COMPARATIF · A VS B
Almond vs Intrinsec : pure-players FR, philosophies opposees
Almond et Intrinsec se ressemblent sur le papier : pure-players cyber français, effectifs comparables (~250-450 collaborateurs selon périmètres), SOC en France, qualifications ANSSI structurées, ciblage ETI et grands comptes. Mais sur le terrain, ce sont deux philosophies opposées du MDR souverain.
Almond (Sèvres, fusion NetXP + MP Group en 2019, capital fondateurs + PE Seven2 minoritaire) a fait le choix d'un alignement explicite avec l'écosystème Microsoft (Sentinel + Defender plateforme socle) et d'une couche d'innovation IA produit (Qevlar AI, ITERA detection-as-code, M&NTIS adversary emulation). Intrinsec (Courbevoie, fondée en 1995, filiale du groupe coté Neurones) est resté sur un modèle de pure-player multi-vendor classique avec une signature forte sur deux axes : les SLA contractuels chiffrés très rares en France, et un threat hunting structuré formalisé en 4 offres distinctes.
Almond cumule PASSI RGS + PASSI-LPM + PACS + PRIS (hérités Amossys) mais pas de PDIS ; Intrinsec a PASSI-LPM + PRIS Élevé + PACS, également sans PDIS. Sur ce critère, les deux acteurs sont à égalité — ni l'un ni l'autre ne couvre une exigence PDIS contractuelle dure. Les arbitrages se jouent en réalité sur trois axes : engagement Microsoft (Almond oui, Intrinsec partiel), SLA contractualisés (Intrinsec publie, Almond ne publie pas), CERT intégré ou séparé (Almond intégré dans son ROC, Intrinsec séparé en abonnement).
01 — TABLEAU COMPARATIF
15 dimensions face-à-face
| Dimension | Almond | Intrinsec |
|---|---|---|
| Capital / ownership | PE-backed : fondateurs Pantaleo/Aliotti majoritaires + Seven2 minoritaire | Filiale du groupe cote Neurones (76%) + dirigeants/salaries (24%) via holding Dragonfly |
| Effectif | ~450 collaborateurs FR+EU, 120+ experts dans le ROC | ~250 collaborateurs |
| SOC localisation | ROC Sevres + Suisse + service centers internationaux rotation mondiale | SOC Courbevoie ~40 analystes IDF + rotation mondiale delocalise Pologne, Canada, Roumanie, Tunisie, Singapour |
| Qualifications ANSSI | PASSI RGS + PASSI-LPM + PACS + PRIS (heritees Amossys, integration 01/01/2026). Pas de PDIS | PASSI-LPM/RGS Eleve + PRIS v3 Eleve + PACS. Pas de PDIS |
| Plateforme principale | Microsoft Azure Sentinel + Defender (non souveraine techno) + ITERA + M&NTIS + Qevlar AI | Sekoia + HarfangLab (souverains FR) + Splunk + Microsoft Defender + SentinelOne (multi-vendor) |
| Autorite de reponse | Remediation active : isolation, kill process, quarantaine, desactivation compte | Reponse guidee + escalade ; containment limite a isolation endpoint en direct |
| SLA contractuels | Non publies en clair, metriques Qevlar vendor (-5min MTTR sur 80% alertes) non SLA | SLA chiffres publies : alertes <5 min, prise en charge incident critique <15 min, IR/forensic <2h, CERT <1h |
| Incident response (CERT) | Inclus dans le ROC unifie | CERT-Intrinsec en abonnement distinct, mobilisation 1h, non inclus dans SOC standard |
| Threat hunting | Inclus | 4 offres formalisees distinctes (hypothesis-driven, MITRE TTPs mapping, silent post-incident, co-construit) |
| Surfaces couvertes | Endpoint + identite | Endpoint principalement |
| Innovation IA / produit | Differenciateur fort (Qevlar, ITERA, M&NTIS) | Pas d'AI agentique annoncee, focus sur la methodologie hunting humaine |
| Cible cliente | Mid-market M365/Azure + ETI sur socle Sentinel + grands comptes M365 | ETI + OIV/Ministeres + secteurs regules |
| Hebergement | Azure France Central tenant client | Non confirme publiquement (Cloud Temple SecNumCloud, sister Dragonfly, candidat naturel) |
| Modele de management | Cle en main + co-manage | Co-manage hybride, Full Outsourced SOC en option |
| Reference presse FR | Partenaire Microsoft FR, ROC unifie 2026 | ISG Provider Lens 2025 |
02 — ARBITRAGE
Quand choisir Almond
Almond convient à trois profils bien identifiés. Les organisations Microsoft-first qui veulent un MDR cohésif avec leur stack M365 / Azure / Defender / Sentinel, en premier lieu : la plateforme socle Microsoft minimise les frictions d'intégration et la courbe d'apprentissage côté analystes. Les acheteurs qui valorisent l'innovation IA agentique, ensuite : Qevlar AI pour l'auto-investigation des alertes, ITERA pour la detection-as-code, M&NTIS pour l'émulation adversaire constituent un trio différenciant rare sur le marché français. Pour une ETI qui cherche un partenaire MDR moderne et capable d'évoluer rapidement sur les usages IA, Almond a une longueur d'avance. Les acheteurs qui veulent un guichet unique, enfin : le ROC unifié regroupe SOC + CTI + VOC + CERT + ITO en un seul service, ce qui simplifie la contractualisation et évite le morcellement.
