PLATEFORME · XDR + SIEM + CTI SOUVERAIN
MDR Sekoia.io : MSSP français sur la plateforme XDR souveraine
Sekoia.io est l'une des rares plateformes XDR (eXtended Detection & Response) éditées en France, avec un positionnement assumé de SOC platform tout-en-un : SIEM (Security Information & Event Management), XDR, SOAR (Security Orchestration, Automation & Response) et Threat Intelligence intégrés dans une même console SaaS hébergée à Paris chez OVHcloud (avec option SecNumCloud). Fondée en 2008 sous le nom SEKOIA (la société s'est scindée en deux en 2017, Sekoia.io reprenant l'activité éditeur), la société est aujourd'hui détenue par ses fondateurs et des fonds français (Wendel notamment), capitalise sur un agrément ANSSI PASSI et a noué des partenariats stratégiques avec Thales et HarfangLab pour pousser une stack souveraine bout-en-bout.
Concrètement, Sekoia.io agrège la télémétrie de plusieurs centaines de sources (cloud, EDR, identity, network, OT) dans un data lake propriétaire, applique un moteur de détection couplé à un flux CTI éditeur, et permet aux analystes SOC de piloter l'investigation et la remédiation depuis une même console. Le modèle commercial est résolument MSSP-first : Sekoia.io ne vend pas de MDR managé en direct mais s'appuie sur un réseau de partenaires français certifiés (programme MSSP) qui opèrent le SOC pour le compte des clients finaux.
Les fournisseurs français qui ont fait de Sekoia.io leur stack de détection principale forment un éventail cohérent : opérateurs télécoms (Linkt 6e Sens), intégrateurs industriels (SPIE ICS), pure-players cyber (OWN.security, Synetis, Hexanet), grands groupes souverains (Thales, Orange Cyberdefense) et ESN spécialisées (Capgemini Sekoia.io MSSP). En pratique, Sekoia.io est presque toujours déployée en combinaison avec un EDR — HarfangLab côté souverain, SentinelOne pour les configurations mixtes.
L'écart vs Microsoft Sentinel ou Splunk se joue sur trois axes : juridictionnel (données et opérations en France, éditeur français joignable), économique (pricing par actif plutôt que par volume de logs ingérés, ce qui limite l'inflation tarifaire) et fonctionnel (CTI éditeur natif, moins riche que la stack Microsoft sur les workloads M365 mais plus pertinent sur les menaces ciblant le tissu économique français).
01 — LA PLATEFORME
Sekoia.io en bref
Sekoia.io est une plateforme SOC tout-en-un (SIEM + XDR + SOAR + CTI) éditée en France et hébergée chez OVHcloud avec option SecNumCloud. Elle agrège la télémétrie de plus de 200 sources (cloud, EDR, identity, network, OT), applique un moteur de détection couplé à un flux CTI propriétaire, et offre une console unifiée d'investigation et de réponse. Modèle commercial 100% MSSP : Sekoia.io ne vend pas de service managé en direct, l'opération est confiée à un réseau de partenaires français certifiés.
02 — CAPACITÉS
Ce que la plateforme fait
SOC platform unifiée
SIEM + XDR + SOAR + CTI dans une seule console SaaS, sans intégration tierce nécessaire.
Hébergement français OVHcloud
Plateforme SaaS hébergée à Paris, option SecNumCloud disponible pour les clients OIV/secteur public.
Qualifications ANSSI éditeur
Sekoia.io détient l'agrément PASSI ; partenariats stratégiques avec Thales et HarfangLab pour une pile souveraine complète.
Threat Intelligence native
CTI propriétaire intégrée à la détection, avec focus sur les menaces ciblant le tissu économique français et UE.
Pricing par actif
Modèle économique par asset (et non par volume de logs ingérés comme Sentinel/Splunk), limite l'inflation tarifaire côté ETI.
Plus de 200 connecteurs
Intégrations natives EDR (HarfangLab, SentinelOne, CrowdStrike, Defender), cloud (Azure, AWS, GCP, M365), identity, network.
Programme MSSP structuré
Réseau de partenaires français certifiés (Capgemini, Thales, Orange Cyberdefense, OWN.security, SPIE ICS, Linkt).
