Pourquoi un SOC open source quand la souveraineté compte ?
Il existe d'excellentes plateformes de détection et de réponse commerciales. Elles sont matures, bien intégrées, et pour beaucoup d'organisations elles constituent le bon choix.
Cet article, et la série qui le suit, ne cherche pas à vous en détourner. Il s'adresse à une catégorie particulière d'organisations : celles pour qui la maîtrise de la donnée, l'indépendance vis-à-vis des éditeurs et la réversibilité ne sont pas des arguments marketing, mais des contraintes de moins en moins négociables.
Si vous reconnaissez votre organisation dans cette description, alors la question n'est plus seulement « quel outil acheter », mais « quelle capacité construire, et comment garder la main dessus dans le temps».
Que couvre vraiment la souveraineté ?
Quand je parle de souveraineté sur une plateforme de sécurité, je parle d'un ensemble d'exigences techniques et organisationnelles. Trois en particulier :
La maîtrise de la donnée : Les journaux de sécurité d'une organisation sont parmi ses données les plus sensibles. Ils décrivent son infrastructure, ses comportements internes, ses vulnérabilités, et les incidents qu'elle a subis. Savoir précisément où cette donnée réside, qui peut y accéder, et selon quelles règles, ne doit pas être un luxe. Pour certaines organisations, cela peut même déja être (ou devenir) une obligation réglementaire, et pour ceux qui ne seraient pas concerné par l'aspect légal, cela peut constituer une simple question de bon sens : on n'externalise pas la carte de ses propres faiblesses n'importe ou et n'importe comment.
L'indépendance vis-à-vis de l'éditeur : Une plateforme propriétaire crée une dépendance. Le jour où la grille tarifaire change, où une fonctionnalité essentielle passe derrière un palier supérieur, vous subissez la décision. Pire encore, quand vous avez pris toutes les dispositions de sécurité que vous pouviez, et que votre organisation se trouve partiellement à l'arrêt ou fortement affectée par un incident côté éditeur, cette notion de dépendance se fait d'autant plus ressentir. Alors bien sûr, une stack open source ne vous met pas à l'abri de tout, les projets eux-mêmes évoluent, et nous aurons l'occasion d'en reparler plus tard (notamment les changements de licence), mais elle vous laisse une porte de sortie technique : le code est là, les données sont dans des formats ouverts, et toute migration reste possible.
La réversibilité et la transparence : Pouvoir auditer le fonctionnement de ses propres outils de détection, comprendre exactement comment une alerte est levée, et pouvoir reconstruire la plateforme ailleurs si nécessaire. C'est ce qui sépare une capacité que l'on possède d'un service que l'on externalise.
Aucune de ces exigences n'est propre à un secteur. On les retrouve dans des organisations régulées qui doivent prouver où vit leur donnée, dans des structures industrielles avec des environnements isolés où le cloud n'est pas une option, et dans toute organisation qui considère que sa posture de sécurité ne doit pas reposer entièrement sur un tiers.
Encore une fois, l'open source n'est pas la seule réponse possible à ces besoins, ce n'est pas non plus une solution magique qui résoudra tous vos maux techniques et financiers, mais c'est une réponse cohérente dans le contexte qui est le nôtre en 2026.
Une solution magique sans contraintes ? Non, une réalité à ne pas cacher
Il y a une seconde réalité que je veux poser dès maintenant, parce qu'elle traverse tout ce qui va suivre. La plupart des organisations qui se lancent dans cette voie le font avec des ressources comptées. Budget limité, équipe réduite, etc...
Ce n'est pas une faiblesse à cacher, c'est un cadre de conception. Une plateforme construite sous contrainte (de ressources) fait des choix différents d'une plateforme construite avec un budget plus ouvert. On priorise sans pitié. On préfère une solution qui tourne et qu'on comprend à une solution parfaite qu'on ne maîtrise pas. On industrialise ce qui peut l'être pour ne pas y revenir, et on assume des compromis explicites à d'autres endroits.
Notre objectif avec ce genre d'articles, c'est justement raconter ces compromis : pourquoi telle architecture plutôt que telle autre, pourquoi on a accepté telle limite, et ce que ça coûte de ne pas la traiter.
Open source ne veut pas dire gratuit, NI facile
Dans la continuité du point précédent, une mise au point nécessaire avant d'aller plus loin. Choisir l'open source pour une capacité aussi critique qu'un SOC ne fait pas disparaître les coûts, il les déplace (intelligemment). On ne paie pas de licence, mais on paie en temps d'ingénierie, en compétences à internaliser, et surtout en responsabilité opérationnelle. Personne ne viendra corriger une mauvaise configuration à votre place, et personne ne viendra non plus surveiller que vous avez correctement mis à jour la version vulnérable d'un de vos composants.
C'est précisément pour ça qu'une plateforme open source bien construite a tant de valeur, et pourquoi elle se documente si mal en général. Le savoir reste dans les têtes ou dans des notes internes. Mon ambition est d'en sortir une partie, pour que la prochaine personne qui se lance ne reparte pas de zéro.
Et pour la suite ?
Dans les prochains articles, nous allons construire le raisonnement de bout en bout, des fondations conceptuelles jusqu'aux sujets les plus matures et détaillés. Nous commencerons par poser l'anatomie fonctionnelle d'un SOC open source (De quelle artillerie ai-je besoin pour parler d'un SOC ?). Puis nous descendrons progressivement vers l'architecture (identification des composants qui composeront mon artillerie), le déploiement et le cycle de vie de la plateforme, l'exploitation et le réglage fin, et enfin la détection avancée et le durcissement.
L'idée est que chaque article s'appuie sur les précédents, comme une vraie montée en maturité. On ne parlera pas de déploiement automatisé avant d'avoir expliqué ce qu'est un agent, ni de stratégie d'indexation avant d'avoir vu d'où viennent les données. Si vous arrivez en cours de route, les fondations resteront accessibles en remontant la série ;)
Un dernier mot : ce blog (de manière général) n'a pas vocation à exposer une conception figer ou à dérouler un tuto clé en main. L'idée est plutôt de partager des points de vue sur des sujets que j'ai pu traiter, mais surtout, de les confronter. Si un choix vous semble discutable, si vous auriez fait autrement, ou si vous avez des idées autres, dites-le ! C'est précisément la critique constructive qui fait émerger les idées et oblige à penser un problème autrement :)
Prochain article : Définition et anatomie d'un SOC