COMPARATIF · A VS B
Advens vs Intrinsec : deux pure-players FR top tier au banc d'essai
Advens et Intrinsec font partie du carré très restreint des pure-players français qualifiés PASSI, PRIS et reconnus sur les marchés OIV/LPM. Concrètement, peu d'acteurs FR du SOC managé réunissent autant de critères de souveraineté et de maturité opérationnelle : capital majoritairement français, SOC opéré depuis l'Hexagone, qualifications ANSSI à jour, clientèle de régulateurs et grands comptes régulés.
Pour un acheteur cyber français, la question n'est donc pas d'opposer un acteur sérieux à un autre moins sérieux. L'arbitrage se joue sur des nuances très opérationnelles. Advens (Lille, fondée en 2000, ~450 salariés, capital fondateur + management + fonds FR minoritaires) cumule la triple qualification PASSI + PDIS + PRIS et orchestre son SOC autour de la plateforme propriétaire mySOC, capable d'intégrer aussi bien des stacks souveraines (HarfangLab, Gatewatcher) que des stacks américaines (CrowdStrike, SentinelOne, Microsoft Sentinel). Intrinsec (Courbevoie, fondée en 1995, ~250 salariés, filiale du groupe coté Neurones) joue dans une catégorie très voisine, avec la triple qualif PASSI-LPM + PRIS Élevé + PACS, l'absence notable de PDIS, mais des SLA contractuels chiffrés rares sur le marché français.
Deux différences structurantes méritent d'être posées d'emblée. Intrinsec publie des SLA très précis (alertes <5 min, prise en charge <15 min, IR <2 h) là où Advens communique des métriques observées sans engagement contractuel. Et Advens conserve un CERT séparé en abonnement quand Intrinsec intègre son CSIRT au cœur de son offre. Le bon choix dépend donc moins du niveau intrinsèque des deux acteurs que du profil d'achat réel.
01 — TABLEAU COMPARATIF
16 dimensions face-à-face
| Dimension | Advens | Intrinsec |
|---|---|---|
| Capital / ownership | Independant : fondateur Alexandre Fayeulle + management + salaries + fonds FR minoritaires (Capza, Parquest, Adelie) | Filiale du groupe Neurones (Euronext Paris NRO depuis 1999) via holding Dragonfly (76% Neurones + 24% dirigeants/salaries) |
| Effectif | ~450 collaborateurs (tranche INSEE 201-500) | ~250 collaborateurs (tranche INSEE 201-500) |
| SOC localisation | SOC opere en France, hebergement EU annonce (hebergeur precis non communique publiquement) | SOC primaire France (Courbevoie ~40 analystes) avec couverture rotation mondiale delocalisee Pologne, Canada, Roumanie, Tunisie et Singapour pour H24 |
| Qualifications ANSSI | PASSI 2015 + PASSI LPM 2018 + PDIS + PRIS 2023 | PASSI-LPM/RGS Eleve + PRIS v3 Eleve (INV/PCI/CODE) + PACS (pas de PDIS) |
| Plateforme principale | mySOC (proprietaire) orchestrant HarfangLab, Gatewatcher, CrowdStrike, SentinelOne, Microsoft Sentinel selon choix client | Stack mixte : Sekoia + HarfangLab (souverains FR) + Splunk + Microsoft Defender + SentinelOne selon choix client |
| Autorite de reponse | Remediation active : containment direct SOAR (isolation endpoint, kill process, quarantaine, desactivation compte) | Reponse guidee + escalade ; containment limite a l'isolation endpoint en direct |
| Couverture | 24/7 | 24/7 |
| SLA contractuels | Metriques observees uniquement (MTTA 10 min, MTTR -2h communiques sans engagement contractuel public) | SLA chiffres publies : alertes <5 min, prise en charge incident critique <15 min, IR/forensic <2h via SOC, CERT abonnement <1h |
| Incident response (CERT) | CERT separe qualifie PRIS, abonnement distinct hors SLA standard, a contractualiser a part | CERT-Intrinsec en abonnement distinct, mobilisation 1h, pas inclus dans le SOC standard |
| Threat hunting | Limite au SLA standard : retro hunting IOC industrialise ; hunting hypothese-driven via Purple Team contractuel reserve aux comptes Enterprise | 4 offres distinctes formalisees : hypothesis-driven, MITRE TTPs mapping, silent post-incident, co-construit |
| Surfaces couvertes | Endpoint + identite + reseau | Endpoint principalement (perimetre publie le plus etroit) |
