CONFORMITÉ · LPM (OIV)

MDR LPM : SOC managés PDIS et PRIS pour OIV

11 fournisseurs · 6 excellents · 5 articles · 8 critères MDR

La Loi de Programmation Militaire 2013-2018 (loi 2013-1168 du 18 décembre 2013), codifiée aux articles L.1332-1 et suivants du Code de la défense, a fondé le statut français d'Opérateur d'Importance Vitale (OIV). Sont OIV les entités publiques ou privées exerçant une activité indispensable au fonctionnement de la Nation, dans douze secteurs critiques : énergie, transport, télécommunications, santé, eau potable, finance, alimentation, gestion de l'eau, audiovisuel et information, espace et recherche, industrie, activités militaires et industrielles de l'armement. Environ 250 OIV sont désignés à ce jour, par arrêté nominatif protégé.

Les obligations LPM pour un OIV sont parmi les plus strictes au monde : (a) installation de systèmes de détection qualifiés (« sonde nationale ») chez l'OIV ; (b) recours à des prestataires qualifiés PDIS pour la détection et PRIS pour la réponse aux incidents (article R.1332-41-10 et suivants du Code de la défense, complétés par les arrêtés du 28 novembre 2016 et du 1er octobre 2018) ; (c) notification de tout incident significatif au Premier ministre via l'ANSSI sous 24h ; (d) contrôles inopinés par l'ANSSI ; (e) sanctions pénales pouvant atteindre 150 000 € (personne physique) ou 750 000 € (personne morale) en cas de manquement aux règles de sécurité, et plus en cas de divulgation d'informations protégées.

La qualification PDIS (Prestataire de Détection des Incidents de Sécurité) est délivrée par l'ANSSI après un audit du prestataire sur les axes capacité technique, processus opérationnels, gouvernance et sécurité interne. À mi-2026, environ 9 prestataires sont qualifiés PDIS, selon le registre nis2-pro.fr. La qualification PRIS (Prestataire de Réponse aux Incidents de Sécurité) est délivrée selon le même schéma pour la réponse — soit 4 à 7 acteurs selon le périmètre exact (registre ANSSI cyber.gouv.fr). Le cumul PDIS + PRIS sur la même entité juridique est rare, et constitue le critère d'arbitrage le plus discriminant pour un OIV.

Deuxième point structurant : la doctrine OIV exige une souveraineté capitalistique stricte. Capital majoritairement français, gouvernance française, opérations exclusivement françaises sur le périmètre OIV. Les filiales françaises de groupes non-UE (CrowdStrike, Sophos, Microsoft, Palo Alto, Sentinelone, Arctic Wolf, Bitdefender, Eviden post-créanciers internationaux, APIXIT-Bechtle, CGI France) sont disqualifiées de facto pour le statut OIV — la doctrine ANSSI ne les considère pas comme aptes à opérer un service qualifié sur un système d'importance vitale. Cette page liste les MDR qui répondent à ce double critère : qualifications ANSSI actives PDIS et/ou PRIS, et souveraineté capitalistique opérationnelle confirmée.

01 — PÉRIMÈTRE

Qui est concerné ?

Sont concernés les ~250 OIV désignés par arrêté nominatif (protégé), couvrant 12 secteurs : énergie (EDF, Engie, TotalEnergies, RTE, GRTgaz, Enedis…), transport (SNCF, RATP, Air France, ports, aéroports majeurs), télécommunications (Orange, Bouygues Telecom, SFR, Free), santé (CHU majeurs, EFS, Santé publique France), eau potable (Veolia, Suez, syndicats des eaux), finance (BNP, SG, CA, Banque de France), audiovisuel et information (France Télévisions, Radio France, AFP), espace et recherche (CNES, CEA, ONERA, Pasteur), industrie (sites Seveso seuil haut désignés), armement (groupes de défense, DGA, ministère des Armées). Le statut OIV est désigné par le Premier ministre via les ministres coordonnateurs sectoriels.

02 — TEXTE LÉGAL

Articles & exigences clés

Code de la défense L.1332-1 à L.1332-7

Régime OIV et obligations de sécurité

Désignation par arrêté du Premier ministre, identification des systèmes d'information d'importance vitale (SIIV), élaboration d'une politique de sécurité, recours à des prestataires qualifiés, contrôles ANSSI, sanctions pénales en cas de manquement.

