Si cet acronyme est encore méconnu, le service VOC (Vulnerability Operations Center) semble se démocratiser auprès des entreprises. Bien que souvent comparé aux SOC (Security Operations Center), ces différents services répondent à des besoins distincts et proposent des approches très différentes de la sécurité informatique.
Pour faire le bon choix, les entreprises doivent comprendre le fonctionnement de ces centres opérationnels de cybersécurité, leurs missions, leurs différences et leurs complémentarités.
À quoi servent un VOC et un SOC ? Comment s’intègrent-ils à votre stratégie de cybersécurité ? Lequel est le plus pertinent pour renforcer votre posture de cybersécurité ?
Explications dans cet article.
VOC, SOC : que se cache-t-il derrière ces acronymes ?
La confusion entre les notions de VOC (Vulnerability Operations Center) et de SOC (Security Operations Center) est monnaie courante.
Orthographiquement proches, leurs périmètres d’action peuvent sembler similaires. L’évolution progressive du rôle des SOC a toutefois conduit à un élargissement de leur périmètre d’intervention, passant de la détection et de la réponse aux incidents de cybersécurité à une prise en charge plus large des activités de surveillance, d’analyse et de coordination de la défense.
Le VOC, quant à lui, n’a pas vocation à analyser les événements en temps réel, mais à détecter les vulnérabilités susceptibles de permettre une compromission. Des fonctionnalités et des périmètres distincts, pour une finalité commune, celle de renforcer la posture de cybersécurité de l’entreprise.
Le VOC prévient les cyberattaques et facilite la détection des vulnérabilités.
Le VOC (Vulnerability Operations Center) s’inscrit dans une logique proactive, bien en amont d’une éventuelle cyberattaque.
Sa finalité est d’identifier les vulnérabilités réellement exploitables par un individu malveillant ou un bot, et d’assurer leur correction dans un délai acceptable.
Au quotidien, le VOC cartographie les infrastructures, les réseaux et les actifs de l’entreprise, qu’il s’agisse de serveurs, de postes de travail, d’applications métiers ou de services hébergés dans le cloud. Il prend en compte les dépendances techniques et les enjeux métiers, afin de déterminer les activités et les actifs qui devront être protégés en priorité.
En analysant les services ouverts, le VOC donne de la visibilité au RSSI. Il ne s’agit pas seulement de collecter des CVE et de générer des alertes : l’intérêt du VOC réside dans sa capacité à adapter la gestion des vulnérabilités au contexte spécifique d’une entreprise.
Grâce au VOC, vous pouvez affiner l’analyse des risques, en pondérant par exemple la criticité des failles selon les actifs impactés (chaîne de production, logiciel de paie, données personnelles des clients…).
Le VOC permet ainsi de réévaluer l’exploitabilité réelle d’une vulnérabilité, au regard de l’infrastructure et des technologies utilisées par l’entreprise : un logiciel métier exposé sur Internet aura un score plus élevé et sera traité en priorité, tandis qu’un actif isolé et peu utilisé aura pour la même faille un score plus faible et sera traité dans un second temps. Les actions menées sont plus efficaces, et réduisent durablement la surface d’attaque de l’entreprise.
Un point clé du VOC est le pilotage des opérations de remédiation, qui sont facilitées par la supervision et les conseils des experts en cybersécurité (RSSI ou analystes VOC).
C’est pour cela que l’accompagnement VOC de Evicys comprend le déploiement et le suivi de tableaux de bord et d’indicateurs, en coordination avec les équipes informatiques, métiers et de cybersécurité.
Le SOC corèle, analyse,détecte et endigue les événements de sécurité sur l’ensemble du système d’information.
Le SOC (Security Operations Center) se positionne dans une logique de défense. Il corrèle et analyse les événements issus du système d’information grâce à une interconnexion avec les EDR, NDR ou plus simplement les syslog et events logs Windows. Si un comportement suspect est avéré, une alerte est générée et l’analyste peut décider d’actions semi-automatiques (SOAR) ou manuelles.
Le SOC a donc une approche réactive et défensive. Les équipes du SOC interviennent généralement lorsque l’attaque est en cours ou imminente, avec pour objectif principal d’en limiter l’impact.
Pour y parvenir, elles s’appuient sur des règles de détection préétablies, qui automatisent la détection des événements et des comportements anormaux : connexions suspectes, augmentation de privilèges, ou encore des tentatives d’exfiltration de données.
Les alertes issues des règles de détection sont traitées par des analystes, qui qualifient les menaces et décident du traitement adapté. Selon les situations, l’alerte peut être ignorée, l’action suspecte bloquée ou des investigations engagées en coordination avec les équipes informatiques et d’autres experts (Red Team, auditeurs, professionnels de la réponse à incident, etc.).