| Tier non-souverain accepte | Oui via mySOC (BYO CrowdStrike, SentinelOne, Microsoft Sentinel) | Oui (multi-vendor : Splunk, MS Defender, SentinelOne acceptes) |
| Tarification | Sur devis, transparence sur demande | Sur devis, transparence sur demande |
| Cible cliente | PME 10-300 (canal indirect TD Synnex Citadel sur SentinelOne) + ETI regulees + grands comptes + OIV | ETI + grands comptes + OIV/Ministeres + secteurs regules (banque, sante, energie, Justice, Defense) |
| Modele de management | Co-manage hybride | Co-manage hybride, Full Outsourced SOC en option (Cloud Temple SecNumCloud candidat naturel non confirme publiquement) |
| Reference presse FR | Markess 2024, ChannelNews sur la croissance | ISG Provider Lens 2025 |
02 — ARBITRAGE
Quand choisir Advens
Advens prend l'avantage pour les organisations qui font de la qualification PDIS un prérequis dur. Sur les appels d'offres OIV/OSE et les marchés LPM où la présence du PDIS conditionne l'éligibilité, l'absence de cette qualification chez Intrinsec se réglera défavorablement, même si le reste du dossier est équivalent. Advens réunit en plus PASSI + PRIS, ce qui couvre les besoins audit et réponse à incident sans avoir à multiplier les contrats.
L'autre axe favorable à Advens, c'est l'autorité de réponse. La documentation publique confirme un containment direct via SOAR (isolation endpoint, kill process, quarantaine de fichier, désactivation de compte), là où Intrinsec reste sur un modèle de réponse guidée avec containment plus limité. Pour un client qui veut acheter du « MDR avec remédiation active » au sens strict, Advens correspond mieux à la promesse.
À noter aussi : Advens propose un accès PME plus réaliste via son canal indirect TD Synnex Citadel sur SentinelOne. Les ETI de 200 à 500 postes y trouvent un format adapté sans devoir entrer dans une logique de grand compte. La plateforme mySOC, propriétaire et orchestrante, donne par ailleurs un point d'intégration unifié pour les clients qui ne veulent pas voir leur fournisseur aligné sur un seul écosystème (Sekoia, HarfangLab, Microsoft, CrowdStrike). Reste que cette neutralité se paie : Advens n'est pas un éditeur du SOC, c'est un opérateur, ce qui implique une dépendance forte aux roadmaps des vendors intégrés.
03 — ARBITRAGE
Quand choisir Intrinsec
Intrinsec marque des points sur trois dimensions très opérationnelles. D'abord, les SLA contractuels chiffrés : alertes générées <5 min, prise en charge incident critique <15 min, IR/forensic mobilisable <2 h, CERT abonnement <1 h. Sur le marché français, où la plupart des concurrents annoncent des métriques observées sans engagement contractuel, c'est un différenciateur rare et concret pour un acheteur qui veut pouvoir activer des pénalités. Advens, sur ce critère, reste dans une logique de performance constatée.
Le threat hunting constitue le deuxième atout d'Intrinsec, qui formalise quatre offres distinctes (hypothesis-driven, MITRE TTPs mapping, silent post-incident, co-construit), avec une cadence et une méthodologie documentées. Chez Advens, le hunting structuré (hypothesis-driven) passe par une prestation Purple Team contractuelle réservée aux comptes Enterprise. Pour une ETI qui veut acheter du hunting inclus, Intrinsec se positionne mieux.
L'adossement au groupe coté Neurones donne enfin une visibilité financière supérieure et un accès facilité à des moyens transverses (Cloud Temple, sister entity sous Dragonfly, qualifié SecNumCloud, est un candidat naturel — non confirmé publiquement — pour un Full Outsourced SOC souverain). Cela dit, deux réserves. Intrinsec n'est pas qualifié PDIS, ce qui peut être un facteur disqualifiant pour les OIV stricts. Et la couverture H24 rotation mondiale délocalise une partie de la supervision hors UE (Pologne, Canada, Roumanie, Tunisie, Singapour) : souverain pour le SOC FR principal de jour, plus discutable pour un client qui exigerait du FR-only 24h/24.