Arrêté 28 novembre 2016 (PDIS) + Arrêté 1er octobre 2018 (PRIS)

Qualifications ANSSI obligatoires pour PDIS et PRIS

PDIS = qualification pour la détection des incidents de sécurité (référentiel PDIS v3 actuel). PRIS = qualification pour la réponse aux incidents (référentiel PRIS v3, activités INV/PCI/CODE). Audits initiaux + suivi annuel + renouvellement triennal.

Code de la défense R.1332-41-1 et suivants

Notification d'incidents sous 24h

Tout incident significatif affectant la sécurité ou la disponibilité d'un SIIV doit être notifié à l'ANSSI sous 24h. Premier rapport, mises à jour, rapport final selon la doctrine ANSSI. Coopération avec le COSSI (Centre Opérationnel de la Sécurité des SI).

Code de la défense L.2321-2-1 + LPM 2024-2030

Sondes nationales et capacité d'audit

L'État (via l'ANSSI) peut imposer l'installation de dispositifs de détection (« sondes nationales ») chez l'OIV. Le prestataire de détection doit accepter de coopérer avec l'ANSSI et de partager les éléments factuels en cas d'investigation.

Article R.1332-41-13 + IGI 1300 / IGI 901

Habilitations et protection des informations

Le prestataire (et ses personnels accédant aux SIIV) doivent disposer des habilitations adéquates (Confidentiel Défense, Secret Défense selon le périmètre). Les locaux et systèmes traitant des informations OIV sont soumis aux instructions générales interministérielles 1300/901.

03 — IMPLICATIONS MDR

Critères MDR qui découlent du référentiel

01Qualification PDIS ANSSI active confirmée au catalogue cyber.gouv.fr — pas de « en cours », pas de « démarche engagée »
02Qualification PRIS ANSSI active confirmée — idéalement sur la même entité juridique que la PDIS pour la cohérence d'audit
03SOC opéré exclusivement en France — pas de rotation mondiale hors UE, pas de sous-traitance étrangère sur le périmètre OIV
04Capital majoritairement français, gouvernance française — la doctrine ANSSI exclut de facto les filiales de groupes non-UE
05Personnels habilités (CD/SD selon le périmètre) — preuve de la chaîne d'habilitation et de la gestion des accès
06Capacité à opérer en environnement Diffusion Restreinte (DR) à Secret Défense (SD) si le périmètre OIV l'exige
07Workflow ANSSI/COSSI documenté et testé — notification 24h, coopération en cas d'investigation, formats de partage normalisés
08Stack technique alignée avec les exigences OIV : pas d'éditeur tiers exposé à juridiction extra-UE sur le périmètre supervisé

04 — SÉLECTION (11)

Fournisseurs éligibles

Excellent· 6

Advens

Souverain FR· Lille

Triple qualification ANSSI active (PASSI + PDIS + PRIS) — un des très rares acteurs FR avec ce cumul sur la même entité. Capital majoritairement FR (fondateur + management + salariés, fonds FR Capza/Parquest/Adélie en minoritaires). SOC opéré FR validé PDIS. Pure-player FR indépendant — souveraineté capitalistique limpide.

Force spécifique → Workflow ANSSI éprouvé sur incidents OIV — Advens est l'un des acteurs FR les plus actifs sur le segment OIV historique.

Orange Cyberdefense

Souverain FR· Nanterre

Quadruple qualification ANSSI (PASSI + PDIS + PRIS + PACS). Capital 100 % Orange (groupe FR coté). Option FR-strict contractualisable pour OIV (deal France PCS 2025 « opérateur SOC souverain qualifié PDIS », UGAP marché SSI public). SOC multi-sites FR. World Watch CERT mondial.

Force spécifique → Profondeur opérationnelle unique sur OIV multi-sites — capable d'aligner ANSSI + Cybercommand sur un même client.

Thales

Souverain FR· Meudon

PASSI Élevé + PDIS Élevé + PRIS Élevé + SecNumCloud via S3NS. Catalogue ANSSI 06/2026 confirmé : PDIS n°1514 jusqu'au 18/09/2028, PRIS n°322 jusqu'au 27/02/2028, PASSI n°440. Toutes Sécurité nationale Oui. Profil défense/OIV assumé, capital FR coté, habilitations CD/SD natives.

Force spécifique → Plateforme propriétaire Cybels + sonde NDR qualifiée ANSSI — stack souveraine bout-en-bout, alignée avec la doctrine sondes nationales LPM.

