soc-manage.frRecevoir 3 devis →

SECTEUR · OIV & OSE (LPM)

MDR OIV et OSE : SOC managés PDIS et PRIS ANSSI

11 fournisseurs · 4 référentiels · 6 critères d'achat

Les Opérateurs d'Importance Vitale (OIV) désignés au titre de la Loi de Programmation Militaire de 2013 et les Opérateurs de Services Essentiels (OSE / désormais entités essentielles NIS2) forment le segment le plus exigeant du marché MDR français. Le cadre est strict : seul un Prestataire de Détection d'Incidents de Sécurité (PDIS) qualifié par l'ANSSI peut opérer le SOC d'un OIV ; seul un Prestataire de Réponse aux Incidents de Sécurité (PRIS) qualifié peut gérer la réponse à incident. À mi-2026, le nombre de prestataires qualifiés reste très restreint : environ neuf PDIS actifs, une quinzaine de PRIS, et seulement six ou sept prestataires cumulant PDIS + PRIS sur la même entité ou groupe.

Concrètement, choisir un MDR pour un OIV se résume souvent à arbitrer entre trois profils. D'abord, les pure-players à triple ou quadruple qualif (Advens, Orange Cyberdefense, Thales, Sopra Steria IS&S) qui cumulent PASSI + PDIS + PRIS et parfois PACS — ils sont la référence pour les OIV avec budget et exigence souveraine maximale. Ensuite, les MSSP avec qualifs étendues mais PDIS manquant (Almond, Intrinsec, Formind) qui peuvent opérer pour des OSE / entités essentielles NIS2 sans PDIS requis, mais pas pour un OIV pur. Enfin, les filiales défense (Airbus Protect, Eviden) qui ont PDIS sans PRIS — adaptées à la détection en environnement défense/aérospatial mais nécessitant un partenaire PRIS pour l'IR.

Le tier non-souverain est ici structurellement exclu. Aucun éditeur US n'est PDIS, aucun n'est qualifié pour une mission OIV stricto sensu — la doctrine ANSSI et la LPM sont sans ambiguïté sur ce point.

01 — RÉFÉRENTIELS

Contexte réglementaire

Loi de Programmation Militaire (LPM)

Articles 22 et suivants de la LPM 2013 (codifiés au Code de la défense) : obligations de sécurité des SI d'importance vitale pour les OIV, notification d'incidents à l'ANSSI, recours obligatoire à des prestataires qualifiés PDIS pour la détection et PRIS pour la réponse. La LPM 2024-2030 a élargi le périmètre et durci les sanctions.

Qualification PDIS

Prestataire de Détection d'Incidents de Sécurité : référentiel ANSSI évalué par audit (LNE, BSI ou équivalent). Couvre la collecte, l'analyse, la détection et l'alerte. À mi-2026, neuf prestataires actifs : Advens, Airbus Protect, Eviden, Orange Cyberdefense, Sopra Steria IS&S, Thales, Hub One (via Sysdream), Docaposte (via Formind, en cours), Capgemini (en cours).

Qualification PRIS

Prestataire de Réponse aux Incidents de Sécurité : référentiel ANSSI couvrant l'investigation, le confinement et l'éradication. À mi-2026, environ quinze qualifs actives : Almond (héritée Amossys), Orange Cyberdefense, Thales, Sopra Steria, Intrinsec, Formind, Serma Safety & Security, Devoteam (PASSI LPM seul), etc.

NIS2 entité essentielle

La transposition NIS2 élargit considérablement le périmètre des entités contraintes par rapport au régime OSE de NIS1. Pour les entités essentielles, les obligations cyber se rapprochent de celles des OIV sans imposer formellement PDIS/PRIS — mais la doctrine ANSSI recommande fortement le recours à des prestataires qualifiés.

02 — GRILLE DE CHOIX

Critères d'achat propres au secteur

  1. 01Qualification PDIS ANSSI active si vous êtes OIV : c'est une condition réglementaire, pas une préférence. Vérifier sur le catalogue cyber.gouv.fr la date d'expiration et le périmètre couvert.
  2. 02Qualification PRIS ANSSI active sur l'entité ou la maison-mère, idéalement avec un CERT formel reconnu (InterCERT, Trusted Introducer).
  3. 03PASSI LPM minimum pour les audits associés (test d'intrusion, audit d'architecture, audit organisationnel).
  4. 04SOC opéré exclusivement en France ou option FR-strict contractualisable, sans transit des logs vers cloud tiers non maîtrisé.
  5. 05Capacité de réponse rapide documentée : mobilisation IR sous 2 h ou moins, équipe forensics interne ou partenaire qualifié.
  6. 06Plateforme de détection compatible avec les exigences PDIS (cloisonnement, traçabilité, audit). Stack souveraine (HarfangLab, Sekoia, Gatewatcher) ou stack US contractualisée FR-strict.

03 — SÉLECTION (11)

Fournisseurs recommandés

01

Advens

Souverain FR· Lille

Pure-player français indépendant à triple qualif ANSSI (PASSI + PDIS + PRIS), SOC opéré en France 24/7. Plateforme mySOC orchestrant stacks souveraines (HarfangLab, Gatewatcher) ET non-souveraines selon le choix client. Hébergement UE à confirmer SecNumCloud strict en RFP.

02

Orange Cyberdefense

Souverain FR· Nanterre

Filiale 100 % Orange, quatre qualifs ANSSI (PASSI + PDIS + PRIS + PACS) — un des très rares acteurs avec les 4. Option FR-strict contractualisable explicitement pour OIV, deal France PCS 2025 « opérateur SOC souverain qualifié PDIS ». Référence OIV de premier rang.

