IA Tech

SaaS cyber français 2026 : Tehtris, Sekoia, Vade, HarfangLab, Pradeo

Panorama factuel et vendor-neutre des principaux éditeurs SaaS cybersécurité français en 2026, leurs périmètres et leurs positions sur le marché européen.

Marc Aubert · Mis à jour le par Marc Aubert

TL;DR

Le tissu éditeur cybersécurité français combine quelques acteurs SaaS établis et une couche de spécialistes positionnés sur des segments précis. Tehtris (EDR, XDR, Hunt), Sekoia.io (XDR et threat intelligence), Vade (sécurité email), HarfangLab (EDR avec qualification ANSSI), Pradeo (sécurité mobile) et Olfeo (proxy et filtrage web/SaaS) constituent en 2026 un noyau visible sur le marché européen. Une seconde couche, plus spécialisée (Cybelangel sur la surface d’attaque externe, Glimps sur l’analyse de fichiers, ITrust sur le SOC, Custocy sur le NDR, Erium sur l’IA défensive), complète l’offre. Les exigences de souveraineté issues de NIS2 et de DORA renforcent l’intérêt opérationnel de ces solutions pour les RSSI européens. Le panorama qui suit reste vendor-neutre : pas de hiérarchie, pas de notation, pas de classement.

Pourquoi un panorama SaaS cyber français en 2026

Plusieurs facteurs convergents justifient un état des lieux factuel des éditeurs cyber français en 2026.

D’abord, l’application progressive de NIS2 (directive (UE) 2022/2555) et de DORA (règlement (UE) 2022/2554) déplace la question de la conformité cyber d’un niveau organisationnel vers un niveau outillage. Les entités essentielles et importantes doivent démontrer la mise en œuvre de mesures techniques précises : détection, réponse, journalisation, gestion des incidents, chaîne d’approvisionnement. Les éditeurs européens sont structurellement bien placés pour répondre à ces exigences, en particulier sur la localisation des données et l’articulation avec les autorités nationales.

Ensuite, le contexte géopolitique pèse sur les choix. Les arbitrages entre suites américaines à large couverture et solutions européennes plus ciblées prennent une dimension explicite dans les comités sécurité. La doctrine française de cloud de confiance, les qualifications ANSSI et l’émergence d’un cloud souverain européen via les démarches Gaia-X et EUCS modifient le contexte d’achat.

Enfin, les politiques publiques (France 2030, Bpifrance, fédération Numeum) soutiennent la consolidation de la filière. Ce soutien ne suffit pas à garantir le succès commercial, mais il offre aux éditeurs français un terrain d’expérimentation et un accès à des dispositifs de financement utiles aux phases de scale-up [1].

Le présent panorama propose une lecture par périmètre fonctionnel. Il ne vise pas l’exhaustivité, ne hiérarchise pas les acteurs, et ne se substitue à aucune évaluation interne du RSSI. Il sert d’orientation pour comprendre où chaque éditeur se positionne et comment articuler les briques entre elles.

L’articulation avec les exigences NIS2 et DORA est détaillée dans notre guide pratique NIS2 entreprise 2026 et notre analyse du règlement DORA.

Critères du panorama

Pour figurer dans la sélection principale, un éditeur doit remplir quatre critères factuels :

  • Siège social en France au sens de l’immatriculation principale (la levée de fonds ou le capital actionnarial international ne remettent pas en cause ce critère) ;
  • Produit SaaS ou hybride disposant d’une composante service géré opérée par l’éditeur ;
  • Périmètre cyber dédié (pas un éditeur généraliste avec un module sécurité accessoire) ;
  • Traction marché vérifiable par la présence dans les listes officielles ANSSI (qualifiés, en cours), dans les rapports publics du Cesin ou du Clusif, ou par des références client publiques.

Les éditeurs cités dans la deuxième couche du panorama répondent partiellement à ces critères : leur périmètre est très spécialisé, mais leur visibilité et leur ancrage français en font des compléments crédibles à la première couche.

Tehtris

Tehtris est un éditeur français fondé en 2010, basé en Gironde, qui propose une plateforme XDR comprenant un EDR, un module de threat hunting et des fonctions complémentaires (NDR, SIEM, MTD, honeytoken) [2]. L’approche est celle d’une plateforme intégrée, gérée par l’éditeur ou par un partenaire, avec une orientation forte sur l’automatisation des réponses (SOAR intégré).

Le périmètre fonctionnel couvre la détection sur poste (Windows, Linux, macOS, serveurs), la détection réseau, l’orchestration de réponse, la gestion des indicateurs de compromission et la threat intelligence. Tehtris se positionne notamment sur des secteurs régulés (santé, industrie, secteur public) et sur des contextes internationaux où la souveraineté entre dans les critères de sélection.