Sopra Steria

Souverain FR· Annecy

Triplet ANSSI PASSI + PDIS + PRIS sur l'entité Sopra Steria Infrastructures and Security Services (Annecy) — PRIS qualifiée mars 2024. Capital contrôlé par Sopra GMT (holding familiale FR). Suite MACTAN « 100 % française » pour clients défense/OIV. 1600 experts cyber FR.

Force spécifique → Cumul ANSSI + suite souveraine MACTAN + CERT >100 ETP — alternative crédible à Thales/Orange CD/Advens sur les très grands OIV.

Intrinsec

Souverain FR· Courbevoie

PASSI-LPM/RGS Élevé + PRIS v3 Élevé (INV/PCI/CODE) + PACS. SLA chiffrés publiés (alertes <5min, IR <2h, CERT <1h) — preuve contractuelle directement réutilisable en dossier OIV. Filiale Neurones (FR coté). Cas limite french_sovereign sur le rotation mondiale à Pologne/Canada/Roumanie/Tunisie/Singapour — à exclure contractuellement pour OIV (clause SOC FR-strict).

Force spécifique → Catalogue ANSSI complet sur la même entité juridique + sister entity Cloud Temple SecNumCloud — chaîne souveraine activable.

Airbus Protect

Souverain FR· Blagnac

PASSI + PDIS ANSSI à Élancourt depuis 2019. Capital européen (Airbus SE). 5 SOC interconnectés FR/DE/ES/UK. Spécialité OT/ICS reconnue — critique pour les OIV des secteurs énergie, transport, eau, industrie. Stack propriétaire (Prophecy, Orion Malware, Keelback Net sonde NDR APT, Tactical SOC déployable Armée FR gen 3).

Force spécifique → Tactical SOC déployable Armée FR — capacité unique sur le marché pour un OIV défense ou industriel exposé à des scénarios de durcissement.

Bon· 5

Sysdream

Souverain FR· Levallois-Perret

PASSI LPM (5 portées, sept 2025) + PDIS via maison-mère Hub One (initiale 04/04/2023, en cours de renouvellement). CSIRT CERT Aviation France reconnu. Adossement Groupe ADP / Hub One = capital public, ancrage aéroportuaire. SOC 24/7 FR avec engagement de non-transit logs vers cloud tiers.

Force spécifique → Combinaison rare PASSI LPM + PDIS sur le secteur aviation/transport — pertinent pour les OIV ADP, Air France, sous-traitants critiques.

Serma Safety & Security

Souverain FR· Pessac

PASSI niveau Élevé (sécurité nationale) + premier acteur qualifié PRIS Substantiel selon le nouveau référentiel ANSSI. Filiale du groupe SERMA. Couvre IT, OT et IoT — adapté aux OIV industriels. Stack hybride SOAR + EDR + XDR + SIEM avec déploiement on-premise possible.

Force spécifique → Couverture OT/IoT native + nouveau référentiel PRIS Substantiel — positionnement OIV industriel midmarket.

Docaposte Cyber

Souverain FR· Ivry-sur-Seine

Filiale numérique La Poste (capital public, parent OIV). PASSI actif (équipes Groupe La Poste certifiées ANSSI) + PDIS en cours via partenariat Formind. Stack 12 partenaires FR/UE 100 % souveraine. À noter : Docaposte n'opère pas elle-même le SOC pour le Pack Cyber — c'est Formind (PASSI + PRIS en cours). Pertinent pour OIV qui veulent une chaîne souveraine bout-en-bout.

Force spécifique → Capital public + chaîne souveraine 100 % FR/UE + co-fondatrice Numspot SecNumCloud — alignement total avec la doctrine LPM.

Formind

Souverain FR· Issy-les-Moulineaux

Pure-player FR indépendant. PASSI + PASSI LPM (sécurité nationale, 2026) + PRIS en cours. SOC & CERT 24/7 FR. Opérateur principal du Pack Cyber Docaposte. À noter : PRIS pas encore active formellement — pour un OIV strict, à valider au moment du RFP. Pour un OIV en montée en charge, profil cohérent.

Force spécifique → PASSI LPM SecNat + acteur opérationnel Pack Cyber 100 % souverain — preuve d'industrialisation sur un programme État.

SYNETIS

Souverain FR· Paris

Pure-player FR 100 % indépendant (capital 100 % co-fondateurs FR sans fonds). PASSI haut LPM obtenu oct 2025 + qualif PRIS pour le CERT en cours (J0 validé S1 2024). SOC dédié Rennes 24/7 « no offshore outsourcing » revendiqué. Profil adapté aux OIV midmarket qui veulent un pure-player indépendant.