Deux réserves importantes pèsent dans la balance. La souveraineté technologique est limitée : la plateforme socle Microsoft expose théoriquement au CLOUD Act et au FISA Section 702, même si le tenant est Azure France Central et que le projet Bleu (JV Capgemini/Orange/Microsoft) avance vers la qualification SecNumCloud (étape 1 validée avril 2025). Un client qui veut une souveraineté techno bout-en-bout regardera ailleurs (Linkt, OWN.security, Hexanet). Et Almond ne publie pas de SLA contractuels chiffrés : pour un acheteur qui veut activer des pénalités, c'est un manque.
03 — ARBITRAGE
Quand choisir Intrinsec
Intrinsec marque des points sur trois axes. Les SLA contractuels chiffrés, d'abord : sur le marché français, où la plupart des concurrents annoncent des métriques observées sans engagement contractuel public, Intrinsec publie noir sur blanc des engagements (alertes <5 min, prise en charge incident critique <15 min, IR/forensic <2 h, CERT abonnement <1 h) avec pénalités associées. Pour un acheteur qui veut piloter la performance par SLA et activer des sanctions en cas de dérive, Intrinsec est mieux outillé. Le threat hunting structuré formalisé en 4 offres distinctes (hypothesis-driven, MITRE TTPs mapping, silent post-incident, co-construit) permet ensuite de calibrer précisément le hunting selon la maturité et le besoin du client, là où Almond inclut le hunting sans méthodologie publique aussi différenciée. La neutralité technologique, enfin : Intrinsec orchestre des stacks souveraines (Sekoia, HarfangLab) comme non souveraines (Splunk, MS Defender, SentinelOne), au choix du client. Pour une organisation qui ne veut pas être captive de Microsoft, Intrinsec est plus modulable.
Reste trois réserves. La couverture H24 rotation mondiale délocalise une partie de la supervision hors UE (Pologne, Canada, Roumanie, Tunisie, Singapour) : souverain pour le SOC FR principal de jour, plus discutable pour un client FR-strict 24h/24. L'autorité de réponse est limitée à la réponse guidée, avec containment direct uniquement sur isolation endpoint — moins fort qu'Almond qui dispose de 4 actions SOAR. Et le CERT est séparé en abonnement distinct (1 h mobilisation) plutôt qu'intégré au SOC : pour un acheteur qui veut un guichet unique, c'est moins lisible.
04 — VERDICT
Notre verdict éditorial
Almond et Intrinsec sont sur la même orbite mais sur des trajectoires opposées. Almond a fait le pari de l'intégration Microsoft + innovation IA produit + guichet unifié. Intrinsec a fait le pari de la neutralité multi-vendor + SLA contractuels chiffrés + hunting structuré. Le choix entre les deux est moins une question de qualité (les deux sont sérieux) qu'une question de philosophie d'achat.
Sur les profils Microsoft-first sans contrainte de SLA noir sur blanc, Almond passe. Sur les profils multi-vendor avec exigence de SLA chiffrés et hunting structuré formalisé, Intrinsec passe. Sur la souveraineté capitalistique, les deux sont français en capital. Sur la souveraineté technologique, ni l'un ni l'autre n'est pure (Almond dépend de Microsoft, Intrinsec dépend partiellement de stacks US — Splunk, Microsoft, SentinelOne — même s'il propose Sekoia + HarfangLab). Sur les qualifications ANSSI, les deux sont au même niveau (PASSI, PRIS, PACS chez les deux ; PDIS chez aucun).
Notre conseil : sur un dossier ETI mid-market, consulter les deux. Si la décision finale se joue sur la SLA, Intrinsec passe ; si elle se joue sur la cohésion technique avec un socle Microsoft existant, Almond passe.
05 — PAR PROFIL
Recommandation selon le profil acheteur
Almond Almond mieux adaptéIntrinsec Intrinsec mieux adaptéIndifférent les deux conviennent
ETI M365 E5 / Defender XDR voulant cohesion socle
Almond est Microsoft-first explicite, Intrinsec est plus generaliste sans alignement editeur.
ETI valorisant SLA contractuels chiffres avec penalites
Intrinsec publie des SLA precis (alertes <5 min, prise en charge <15 min, IR <2h). Almond ne publie pas.
ETI voulant un threat hunting structure formalise par methodologie
Intrinsec offre 4 modalites de hunting distinctes. Almond inclut le hunting sans methodologie publique aussi differenciee.
Grand compte voulant un guichet unique SOC + CTI + CERT inclus
ROC Almond unifie SOC, CTI, VOC, CERT et ITO. Intrinsec facture le CERT separement.
OIV LPM avec exigence PDIS dure
Ni Almond ni Intrinsec ne sont qualifies PDIS. Les deux sont disqualifies. Voir Advens ou Orange Cyberdefense.
Acheteur valorisant l'innovation IA agentique (auto-investigation des alertes)
Almond integre Qevlar AI. Intrinsec n'a pas d'annonce IA agentique equivalente.
06 — À RETENIR
Conclusion
Almond et Intrinsec sont deux choix pertinents pour les ETI françaises, avec un axe d'arbitrage clair : alignement Microsoft + innovation IA (Almond) vs neutralité techno + SLA chiffrés + hunting structuré (Intrinsec). Voir aussi nos comparatifs Almond vs Advens et Advens vs Intrinsec pour cartographier l'ensemble du tier pure-players FR.
Almond ou Intrinsec : on vous aide à trancher
Décrivez votre périmètre. On vous envoie une analyse personnalisée et 3 propositions chiffrées (incluant Almond et Intrinsec si pertinent). Réponse sous 24h ouvrées, gratuit.