PME - MSP vs MSSP
07 janvier 2026
Parce que... c'est l'épisode 0x703!
Parce que… c’est l’épisode 0x703!
Shameless plug
- 25 et 26 février 2026 - SéQCure 2026
- 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026
- 14 au 17 avril 2026 - Botconf 2026
- 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
- 9 au 17 mai 2026 - NorthSec 2026
- 3 au 5 juin 2026 - SSTIC 2026
- 19 septembre 2026 - Bsides Montréal
Description
Introduction
Ce podcast réunit Nicolas Milot, Cyndie Fletz et Dominique Derrier pour discuter d’un sujet pour les PME : la différence entre les fournisseurs de services gérés traditionnels (MSP) et les fournisseurs de services de sécurité gérés (MSSP). Cette distinction, souvent mal comprise, a des implications importantes pour la stratégie technologique et la cybersécurité des entreprises.
Définitions et différences fondamentales
Le MSP (Managed Service Provider) et le MSSP (Managed Security Service Provider) ne sont pas interchangeables, malgré la tentation de certains fournisseurs de vouloir tout couvrir. La différence se résume ainsi : le MSP s’occupe principalement de la disponibilité des systèmes informatiques, tandis que le MSSP se concentre sur la sécurité contre les cybermenaces.
Le rôle du MSP est de s’assurer que tout fonctionne sans interruption : les pages web s’affichent, les commandes sont traitées, les bons de commande s’impriment et les clients reçoivent des réponses. C’est une question d’opérations quotidiennes et de continuité des affaires.
Le MSSP, quant à lui, se préoccupe de l’intégrité et de la confidentialité des données. Il surveille et protège contre les acteurs malveillants et les cyberattaques. Au Québec, pratiquement toutes les entreprises offrant des services de cybersécurité sont des MSSP, même si elles ne l’affichent pas toujours explicitement dans leur nom.
Approches opérationnelles distinctes
Une différence majeure réside dans la nature du travail. Le MSP a “les mains dans la technologie” : il intervient directement sur les systèmes, gère les serveurs, connaît les processus de redémarrage et l’ordre dans lequel les services doivent être relancés. Il sait si la base de données doit redémarrer avant le service web, ou si l’ERP doit être prioritaire sur les robots.
Le MSSP, en revanche, travaille davantage dans l’analyse que dans l’intervention directe. Il collecte des informations via des technologies comme les EDR (Endpoint Detection and Response) et les SIEM (Security Information and Event Management). Ces outils de défense requièrent une spécialisation particulière pour être exploités à leur pleine valeur. Avoir la capacité technique de déployer ces outils ne signifie pas nécessairement pouvoir en extraire toute la valeur pour le client.
Comme l’explique l’équipe, “rouler un outil et l’analyser sont deux choses vraiment différentes”. Un MSP peut savoir utiliser un outil de sécurité, mais sera-t-il capable d’en tirer la valeur analytique maximale? Ce sont des questions essentielles à poser lors du choix d’un fournisseur.
L’importance de choisir le bon partenaire
Les MSP et MSSP deviennent des partenaires à long terme, voire des extensions de l’équipe TI interne. Il est crucial de ne pas “mélanger les genres”. Demander à un MSSP de gérer le patching ou les opérations quotidiennes, c’est comme “enfoncer une vis avec un marteau ou un clou avec un tournevis” : ce n’est pas le bon outil pour le travail.
Inversement, si vous payez un MSSP pour faire du travail de MSP, vous risquez soit de payer trop cher, soit de recevoir un service inadéquat. Les contrats étant généralement conclus sur le long terme, choisir le mauvais type de service peut sérieusement nuire aux objectifs de l’entreprise.
La coexistence MSP-MSSP : défis et collaboration
Un aspect délicat est la coexistence de ces deux types de fournisseurs. Le MSP se concentre sur le “run” quotidien, tandis que le MSSP doit collaborer avec celui qui opère ce “run”, particulièrement en cas d’incident de sécurité.
Cette dynamique peut créer des tensions. La mission du MSP est que tout fonctionne et roule sans interruption, tandis que la mission du MSSP est que tout soit sécuritaire, ce qui peut impliquer des processus plus longs. En cas d’incident de sécurité majeur, ce conflit devient aigu : le client veut remettre sa chaîne de production en marche rapidement, mais le MSSP insiste pour mener une enquête forensique et récupérer des informations critiques.
Il peut même y avoir un conflit d’intérêts si la même entreprise offre ces deux volets. C’est au client d’arbitrer entre ces positions, avec toutes les informations fournies par ses partenaires. Le client reste “accountable” devant son propre client et doit pouvoir faire des choix éclairés en fonction de ses priorités d’affaires et de ses obligations légales.
L’ordre logique pour les PME
Un conseil crucial pour les PME : ne prenez pas de MSSP si vous n’avez pas d’abord une gestion solide de votre IT. Il faut d’abord établir une hygiène de base avant d’investir dans la sécurité avancée. Si un fournisseur de sécurité découvre que vous n’avez même pas d’EDR déployé, vous paierez pour qu’il fasse votre travail TI de base en plus de la sécurité. Cela rendra la sécurité prohibitivement chère et risque de vous “dégoûter” du domaine.
Comme le souligne l’équipe, avec 97,1% des entreprises québécoises comptant moins de 100 employés, beaucoup n’ont même pas d’équipe TI interne. Les équipes de sécurité dédiées sont encore plus rares. Ces entreprises devront inévitablement se tourner vers des MSSP à un moment donné, mais seulement après avoir établi des bases solides avec un MSP.
Le facteur cyberassurance
Les cyberassurances ajoutent une couche de complexité. Elles exigent généralement la présence d’un SOC (Security Operations Center), donc d’un MSSP. Mais elles requièrent aussi que des mesures de base soient en place : l’authentification multifacteur (MFA), la gestion des comptes, le DKIM, etc. Ces éléments, qui relèvent du MSP, doivent être implémentés avant même de pouvoir contracter sérieusement une cyberassurance.
Conclusion
Le message final est clair : cherchez un partenaire, pas un simple fournisseur. Soyez curieux, posez des questions, mais ne cherchez pas à “coincer” vos fournisseurs avec des questions pièges. La relation doit être collaborative. Et rappelez-vous : ni le MSP ni le MSSP n’est responsable de votre maturité technologique ou sécuritaire. Ils vous aident dans la mesure où vous le voulez, moyennant des frais supplémentaires pour augmenter cette maturité. Enfin, un dernier conseil important : les audits ne doivent jamais être réalisés par votre MSP, car il ne peut pas se vérifier lui-même.
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: msp, mssp
Tweet