Force spécifique → Cumul capital 100 % FR + PASSI LPM + opérations 100 % FR + démarche PRIS = profil OIV-friendly en montée.

05 — EXCLUSIONS

Non recommandés pour ce référentiel

Sont exclus structurellement de la sélection LPM/OIV : (1) tous les tier non-souverains au sens de notre taxonomie — CrowdStrike, SentinelOne, Sophos, Microsoft Defender Experts, Palo Alto Unit 42, Arctic Wolf, Bitdefender, Integrity360 — la doctrine ANSSI ne reconnaît pas ces opérateurs comme aptes à intervenir sur un SIIV ; (2) Eviden malgré sa PDIS active : capital sous contrôle créanciers internationaux (Sound Point, Attestor, BlackRock, ECP), plateforme AIsaac adossée AWS, CERT à Bydgoszcz Pologne — incohérent avec la doctrine LPM ; (3) APIXIT (filiale Bechtle DE), CGI France (filiale CGI Canada), I-Tracing (capital partiel UK Oakley depuis juin 2024 + filiales SOC hors UE à Hong Kong/Singapour/Chine/Malaisie/Canada) — souveraineté capital ou opérationnelle insuffisante pour LPM ; (4) tous les MDR FR sans qualification PDIS ni PRIS — la LPM exige ces qualifications, point. Cela exclut Almond, Capgemini (PDIS en cours seulement), I-Tracing, Algosecure, NEVERHACK, Magellan Sécurité, ITrust, Devoteam (PASSI LPM seul, sans PDIS/PRIS), Hexanet, BLUE, Linkt, OWN.security, Sigma, Cheops, et l'ensemble des MSP régionaux. Ces acteurs peuvent être pertinents pour une supervision périphérique ou pour un OIV en amont de désignation, mais pas pour le périmètre SIIV qualifié.

06 — RFP

Questions à poser au fournisseur

☐Êtes-vous qualifié PDIS ANSSI ? Numéro de décision, périmètre, date d'échéance, registre cyber.gouv.fr vérifiable ?
☐Êtes-vous qualifié PRIS ANSSI ? Sur la même entité juridique que la PDIS ? Périmètre INV/PCI/CODE complet ?
☐Votre SOC est-il opéré exclusivement en France pour le périmètre OIV ? Acceptez-vous une clause FR-strict avec exclusion rotation mondiale étranger ?
☐Quel est votre capital détaillé ? Y a-t-il un actionnaire de contrôle (ou minoritaire de blocage) hors UE ?
☐Vos personnels disposent-ils d'habilitations CD/SD ? Combien d'ETP habilités sont disponibles pour notre périmètre ?
☐Avez-vous des références OIV publiques ? Quel secteur, taille, ancienneté de la relation, type d'incident géré ?
☐Quel est votre workflow ANSSI/COSSI documenté (notification 24h, coopération, format de partage) ? L'avez-vous déjà actionné en réel ?
☐Acceptez-vous les contrôles inopinés ANSSI conjoints + une obligation de coopération en cas d'investigation État ?

07 — À RETENIR

Conclusion

Le marché du MDR-OIV en France est structurellement étroit. Les acteurs réellement éligibles tiennent en une demi-douzaine de noms : Advens, Orange Cyberdefense, Sopra Steria, Thales, Intrinsec, Airbus Protect — le cœur des ANSSI-complets souverains. Sysdream (via Hub One), Serma Safety & Security et Docaposte Cyber (via Formind) ajoutent quelques options sectorielles. Au-delà, on entre dans des profils en montée (Formind, Synetis) qui peuvent être pertinents en mode adjacent ou amont. Notre recommandation pratique : pour un OIV stable, partez d'une consultation 3 acteurs parmi les ANSSI-complets, en challengeant explicitement le SOC FR-strict, l'habilitation, et la stack souveraine. Pour un OIV en désignation ou en bascule, prévoyez une transition longue (6-12 mois minimum) pour ajuster les qualifications et les habilitations. Le mauvais réflexe à éviter : signer avec un MDR international en s'appuyant sur une « équivalence fonctionnelle » des qualifications étrangères — l'ANSSI ne reconnaît pas ces équivalences pour le périmètre SIIV, et la sanction pénale est réelle.

MDR conforme LPM (OIV) : trouver le bon fournisseur

On vous met en relation avec 3 fournisseurs vraiment éligibles LPM (OIV) (pas juste « compatible » sur le papier). Réponse sous 24h ouvrées, indépendant, gratuit.

Recevoir 3 propositions adaptées →