03

Thales

Souverain FR· Meudon

Groupe défense français coté, quatre qualifs rares (PASSI Élevé + PDIS Élevé + PRIS Élevé + SecNumCloud via S3NS). Plateforme propriétaire Cybels (SIEM + sonde NDR qualifiée ANSSI). Périmètre PRIS sur 4/5 activités (hors gestion de crise). Profil OIV/Défense souverain de premier rang.

04

Sopra Steria

Souverain FR· Annecy

ESN française cotée contrôlée par holding familiale FR Sopra GMT. La filiale IS&S cumule PASSI + PDIS + PRIS (PRIS qualifiée mars 2024). Suite MACTAN 100 % française pour défense/OIV + RightSecurity MXDR Microsoft pour grands comptes.

05

Eviden (ex-Atos)

Non-souverain· Bezons

Eviden France porte la qualification PDIS ANSSI ; les qualifs PASSI haut + SecNat sont détenues par l'entité sœur Atos Digital Security. ⚠️ french_sovereign = false : capital sous contrôle de créanciers internationaux post-restructuration, plateforme AIsaac adossée à AWS. Recevable uniquement si le périmètre OIV accepte un tier non-souverain UE.

06

Airbus Protect

Souverain FR· Blagnac

Filiale cyber Airbus, qualifiée PASSI RGS + LPM et PDIS à Élancourt (depuis 2019). Spécialité OT/ICS forte (aérospatial, défense, énergie). Absence de PRIS ANSSI à signaler — nécessite un partenaire PRIS pour l'IR sur OIV.

07

Sysdream

Souverain FR· Levallois-Perret

Filiale de Hub One (groupe ADP), PASSI LPM (5 portées) + PDIS via maison-mère (initiale 2023, renouvellement en cours), CSIRT CERT Aviation France. SOC 24/7 FR avec engagement de non-transit cloud tiers. Profil OIV transport/aviation spécifique.

08

Intrinsec

Souverain FR· Courbevoie

Pure-player historique (1995), filiale du groupe coté Neurones. Triple qualif PASSI-LPM + PRIS Élevé + PACS (mais pas PDIS), SLA chiffrés publiés (alertes <5 min, prise en charge critique <15 min). Recevable OSE / entité essentielle NIS2 sans PDIS requis.

09

Almond

Souverain FR· Sèvres

Pure-player FR sous PE Seven2, triplet PASSI LPM + PACS + PRIS hérité d'Amossys (intégration achevée 2026). SOC CWATCH 24/7 sur Microsoft Sentinel. ⚠️ Pas de PDIS — recevable OSE / entité essentielle NIS2 mais pas OIV strict.

10

Serma Safety & Security

Souverain FR· Pessac

Filiale du groupe SERMA, PASSI niveau élevé et premier acteur qualifié PRIS Substantiel selon le nouveau référentiel ANSSI. Couverture IT + OT + IoT, SOC qualifié de proximité. Pas de PDIS — recevable OSE / NIS2 entité essentielle.

11

Formind

Souverain FR· Issy-les-Moulineaux

Pure-player FR indépendant, qualifié PASSI puis PASSI LPM (2026) + PRIS en cours, ISO 27001, SOC & CERT 24/7. Partenaire opérationnel du Pack Cyber Docaposte. Modèle BYO/co-managé. Pas de PDIS qualifié à date.

04 — EXCLUSIONS

Non recommandés pour ce secteur

Tout le tier non-souverain est structurellement exclu de ce segment : CrowdStrike, SentinelOne, Sophos, Microsoft Defender Experts, Palo Alto Unit 42, Arctic Wolf, Bitdefender, Integrity360 ne sont pas qualifiés PDIS et leur intervention sur un OIV est non conforme LPM. CGI France et APIXIT, malgré PASSI, sont des filiales non-FR et ne portent pas PDIS. Les MSSP/MSP sans qualif ANSSI (Hexanet, Linkt, Devensys, Sigma, BLUE, AISI, SNS Security, Stoik, Dattak, Dataxium, Cyna, Metsys) sont volontairement écartés ici malgré leur souveraineté française : ils peuvent couvrir des entités essentielles NIS2 hors OIV, mais ne sont pas habilités OIV.

05 — À RETENIR

Conclusion

Le segment OIV reste le plus simple à arbitrer parce que les qualifications ANSSI tranchent : si vous êtes OIV, votre prestataire doit être PDIS, point. La question n'est pas de savoir si un MSSP « va bien » dans l'absolu, mais s'il a les qualifs requises et un périmètre conforme. Nos fiches détaillent pour chaque acteur le numéro de qualification, sa date d'expiration, le périmètre couvert et les éventuelles zones d'ombre (PDIS via maison-mère, PRIS sur portée restreinte, etc.). Pour les RFP en cours, la première vérification doit être un croisement direct avec le catalogue ANSSI publié sur cyber.gouv.fr — les revendications marketing de qualif sont fréquentes mais pas toujours corroborées par le registre officiel.

Vous cherchez un MDR pour le secteur oiv & ose (lpm) ?

Décrivez votre périmètre en 90 secondes. On vous met en relation avec 3 fournisseurs adaptés à vos contraintes (HDS, NIS2, OIV…). Réponse sous 24h ouvrées, indépendant, gratuit.

Recevoir 3 propositions adaptées