L’éditeur a obtenu des qualifications et certifications successives auprès de l’ANSSI sur certains de ses produits, ce qui lui ouvre un accès aux marchés publics français les plus sensibles. La feuille de route mentionne des composantes d’IA défensive (corrélation d’alertes, scoring de risque) intégrées au cœur de la plateforme.

Sekoia.io

Sekoia.io, basé à Paris et fondé en 2008, est positionné sur le segment XDR avec une plateforme combinant SIEM nouvelle génération, threat intelligence native et automatisation [3]. L’éditeur se distingue par une bibliothèque importante d’intégrations (connecteurs vers les outils tiers, parsers de logs, playbooks SOAR) et par sa composante CTI (Cyber Threat Intelligence) intégrée à la plateforme.

Le périmètre couvre la collecte et la corrélation des journaux, la détection sur la base d’indicateurs et de TTP (tactiques, techniques, procédures), l’enrichissement par renseignement, l’automatisation des actions de réponse, et la gestion des cas d’incident. Sekoia.io adresse à la fois les organisations qui exploitent leur propre SOC et les MSSP qui déploient la plateforme pour leurs clients.

L’éditeur est actif dans plusieurs pays européens et collabore avec des CERT nationaux pour le partage d’indicateurs et de signatures. La qualification ANSSI sur certaines briques figure parmi les jalons annoncés. Sekoia.io publie régulièrement des analyses de menaces qui contribuent à la visibilité de l’éditeur dans la communauté technique.

Vade

Vade (anciennement Vade Secure) est un éditeur français spécialisé en sécurité de la messagerie, basé à Hem dans le Nord et fondé en 2009 [4]. Le périmètre central couvre l’anti-phishing, l’anti-malware, la protection contre les attaques de type Business Email Compromise (BEC) et le filtrage de courriels.

L’éditeur s’est positionné historiquement sur des intégrations OEM avec des fournisseurs de messagerie et des opérateurs télécoms. La gamme Vade for M365 cible spécifiquement Microsoft 365, en se branchant en complément des protections natives Microsoft Defender pour Office 365, avec une couverture orientée anti-phishing ciblé et anti-spear phishing. Vade exploite une équipe interne de threat researchers et publie des rapports de menaces email.

Le sujet messagerie reste l’un des vecteurs d’attaque les plus courants : la pertinence d’une brique dédiée s’apprécie au cas par cas, en fonction du niveau de maturité de la protection email native déjà en place.

HarfangLab

HarfangLab est un éditeur français fondé en 2018, dont le siège est à Paris, spécialisé sur l’EDR souverain [5]. L’EDR HarfangLab a obtenu la qualification ANSSI standard, un niveau qui le distingue dans la catégorie des solutions EDR utilisables par les opérateurs d’importance vitale et les entités soumises à des exigences réglementaires fortes.

Le périmètre fonctionnel couvre la détection sur poste et serveur (Windows, Linux), le threat hunting, les capacités de réponse à distance (isolation de poste, collecte de preuves, exécution de scripts encadrés) et l’intégration avec les outils SIEM et XDR tiers. L’éditeur a fait le choix d’une architecture compatible cloud comme on-premise, ce qui ouvre un usage par des organisations soumises à des contraintes d’hébergement strictes.

HarfangLab adresse en priorité le secteur public, les opérateurs d’importance vitale, les acteurs régulés (santé, énergie, transport, banque) et les organisations recherchant un EDR éligible à des marchés sensibles. La qualification ANSSI est régulièrement mise en avant comme critère différenciant.

Pradeo

Pradeo est un éditeur français basé à Montpellier, spécialisé en sécurité mobile [6]. Le périmètre couvre la protection des terminaux mobiles (Mobile Threat Defense, MTD), l’analyse comportementale et statique des applications mobiles, et l’évaluation continue de la posture de sécurité des flottes iOS et Android.

L’offre se déploie en mode SaaS, intégrable avec les principaux MDM/EMM (Microsoft Intune, VMware Workspace ONE, Jamf, MobileIron). Pradeo adresse les organisations qui ont une exposition forte aux usages mobiles (commerciaux nomades, terrains, BYOD), ainsi que les éditeurs souhaitant scanner leurs propres applications avant publication.

Le marché MTD reste un segment de niche par rapport à l’EDR poste fixe, mais sa pertinence croît avec la maturité des attaques sur mobile (smishing, applications légitimes compromises, abus de bibliothèques tierces).

Olfeo

Olfeo est un éditeur français basé à Paris, positionné sur le proxy web et le filtrage des accès aux ressources web et SaaS [7]. Le périmètre comprend l’analyse des flux web sortants, le filtrage par catégorie, la protection contre les sites malveillants, le contrôle des accès aux applications SaaS (avec une dimension proche du SASE) et la gestion des usages par profil utilisateur.

