PLATEFORME · EDR SOUVERAIN
MDR HarfangLab : MSSP FR sur l'EDR souverain qualifié ANSSI
HarfangLab s'est imposé en quelques années comme la référence française de l'EDR (Endpoint Detection & Response) souverain. Fondée en 2018 à Paris par Renaud Bidou, Romain Gibert et Gauthier Lavernhe, la société édite un agent EDR cross-plateformes (Windows, Linux, macOS) qualifié ANSSI au visa CSPN, ce qui lui ouvre les portes des OIV (opérateurs d'importance vitale), des marchés publics sensibles et de la commande LPM (loi de programmation militaire). Son ancrage capital français — actionnaires fondateurs majoritaires, fonds Elaia/Ace Capital Partners en minoritaires — reste un critère discriminant pour les directions cyber qui veulent réduire leur dépendance aux EDR américains.
Concrètement, l'agent HarfangLab couvre la détection comportementale, la chasse aux malwares, l'isolation à distance et la capture mémoire, avec un moteur YARA personnalisable et une intégration native MITRE ATT&CK. La plateforme s'interface en MSSP via une API ouverte, ce qui permet aux fournisseurs de SOC managé de la piloter depuis leur propre console de supervision. La société revendique plus de 300 clients en France, dont le ministère des Armées, plusieurs ministères régaliens et de grands acteurs énergie/santé.
Les fournisseurs MDR français qui opèrent un service managé sur HarfangLab se répartissent en trois grandes familles : (1) les pure-players cyber et ESN qui proposent HarfangLab en option dans un catalogue BYO multi-EDR (Advens, Intrinsec, Synetis) ; (2) les acteurs souverains qui ont fait de HarfangLab leur stack par défaut, parfois en exclusivité (Axians Solar SOC, Linkt 6e Sens, OWN.security) ; (3) les bundles souverains opérés en partenariat, dont le Pack Cyber Docaposte qui distribue HarfangLab à 20 €/poste/mois aux PME et collectivités, opéré par Formind.
L'écart avec les concurrents américains (CrowdStrike Falcon, SentinelOne Singularity, Microsoft Defender) tient moins à la profondeur technique brute qu'à la trajectoire juridictionnelle : avec HarfangLab, les données de télémétrie restent en France, l'éditeur est joignable, et la stack reste éligible aux qualifications PDIS et à la commande publique régalienne.
01 — LA PLATEFORME
HarfangLab en bref
HarfangLab est un EDR (Endpoint Detection & Response) français qualifié ANSSI au visa CSPN, déployable on-premise ou en SaaS hébergé en France. L'agent cross-plateformes (Windows, Linux, macOS) couvre détection comportementale, chasse YARA, isolation réseau à distance, capture mémoire et corrélation MITRE ATT&CK. La plateforme est conçue pour s'intégrer dans une stack SOC tierce via API ouverte — la majorité des MSSP français qui la déploient le font dans une logique MDR pilotée depuis leur propre SIEM/XDR.
02 — CAPACITÉS
Ce que la plateforme fait
EDR cross-plateformes
Agents natifs Windows, Linux, macOS avec détection comportementale, isolement à distance et capture mémoire.
Visa de sécurité ANSSI (CSPN)
Certifié CSPN — éligible OIV LPM et marchés régaliens, condition nécessaire pour intégrer une qualification PDIS.
Capital et hébergement français
Société FR indépendante, données de télémétrie hébergées en France, hors champ Cloud Act et FISA 702.
Moteur YARA personnalisable
Permet aux analystes MDR d'écrire leurs propres règles de détection et de les versionner dans la console.
API ouverte pour MSSP
Intégrable dans un SIEM/XDR tiers (Sekoia.io, Splunk, Sentinel) — pas de console MDR imposée par l'éditeur.
Threat Intelligence native
Flux CTI propre et corrélation MITRE ATT&CK intégrés à la console d'investigation.
Programme Elite Partner
Niveau de partenariat MSSP le plus élevé, atteint par Thales, Capgemini, Airbus Protect — gage d'opérations à l'échelle.
03 — SOUVERAINETÉ
Positionnement souveraineté
HarfangLab est l'un des très rares EDR à cocher les trois axes durs de la souveraineté française : capital majoritairement FR, hébergement et opérations en France, et qualification ANSSI (CSPN). Pour une DSI ou un RSSI qui cherche à se mettre en conformité avec NIS2, LPM ou les exigences PDIS, c'est aujourd'hui le seul EDR français qui peut être déployé en pile complète sans dépendre d'un éditeur américain. La contrepartie : un écosystème MSSP encore plus restreint que celui de CrowdStrike ou Microsoft Defender, et une couverture identitaire ou cloud moins profonde qu'un XDR multi-surfaces. La logique est presque toujours « HarfangLab + SIEM/XDR tiers » — typiquement Sekoia.io côté souverain, parfois Microsoft Sentinel pour les SOC mixtes.