04 — VERDICT
Notre verdict éditorial
Il n'y a pas de gagnant absolu entre Advens et Intrinsec. Ce sont deux pure-players français qui entrent dans la même short-list sur la quasi-totalité des dossiers OIV/ETI régulées, et l'arbitrage se joue sur la grille de critères réelle de l'acheteur.
Si la qualification PDIS est un prérequis dur (OIV LPM, certains marchés publics), Advens passe et Intrinsec ne passe pas. L'arbitrage est tranché en faveur d'Advens. Si l'acheteur veut des SLA contractuels chiffrés pour pouvoir activer des pénalités en cas de dérive, Intrinsec passe et Advens ne passe pas. L'arbitrage est tranché en faveur d'Intrinsec. Sur le reste — taille d'équipe, qualifications PASSI/PRIS, hybridation plateforme, ciblage ETI/grand compte — les deux acteurs se valent. La principale différence de fond tient au modèle de groupe : Advens est un pure-player à capital indépendant, Intrinsec est intégré à un groupe ESN coté (Neurones), ce qui influence le mode de relation commerciale. Advens reste plus cyber-only dans son ADN ; Intrinsec peut être poussé en bundle avec d'autres services Neurones. Sur la souveraineté pure, les deux sont au même niveau.
Notre recommandation : ne pas chercher à trancher avant la consultation. Inviter les deux en short-list sur les dossiers ETI/grand compte régulés, exiger les pièces ANSSI et les SLA contractuels noir sur blanc, et faire jouer la concurrence sur le périmètre exact (CERT inclus ou non, hunting inclus ou non).
05 — PAR PROFIL
Recommandation selon le profil acheteur
Advens Advens mieux adaptéIntrinsec Intrinsec mieux adaptéIndifférent les deux conviennent
OIV LPM avec exigence PDIS contractuelle dure
Advens detient PDIS, Intrinsec non. Critere disqualifiant sans appel pour Intrinsec dans ce contexte.
ETI valorisant des SLA chiffres contractualises avec penalites
Intrinsec publie des SLA precis (alertes <5 min, prise en charge <15 min, IR <2h, CERT <1h). Advens ne s'engage que sur des metriques observees.
ETI 300-500 postes voulant du threat hunting structure inclus
Intrinsec formalise quatre offres distinctes de threat hunting. Chez Advens, le hunting hypothesis-driven passe par Purple Team contractuel grands comptes.
Mid-market 200-400 postes avec stack SentinelOne existante
Advens propose un canal indirect TD Synnex Citadel sur SentinelOne adapte aux PME/ETI, plus pragmatique d'acces que la voie directe.
Grand compte regule cherchant un pure-player FR avec CERT-IR autonome
Advens et Intrinsec ont tous deux un CERT separe abonnement avec qualif PRIS. Les deux satisfont le besoin, l'arbitrage se joue sur la grille tarifaire et le SDM.
Acheteur public via UGAP cherchant la souverainete operationnelle stricte FR-only 24h/24
Advens opere son SOC en France sans rotation mondiale extra-UE documente. Intrinsec delocalise une partie de la couverture H24 hors UE (Pologne, Canada, Roumanie, Tunisie, Singapour).
06 — À RETENIR
Conclusion
Advens et Intrinsec sont les deux références françaises à inviter d'office sur tout dossier de SOC managé ETI/grand compte régulé. La règle est simple : consulter les deux, exiger les pièces ANSSI, et faire trancher par le profil d'achat (PDIS dur, SLA contractuels, threat hunting inclus). Voir aussi notre comparatif Advens vs Orange Cyberdefense pour l'arbitrage pure-player vs filiale d'opérateur, et notre fiche dédiée « MDR + PDIS ANSSI » pour le sous-ensemble des opérateurs éligibles aux marchés OIV LPM.
Advens ou Intrinsec : on vous aide à trancher
Décrivez votre périmètre. On vous envoie une analyse personnalisée et 3 propositions chiffrées (incluant Advens et Intrinsec si pertinent). Réponse sous 24h ouvrées, gratuit.