03 — SOUVERAINETÉ
Positionnement souveraineté
Sekoia.io est aujourd'hui la seule plateforme XDR/SIEM française avec un écosystème MSSP industrialisé. Pour une organisation qui veut s'extraire de la dépendance Microsoft Sentinel ou Splunk sans tomber dans le grand écart d'un SIEM open-source à industrialiser elle-même, c'est l'option la plus aboutie sur le marché. La contrepartie : la couverture cloud (notamment M365 et workloads Azure profonds) reste moins riche que celle d'un Microsoft Sentinel natif, et l'écosystème de connecteurs, bien que conséquent, est plus restreint que celui d'un Splunk. La plateforme est nettement plus pertinente pour un SOC souverain mid-market ou ETI/grand compte avec contraintes réglementaires que pour un environnement 100% Microsoft Azure avec un volume de logs très élevé.
04 — FOURNISSEURS MDR (11)
Fournisseurs FR qui opèrent un service managé sur cette stack
L'editorial excerpt confirme : « Plateforme Sekoia.io (XDR) + HarfangLab EDR » et « Offre turnkey opérée sur plateforme cyber souveraine Sekoia ». SOC souverain 6e Sens repris à Capfi en mars 2025.
Force spécifique → Sélection en sole-source sur le marché public CANUT Lot 4 (établissements publics et parapublics 2025-2029), opérateur télécom B2B du Groupe Altitude.
SPIE ICS opère son SOC sur « plateforme Sekoia.io FR avec option SecNumCloud, après un démarrage en 2022 sur TEHTRIS XDR : trajectoire technique 100% souveraine sur le papier ».
Force spécifique → SOC opéré 24/7 depuis Montbonnot par des analystes salariés directs (« sans recours à la sous-traitance pour les fonctions de surveillance »), implantation 60 agences FR.
OWN.security est issu de la scission de SEKOIA en 2008 et opère une pile « SaaS hébergé FR, EDR HarfangLab FR, XDR Sekoia FR » revendiquée comme « souveraineté de bout en bout ».
Force spécifique → PASSI ANSSI vérifié, CERT autonome de 28 analystes DFIR/CTI, opère le M-CERT (CSIRT national maritime).
L'editorial excerpt précise : « EDR HarfangLab (qualifié ANSSI), SIEM Sekoia + Logpoint, SOC à Reims opéré par analystes salariés certifiés ».
Force spécifique → MSP régional Grand Est avec datacenter propre ISO 27001 + HDS, profil sérieux côté ETI Grand Est et secteur santé.
L'editorial excerpt cite explicitement « Sekoia.io SIEM/XDR hébergé OVH SecNumCloud FR + HarfangLab ou SentinelOne EDR + Gatewatcher NDR » comme stack BYO typique.
Force spécifique → Opérations 100% France revendiquées sans offshore, PASSI haut LPM obtenu en octobre 2025, SOC dédié à Rennes 24/7.
L'editorial excerpt confirme un « Partenariat stratégique Sekoia.io annoncé 09/10/2025 ("smarter solutions for French administrations") » en complément de la plateforme propriétaire Cybels.
Force spécifique → Cumule 4 qualifs ANSSI (PASSI + PDIS + PRIS + SecNumCloud via S3NS), plateforme propriétaire Cybels (SIEM + sonde NDR qualifiée ANSSI), profil défense/OIV assumé.
OCD liste Sekoia.io parmi ses « intégrations sourcées avec acteurs souverains français (HarfangLab — EDR ANSSI, Sekoia.io — XDR, Datalake CTI propriétaire OCD) ».
Force spécifique → Seul acteur FR à cumuler les 4 qualifs ANSSI (PACS + PASSI + PDIS + PRIS), option FR-strict contractualisable pour OIV/PDIS.
L'editorial excerpt confirme « Options souveraines via partenaires confirmées : Sekoia.io MSSP, HarfangLab Elite Partner, Gatewatcher "Best Tech Partner France" 2023 — mais jamais le défaut commercial ». Sentinel reste la stack dominante.
Force spécifique → Leader ISG Provider Lens France 2025, 6 200+ cyber experts en 50+ localisations, échelle grand compte.
L'editorial excerpt cite « Plateforme mixte : Sekoia + HarfangLab (souverains FR) + Splunk + MS Defender + SentinelOne (US non-souverains) selon choix client ».
Force spécifique → Triplet ANSSI PASSI-LPM + PRIS Élevé + PACS, SLA chiffrés publiés (rare en France).
L'editorial excerpt précise : « Plateforme EDR SentinelOne (US) dominante dans l'offre — non-souverain pour le critère endpoint, même si SOC opéré en FR. Stack XDR Sekoia (FR) en complément ».