04 — FOURNISSEURS MDR (12)
Fournisseurs FR qui opèrent un service managé sur cette stack
Axians Cybersecurity, marque cyber de VINCI Energies, a fait de HarfangLab son EDR exclusif sur l'offre Solar SOC lancée en janvier 2024. L'editorial excerpt confirme un « partenariat exclusif EDR HarfangLab » et un « premier déploiement sur-mesure de HarfangLab à cette échelle ».
Force spécifique → Premier déploiement industriel à grande échelle de HarfangLab dans un SOC managé FR, datacenters propres Axians en France, variante Trust 100% souveraine.
Linkt (opérateur télécom B2B du Groupe Altitude) a hérité du SOC souverain 6e Sens lors du rachat de Capfi en mars 2025. La stack repose sur HarfangLab EDR utilisé depuis trois ans, en combinaison avec Sekoia.io et Gatewatcher.
Force spécifique → Stack 100% éditeurs FR, sélection en sole-source sur le marché public CANUT Lot 4 (établissements publics 2025-2029).
OWN.security, pure-player FR issu du SEKOIA historique, opère une pile « HarfangLab EDR FR + Sekoia.io XDR FR » revendiquée explicitement dans l'editorial excerpt comme « souveraineté de bout en bout ».
Force spécifique → Opère le M-CERT (CSIRT national maritime) et qualifié PASSI ANSSI, profil pure-player souverain rare.
Le Pack Cyber Docaposte (groupe La Poste) bundle HarfangLab EDR + Wallix + Olfeo + Altospam à 20 €/poste/mois. L'editorial excerpt confirme « HarfangLab EDR » comme composant central et « 20€/poste/mois TOUT inclus EDR HarfangLab + supervision SOC ».
Force spécifique → Tarif transparent rare sur le marché FR, opéré en partenariat avec Formind (PASSI, PDIS en cours), distribution publique massive via La Poste.
Hexanet (MSP Grand Est, Groupe ISA) a construit son MDR sur une stack souveraine cohérente : « EDR HarfangLab (qualifié ANSSI), SIEM Sekoia + Logpoint », SOC à Reims opéré par des analystes salariés.
Force spécifique → Stack technique paradoxalement plus souveraine que les grands PDIS (qui restent majoritairement Microsoft/CrowdStrike), datacenter propre ISO 27001 + HDS.
Thales est HarfangLab Elite Partner — niveau de partenariat le plus élevé. L'editorial excerpt cite explicitement « HarfangLab Elite Partner = stack souverain complet renforcé » et signale que les containment actions au-delà du network containment passent par BYO HarfangLab.
Force spécifique → Cumule 4 qualifs ANSSI (PASSI + PDIS + PRIS + SecNumCloud via S3NS), profil défense/OIV assumé, partenariat stratégique Sekoia.io en complément (octobre 2025).
Orange Cyberdefense liste HarfangLab parmi ses « intégrations sourcées avec acteurs souverains français (HarfangLab — EDR ANSSI, Sekoia.io — XDR) » en complément du socle dominant Microsoft Sentinel/Defender.
Force spécifique → Seul acteur FR à cumuler les 4 qualifs ANSSI (PACS + PASSI + PDIS + PRIS), option FR-strict contractualisable pour OIV.
L'editorial excerpt confirme « HarfangLab Elite Partner intégré via Prophecy » — la stack propriétaire Airbus (SOAR Prophecy / Cyber Maestro, sandbox Orion Malware, sonde Keelback Net) s'enrichit de HarfangLab côté EDR.
Force spécifique → PDIS Élancourt + spécialité OT/ICS (15 ans), 5 SOC interconnectés en UE (FR/DE/ES/UK), capacité « National Eyes Only ».
Capgemini Defend est HarfangLab Elite Partner. L'editorial excerpt précise toutefois que les « options souveraines via partenaires confirmées » (HarfangLab, Sekoia.io MSSP, Gatewatcher) ne sont « jamais le défaut commercial » — Microsoft Sentinel/Defender dominent par défaut.
Force spécifique → Leader ISG Provider Lens France 2025 sur les deux quadrants MDR, échelle grand compte, PDIS en cours de qualification.
Intrinsec opère une « plateforme mixte : Sekoia + HarfangLab (souverains FR) + Splunk + MS Defender + SentinelOne (US non-souverains) selon choix client ». HarfangLab est donc une option disponible mais pas la stack par défaut.