L’offre se déploie en mode hybride (appliance, virtual appliance, SaaS), avec une console de pilotage unifiée. Olfeo adresse en priorité le secteur public et les organisations qui souhaitent conserver une visibilité fine sur les usages web internes, notamment dans des contextes où l’externalisation vers des proxys cloud étrangers pose des questions de souveraineté ou de conformité.

Cybelangel, Glimps, ITrust, Custocy, Erium

Plusieurs éditeurs complémentaires couvrent des périmètres techniques spécialisés. Leur mention ici ne constitue pas une hiérarchisation par rapport aux acteurs précédents : ils sont simplement positionnés sur des couches différentes.

Cybelangel est un éditeur français basé à Paris, spécialisé sur la surveillance de la surface d’attaque externe (EASM, External Attack Surface Management) [8]. Le périmètre couvre la détection des fuites de données, l’exposition des actifs sur Internet (assets découverts, serveurs ouverts, dépôts publics) et la surveillance du dark web. L’éditeur adresse des grands comptes et des ETI exposées internationalement.

Glimps est un éditeur basé à Cesson-Sévigné en Bretagne, spécialisé sur l’analyse de fichiers malveillants par approche de deep learning [9]. La plateforme Glimps Malware s’intègre en complément d’un EDR ou d’une passerelle, pour détecter des familles de malwares non encore référencées par signatures classiques.

ITrust est un éditeur basé à Toulouse, qui propose un SOC managé, un SIEM (Reveelium) et des services de threat intelligence [10]. L’offre adresse principalement les ETI cherchant un SOC externalisé avec un acteur français.

Custocy est un éditeur français spécialisé sur la détection des menaces sur le réseau (NDR, Network Detection and Response). L’approche combine analyse du trafic, détection comportementale et exploitation d’algorithmes d’apprentissage automatique pour identifier des mouvements latéraux ou des exfiltrations.

Erium est un éditeur français qui positionne son offre sur l’usage de techniques d’IA défensive appliquées à la cybersécurité (corrélation, scoring, automatisation des décisions opérateur SOC).

Cette deuxième couche se distingue par la spécialisation technique et la complémentarité avec les briques principales. Une organisation mature peut combiner trois à six de ces éditeurs au sein de son architecture, à condition de disposer d’un point de centralisation (SIEM ou XDR) capable d’orchestrer les signaux.

Critères de sélection pour un RSSI en 2026

Le choix d’un éditeur SaaS cyber, qu’il soit français ou non, repose sur des critères convergents. Six éléments structurent une grille d’évaluation factuelle.

Qualification ANSSI ou certification équivalente. Pour les périmètres sensibles ou les entités soumises à des exigences réglementaires fortes, une qualification ANSSI (standard ou élémentaire), une certification CSPN ou Critères Communs constitue un repère objectif. Le détail des produits qualifiés est publié sur le portail de l’ANSSI [11].

Périmètre fonctionnel couvert. Délimiter précisément ce que l’éditeur prend en charge et ce qu’il laisse à un outil tiers. Une solution dite XDR n’a pas le même périmètre selon l’éditeur ; un EDR peut ou non inclure des fonctions de threat hunting ou de remédiation automatique.

Intégration avec l’existant EDR, SIEM, XDR. La pile cyber actuelle d’un RSSI compte rarement moins de cinq outils. Le critère décisif est la qualité des connecteurs, des API et des formats de log avec la plateforme de consolidation en place.

Modèle de licence. Abonnement utilisateur, poste, volume de logs, capacité de stockage : chaque modèle entraîne des effets différents sur la facture lors d’une croissance d’usage. Anticiper le mode de tarification sur les trois prochaines années évite les mauvaises surprises.

SLA et engagement de support. Engagement de disponibilité, délai de réponse aux incidents, présence d’une équipe support francophone, capacité d’escalade. Ces éléments comptent autant que la fiche technique.

Géographie des équipes et de l’hébergement. Pour les organisations soumises à NIS2 ou DORA, la localisation des centres de support et d’opération devient un critère contractuel. La géographie de l’hébergement, la sous-traitance et la portée des opérations doivent figurer au contrat.

Articulation avec EDR/MDR/XDR

Plusieurs des éditeurs cités se positionnent sur les segments EDR, MDR (managed detection and response) et XDR (extended detection and response). Le détail des distinctions entre ces approches, leurs périmètres techniques respectifs et la grille d’évaluation associée sont développés dans notre comparatif EDR, MDR, XDR pour RSSI.

L’enjeu opérationnel pour le RSSI consiste à articuler une solution EDR fiable, une orchestration XDR ou SIEM mature, et un dispositif de réponse (interne ou externalisé en MDR) cohérent. Le choix d’un éditeur français sur l’une ou plusieurs de ces briques répond à une logique de souveraineté, mais doit se justifier par la qualité du produit autant que par sa nationalité.