Force spécifique → Platinum Partner SentinelOne et lauréat MSSP Partner of the Year SentinelOne 2025, ~40 analystes SOC à Montpellier.
L'editorial excerpt mentionne explicitement : « Devoteam utilise Microsoft Sentinel, Splunk, Sekoia (offres d'emploi multi-SIEM) ». Sekoia est un SIEM supporté en mode BYO/co-manage classique (l'offre Purple imposée est Google + Palo Alto).
Force spécifique → PASSI LPM (Sécurité Nationale, référentiel v2.2 niveau Élevé), SOC opéré depuis L'Isle-d'Abeau (FR).
05 — CAS D'USAGE
Quand cette stack est pertinente
- 01ETI ou grand compte FR cherchant à s'extraire de Microsoft Sentinel pour des raisons juridictionnelles
- 02Collectivité ou établissement public sous contrainte SecNumCloud (option Sekoia.io hébergée OVH SecNumCloud)
- 03OIV LPM construisant une pile souveraine complète Sekoia + HarfangLab + Gatewatcher
- 04Marché public type CANUT/UGAP avec exigence d'opérateur SOC souverain qualifié
- 05PME/ETI avec volume de logs modéré préférant un pricing par actif plutôt que par log (vs Sentinel/Splunk)
06 — ARBITRAGE
Avantages & réserves honnêtes
Sekoia.io est aujourd'hui la plateforme XDR/SIEM française la plus mature, avec un écosystème MSSP qui couvre la fourchette mid-market → grand compte. Vs Microsoft Sentinel, l'avantage juridictionnel est net (données et opérations en France, éditeur français joignable) et le pricing par actif est plus prévisible — mais la couverture cloud (M365, workloads Azure profonds) reste moins riche, et le réservoir de connecteurs est plus restreint. Vs Splunk, l'écart d'industrialisation s'est largement comblé, et le coût total de possession est généralement inférieur pour un volume de logs équivalent. Le vrai arbitrage tient à la maturité du SOC interne : pour une organisation qui a déjà investi lourdement dans Sentinel ou Splunk et capitalisé sur des dashboards, des règles et des intégrations sur mesure, la migration vers Sekoia.io a un coût de bascule réel. À l'inverse, pour un acheteur qui démarre un SOC ou qui veut le ré-internaliser, Sekoia.io est l'option par défaut côté souverain.
07 — NON CONCERNÉS
Fournisseurs qui n'opèrent pas sur cette stack
Les concurrents directs de Sekoia.io (Splunk, Microsoft Sentinel, Elastic Security, IBM QRadar, Google Chronicle, Palo Alto Cortex XSIAM) n'apparaissent pas dans cette page. Les acteurs FR très orientés Microsoft (Dataxium, Metsys, Devensys MXDR Microsoft Verified, Almond CWATCH sur Sentinel, Sopra Steria RightSecurity) ne figurent pas non plus : leur stack de détection par défaut n'est pas Sekoia. ITrust est exclu : il édite sa propre plateforme Reveelium (SIEM/UEBA/XDR/SOAR) et ne commercialise pas Sekoia.io. Les éditeurs MDR américains (CrowdStrike, SentinelOne, Sophos, Palo Alto Unit 42) ne sont pas applicables — leur plateforme est concurrente directe.
08 — À RETENIR
Conclusion
Pour un acheteur souverain, le choix entre les fournisseurs MDR sur Sekoia.io se structure en trois profils : (1) les pure-players cyber souverains (OWN.security, Synetis, Hexanet) qui ont fait de Sekoia.io leur stack par défaut ou principale — pertinents pour ETI/secteur public avec exigence de cohérence souveraine ; (2) les grands intégrateurs (Thales, Orange Cyberdefense, Capgemini) qui proposent Sekoia.io en option dans un catalogue plus large — pertinents pour grand compte avec maturité cyber et besoin d'orchestration multi-stack ; (3) les opérateurs verticalisés (Linkt 6e Sens, SPIE ICS) qui packagent Sekoia.io dans une offre clé en main — pertinents pour collectivité, établissement public et OIV avec besoin d'un SOC managé sans choix de stack à arbitrer. Sekoia.io tend à devenir le standard de facto de la pile souveraine FR en sortie 2026.
Vous cherchez un MDR sur Sekoia.io ?
On vous met en relation avec 3 fournisseurs FR qui opèrent vraiment un MDR managé sur Sekoia.io (pas juste « compatible »). Réponse sous 24h ouvrées, gratuit.