Notez que la mise en place et l’exploitation d’un SOC représentent un investissement significatif : d’une dizaine à quelques centaines de milliers d’euros par an, pour un service continu.
Quelles complémentarités entre le VOC et le SOC dans votre stratégie de cybersécurité ?
Idéalement, pour assurer la sécurité informatique de votre entreprise, toutes les vulnérabilités devraient être corrigées. En pratique toutefois, seules quelques failles critiques sont réellement exploitables par les attaquants, et devraient être traitées en priorité.
Or, les équipes techniques manquent souvent de temps pour traiter les centaines d’alertes, éliminer les faux-positifs (alerte de sécurité qui ne présente en fait que peu de risque), identifier les faux négatifs (alerte ignorée qui présente pourtant un risque critique), et appliquer les mises à jour et correctifs de sécurité régulièrement publiés par tous les éditeurs de logiciels et fabricants de matériel informatique.
Ainsi, malgré le déploiement de solutions de cybersécurité telles que les EDR, les pare-feu, les VPN ou l’authentification multifacteur, les stratégies de défense restent fragilisées par de nombreuses vulnérabilités non traitées, qui mettent en péril la sécurité informatique des entreprises.
Le SOC est conçu pour réagir, pas pour anticiper.
Si le SOC est nécessaire pour répondre aux cyberattaques et limiter leur impact, il ne permet pas à lui seul de réduire la surface d’attaque, ni les risques structurels de cybersécurité auxquels vous êtes exposés.
Or, déployer un VOC permet déjà de réduire significativement le risque de cybermalveillance. Couplé à un logiciel de MDR (Managed Detection and Response), ou à minima un EDR managé (Endpoint Detection and Response – antivirus nouvelle génération), le VOC offre une capacité de détection suffisante pour la plupart des entreprises, et permet de s’aligner avec les principaux cadres réglementaires, tels que l’ISO 27001, NIS 2 ou le RGPD.
Enfin, le déploiement d’un SOC doit être évalué au regard de votre budget et de votre niveau de maturité en matière de cybersécurité.
Comme le rappelle l’adage, « mieux vaut prévenir que guérir ». Evicys recommande de renforcer votre posture de cybersécurité, de disposer de bases saines et d’une infrastructure résiliente, avant d’investir dans des dispositifs avancés de défense, tels que le SOC.
Les avantages du VOC pour les PME et ETI.
Adopté par de nombreuses entreprises, le VOC s’impose comme un service pertinent pour structurer et renforcer la posture de cybersécurité. Selon le baromètre du CESIN publié en janvier 2025, près de 55 % des RSSI et DSI français l’ont déjà mis en place ou envisagent de le faire. Pour une PME ou une ETI sans équipe de cybersécurité interne, le VOC présente de nombreux avantages.
Le VOC permet de faire un état des lieux quotidien de votre posture de cybersécurité. Un service VOC offre une vision claire et actualisée des vulnérabilités, facilite l’anticipation des incidents et permet de coordonner les actions entre les équipes informatiques, métiers et cybersécurité.
Structurer la gestion des vulnérabilités facilite la cybersécurité au quotidien. En hiérarchisant les priorités et en clarifiant les actions à mener, le service VOC simplifie le travail des équipes informatiques, qui peuvent se concentrer sur l’essentiel plutôt que sur la gestion d’alertes dispersées.
Agir en amont reste nettement moins coûteux que gérer une crise suite à un incident de cybersécurité. Une attaque peut durer plusieurs semaines et paralyser l’activité. En protégeant en priorité les actifs critiques, le VOC contribue à limiter l’impact des incidents.
Enfin, cette approche n’est pas réservée aux grands groupes. Là où un SOC performant représente un investissement élevé, le VOC reste accessible. L’automatisation de certaines tâches permet aujourd’hui de proposer des services adaptés aux besoins des PME et ETI.
Evicys vous accompagne dans le déploiement de votre VOC.
Le VOC n’est plus réservé aux grandes entreprises.
Evicys accompagne les organisations dans la mise en œuvre d’un service VOC adapté à leurs contraintes opérationnelles et à leurs ressources. Cet accompagnement comprend la cartographie des infrastructures, l’identification des vulnérabilités et le pilotage des actions de remédiation dans le temps.
Les RSSI à temps partagé d’Evicys assurent le suivi des actions, la coordination avec vos équipes et l’ancrage du VOC dans la stratégie de cybersécurité de l’entreprise.
Prenez contact pour échanger sur vos besoins et évaluer la pertinence d’un service VOC dans votre contexte.
