Le piège du SOC follow-the-sun — pourquoi on a choisi le 3×8
La plupart des SOC managés vendus en France sont des dispositifs follow-the-sun répartis sur plusieurs fuseaux. Pourquoi ce modèle séduisant génère un MTTR 4 à 6 fois supérieur au 3×8 internalisé.
La promesse du follow-the-sun
Trois équipes réparties sur trois continents — typiquement Manille, Casablanca et un site européen — couvrant 24 heures par jour, chacune sur ses heures ouvrées locales. Avantages affichés : moins de coût (les salaires varient avec la géographie), meilleure résilience géographique, transmissions de quart prévisibles.
C’est élégant. C’est ce qu’on apprend dans les formations ITIL et ce que vendent la plupart des grands ESN. Et ça ne fonctionne pas bien.
Quatre raisons techniques
1. La transmission d’information se dégrade
À chaque relève (toutes les 8 heures, trois fois par jour), la nouvelle équipe doit absorber le contexte des incidents en cours, des chasses en cours, des particularités client. Aucun document écrit ne remplace la connaissance opérationnelle d’un analyste qui a passé six mois sur votre SI. Un follow-the-sun reset ce capital trois fois par jour.
2. La compétence n’est pas portable
Connaître les TTPs APT du jour, les vulnérabilités fraîches, les variantes ransomware actives — c’est une veille quotidienne, en français, en anglais, parfois en russe ou en chinois. Cette veille est concentrée géographiquement. Une équipe à Manille couvre rarement le même paysage qu’une équipe à Paris ou Montréal.
3. Le coût caché des outils de relais
Pour faire fonctionner un follow-the-sun, on rajoute des couches : SOAR pour automatiser les playbooks, ticketing élaboré, dashboards intermédiaires. Chaque couche est un point de friction. Notre observation sur 2024-2025 : le temps moyen entre alerte et qualification humaine est trois à six fois supérieur en follow-the-sun par rapport à un 3×8 internalisé.
4. La langue compte
Un appel client à 3h du matin, en cas d’incident actif, doit être pris dans la langue maternelle du client par défaut. Un dispatcher anglophone qui parle à un dirigeant français paniqué qui doit décider d’isoler ou pas une chaîne de production — c’est une amplification de risque, pas une réduction.
Les chiffres qu’on mesure
Sur les douze derniers mois (2025) chez Hexceos :
- MTTR moyen sur incidents qualifiés — 11 minutes.
- Activation de la cellule de crise — moins d’une heure, 24/7.
- Taux de qualification correcte en premier passage — 94%.
Nos clients précédemment chez des prestataires follow-the-sun, et qui ont migré chez nous, partagent des chiffres comparables sur leurs anciens prestataires : MTTR moyen 35 à 90 minutes, qualification correcte premier passage 65 à 75%.
L’écart n’est pas marginal. Il fait la différence entre une attaque contenue avant l’exfiltration et une attaque dont les conséquences se révèlent trois jours plus tard.
Quand le follow-the-sun a du sens
Honnêtement, il y en a un. Pour la surveillance de bas niveau (logs réseau passifs, supervision de disponibilité, alerting non critique), un follow-the-sun bien outillé est performant et économique. Le problème commence quand on l’utilise pour la cybersécurité opérationnelle critique.
Notre choix
Notre SOC est composé de trois équipes de 6 à 8 ingénieurs, salariés Hexceos, basés en France et au Québec, qui se relaient en 3×8 avec un chevauchement structuré de 30 minutes entre relèves. Pas de sous-traitance, pas d’offshore. C’est plus cher à opérer. C’est aussi ce qui sépare un MTTR de 11 minutes d’un MTTR d’une heure.
Article rédigé par l’équipe SOC Hexceos.