Force spécifique → Triplet ANSSI PASSI-LPM + PRIS Élevé + PACS, SLA chiffrés publiés (<5 min alertes, <15 min critical), CERT-Intrinsec en abonnement.
Advens orchestre via mySOC « stacks souveraines (HarfangLab, Gatewatcher) ET non-souveraines (CrowdStrike, SentinelOne, Microsoft Sentinel) selon le choix du client ». HarfangLab est l'une des options souveraines disponibles.
Force spécifique → Triple qualif ANSSI (PASSI + PDIS + PRIS), SOC FR validé PDIS, capital majoritairement français.
Synetis cite explicitement « Sekoia.io SIEM/XDR hébergé OVH SecNumCloud FR + HarfangLab ou SentinelOne EDR + Gatewatcher NDR » comme stack BYO typique. HarfangLab est l'option EDR souveraine recommandée.
Force spécifique → Opérations 100% France sans offshore (engagement explicite « no offshore outsourcing »), PASSI haut LPM obtenu en 2025, SOC dédié à Rennes.
05 — CAS D'USAGE
Quand cette stack est pertinente
- 01OIV LPM cherchant un EDR qualifié ANSSI sans dépendance juridictionnelle US
- 02Collectivité ou hôpital public sous contrainte SecNumCloud / DGSI
- 03ETI sous obligation NIS2 voulant réduire son exposition Cloud Act
- 04Secteur santé (HDS) cherchant une pile bout-en-bout française
- 05Industrie de défense (BITD) en réponse à un appel d'offres DGA
06 — ARBITRAGE
Avantages & réserves honnêtes
L'avantage HarfangLab tient à un alignement rare : capital français, hébergement en France, visa CSPN ANSSI, et une intégration MSSP ouverte qui laisse le choix du SIEM/XDR. Sur le plan strictement comportemental, l'EDR reste plus jeune que CrowdStrike Falcon (lancé en 2013) ou SentinelOne Singularity, avec une couverture endpoint solide mais une intégration identitaire et cloud moins profonde qu'un XDR multi-surfaces. La réserve principale concerne l'écosystème MSSP : moins de 15 fournisseurs FR opèrent un MDR managé sur HarfangLab à mi-2026, contre plusieurs dizaines pour CrowdStrike ou Microsoft Defender. Pour une PME sans contrainte de souveraineté, le rapport surface couverte/coût d'un Sophos Complete ou d'un Bitdefender MDR Plus peut rester plus attractif. À l'inverse, pour une organisation régalienne ou sous LPM, HarfangLab reste aujourd'hui le seul choix qui ne pose pas de question juridictionnelle.
07 — NON CONCERNÉS
Fournisseurs qui n'opèrent pas sur cette stack
Les éditeurs MDR américains (CrowdStrike, SentinelOne, Sophos, Arctic Wolf, Palo Alto Unit 42) n'apparaissent évidemment pas dans cette page, leur plateforme étant concurrente directe de HarfangLab. Les MSSP français très orientés Microsoft (Metsys, Dataxium, Devensys, Almond, Sopra Steria RightSecurity) ou SentinelOne (SNS Security, Cyna) sont également exclus : leur stack par défaut ne supporte pas HarfangLab et leur ADN commercial est ailleurs. Certains pure-players (ITrust, OWN.security) intègrent HarfangLab dans leur écosystème mais le mettent sur le même plan que d'autres EDR — seul OWN.security a été retenu pour son positionnement explicite « stack 100% FR ».
08 — À RETENIR
Conclusion
Pour un acheteur public, un OIV ou une ETI sous NIS2 stricte, le triptyque « HarfangLab + Sekoia.io + SOC FR qualifié » constitue aujourd'hui la base la plus défendable juridiquement. Trois profils se dégagent côté MSSP : (1) les grands intégrateurs souverains (Thales, Orange Cyberdefense, Capgemini, Airbus Protect) qui proposent HarfangLab en option dans une stack mixte — pertinents pour un grand compte avec maturité cyber ; (2) les pure-players cyber (Advens, Intrinsec, Synetis, OWN.security, Hexanet) qui opèrent HarfangLab dans une logique BYO ou souveraine assumée — pertinents pour ETI/secteur public ; (3) les bundles packagés (Pack Cyber Docaposte, Axians Solar SOC, Linkt 6e Sens) qui imposent HarfangLab dans une offre clé en main — pertinents pour PME, collectivités et établissements publics.
Vous cherchez un MDR sur HarfangLab ?
On vous met en relation avec 3 fournisseurs FR qui opèrent vraiment un MDR managé sur HarfangLab (pas juste « compatible »). Réponse sous 24h ouvrées, gratuit.