualité et la rapidité des services DFIR.

Par exemple, de nombreux cyber-assureurs collaborent désormais directement avec des entreprises de DFIR pour offrir des équipes d’intervention pré-approuvées et un service d’assistance téléphonique 24h/24 et 7j/7. Les partenaires technologiques fournissent des renseignements sur les menaces en temps réel, des capacités de réponse automatisées et des outils d’investigation, réduisant ainsi les délais moyens de détection et de confinement des brèches.

Le renseignement sur les menaces est devenu essentiel pour comprendre les fuites d’informations, d’autant plus que les menaces sont passées d’attaques plus visibles telles que les ransomwares à des fuites de données plus discrètes. Comme les adversaires utilisent de plus en plus des comptes valides pour accéder aux systèmes - ce qui a été constaté dans près de 40 % des cas de réponse aux incidents d’IBM X-Force - il est crucial de disposer de renseignements précis sur les menaces. Le vol et les fuites de données représenteront 54 % des incidents en 2024, ce qui souligne l’importance de surveiller à la fois le deep web et le dark web. La revente d’identifiants volés sur le dark web démontre la nécessité pour les organisations de rester informées afin de protéger efficacement leurs informations.

Alors que les services de DFIR se concentraient initialement sur un soutien réactif, ils ont évolué pour offrir des options proactives telles que la chasse aux menaces, les tests de vulnérabilité et la formation à la cybersécurité. Les services de DFIR comprennent désormais des exercices sur table, des simulations de crise, des équipes d’intervention et des évaluations de la compromission. Ces formules d’abonnement prépayés permettent aux organisations d’utiliser les heures de conseil non utilisées pour des services proactifs si elles enregistrent moins d’incidents de sécurité au cours d’une période donnée. Les organisations peuvent ainsi se préparer à d’éventuels incidents de sécurité en organisant des exercices avec leurs dirigeants et leurs cadres.

Gestion des vulnérabilités basée sur les risques

Compte tenu de la demande croissante de solutions de gestion continue de l’exposition aux menaces (CTEM), ISG a introduit un nouveau quadrant cette année. La gestion des vulnérabilités basée sur les risques combine la gestion des vulnérabilités et la simulation d’attaques pour renforcer la sécurité des systèmes. Cette approche permet de détecter
les menaces et d’y répondre avant qu’elles ne se matérialisent.

Les prestataires de services de cybersécurité utilisent les solutions CTEM pour assurer une gestion des vulnérabilités basée sur les risques. Cela comprend à la fois la gestion traditionnelle des vulnérabilités, qui se concentre sur l’identification et la correction des vulnérabilités internes, et la gestion de la surface d’attaque (ASM), qui offre une vue d’ensemble, notamment sur les actifs externes. Les prestataires combinent les avantages des deux approches en proposant une surveillance continue, une validation des menaces, des simulations d’attaques, des tests de pénétration
et une hiérarchisation des priorités en fonction de l’impact sur l’entreprise.

Pour les responsables de la sécurité de l’information (RSSI), il est essentiel de hiérarchiser les efforts de sécurité en fonction de l’impact sur l’entreprise. La gestion des vulnérabilités basée sur les risques cherche à trouver un équilibre entre les risques et les coûts en identifiant et en hiérarchisant les menaces les plus critiques. La propension au risque d’une entreprise détermine le niveau de risque qu’elle est prête à accepter. Grâce aux services de gestion des vulnérabilités basés sur le risque, l’organisation peut gérer les menaces en fonction de sa tolérance au risque.

Les clients ont de plus en plus besoin de matrices de risques contextualisées pour les aider à prioriser la remédiation des risques organisationnels. Les tests de sécurité axés sur la réglementation, tels que TIBER et les tests de pénétration basés sur les menaces (TLPT), se développent pour se conformer à des mandats tels que NIS2 et DORA. En passant des tests en boîte noire aux tests collaboratifs, les clients cherchent à mieux comprendre les risques dans leurs environnements. Le passage de solutions sur site à des solutions cloud et web expose les organisations à de nouveaux risques, car de nombreux outils peinent à identifier avec précision les risques dans les écosystèmes cloud partagés. Pour relever ces défis, l’automatisation et les tests de pénétration et d’évaluation des vulnérabilités (VAPT) pilotés par l’IA améliorent l’efficacité, l’évolutivité et la hiérarchisation des risques en temps réel. La gestion continue des vulnérabilités, qui englobe principalement les processus automatisés pour soutenir la visibilité en temps réel des risques et des vulnérabilités, intègre désormais de plus en plus le CNAPP, la gestion des vulnérabilités basée sur les risques, la simulation de brèche et d’attaque (BAS) et la gestion de la surface d’attaque (ASM) pour offrir une approche de sécurité complète.

Access to the full report requires a subscription to ISG Research. Please contact us for subscription inquiries.