Soutien France 2030, Bpifrance et Numeum

La filière cyber française bénéficie en 2026 de plusieurs dispositifs de soutien public. Le plan France 2030 alloue des financements ciblés à la cybersécurité dans le cadre de la stratégie nationale d’accélération [12]. Bpifrance accompagne les éditeurs en phase d’amorçage, de croissance et de développement international, via des aides directes et des prises de participation [13].

La fédération Numeum, regroupant les entreprises du numérique en France, contribue à la structuration de la filière, à la veille réglementaire et au plaidoyer auprès des autorités françaises et européennes [14]. Le Campus Cyber, basé à La Défense, fédère les acteurs publics et privés de la cybersécurité française et offre un point d’ancrage physique pour les éditeurs.

Ces dispositifs ne déterminent pas la qualité technique des solutions, mais ils contribuent à la durabilité de l’offre et à la disponibilité d’un support de proximité. Pour un RSSI, c’est un élément de risque fournisseur à prendre en compte au même titre que la santé financière du candidat.

Plusieurs initiatives européennes complémentaires se superposent : le programme Digital Europe, le règlement Cyber Resilience Act sur les produits matériels et logiciels, et les démarches de certification européenne (EUCS pour le cloud, schéma EUCC pour les produits TIC). Ces cadres dessinent à moyen terme un référentiel d’exigences harmonisé qui réduira l’effort de qualification multi-pays pour les éditeurs français.

À retenir

Le panorama des éditeurs SaaS cyber français en 2026 combine quelques acteurs visibles couvrant les périmètres principaux (EDR, XDR, email, mobile, web) et une seconde couche de spécialistes positionnés sur des niches techniques. Le choix d’un éditeur français ne relève pas d’une obligation, mais d’un arbitrage entre souveraineté, qualification (ANSSI le cas échéant), intégration avec l’existant et qualité du support. Le critère décisif reste la cohérence d’ensemble : un EDR qualifié n’a d’intérêt que s’il s’intègre à une plateforme XDR ou SIEM exploitée par une équipe formée. Les dispositifs publics (France 2030, Bpifrance, Numeum) renforcent la pérennité de la filière, sans dispenser le RSSI d’une instruction technique sérieuse pour chaque outil.

Sources et références

[1] Ministère de l’Économie, France 2030, dossier numérique et cybersécurité, https://www.entreprises.gouv.fr/france-2030

[2] Tehtris, site officiel, https://www.tehtris.com/

[3] Sekoia.io, site officiel, https://www.sekoia.io/

[4] Vade, site officiel, https://www.vadesecure.com/

[5] HarfangLab, site officiel, https://www.harfanglab.fr/

[6] Pradeo, site officiel, https://www.pradeo.com/

[7] Olfeo, site officiel, https://www.olfeo.com/

[8] Cybelangel, site officiel, https://cybelangel.com/

[9] Glimps, site officiel, https://www.glimps.fr/

[10] ITrust, site officiel, https://itrust.fr/

[11] ANSSI, portail cybersécurité du gouvernement, https://cyber.gouv.fr/

[12] France 2030, https://www.entreprises.gouv.fr/france-2030

[13] Bpifrance, https://www.bpifrance.fr/

[14] Numeum, https://numeum.fr/

Questions fréquentes

Existe-t-il une obligation d'utiliser des éditeurs cyber français ou européens ?

Non. Ni le RGPD, ni NIS2, ni DORA n'imposent l'usage d'éditeurs européens. En revanche, plusieurs textes (RGS pour les administrations, SecNumCloud pour certains hébergements sensibles, doctrine cloud de confiance) orientent fortement les choix vers des solutions qualifiées par l'ANSSI ou certifiées européennes pour les périmètres les plus sensibles. La souveraineté reste un critère de risque, pas une contrainte juridique générale.

Qu'apporte concrètement la qualification ANSSI standard d'un EDR ?

La qualification ANSSI atteste qu'un produit a été évalué selon un référentiel précis et qu'il offre un niveau de sécurité reconnu par l'État français. Pour un RSSI, c'est un signal de robustesse technique et de continuité du support. La qualification ne couvre pas l'ensemble des cas d'usage, mais elle est un prérequis pour certains marchés publics et pour les opérateurs d'importance vitale. Elle constitue un argument fort dans une instruction comparée avec une solution étrangère équivalente.

Les éditeurs français hébergent-ils tous leurs données en Europe ?

La plupart des éditeurs mentionnés indiquent un hébergement en Europe (France, Allemagne, Pays-Bas) sur des infrastructures qualifiées ou en cours de qualification. Le détail dépend du produit et du contrat. Pour un RSSI soumis à NIS2 ou DORA, l'exigence d'hébergement dans l'Union européenne doit figurer explicitement au contrat avec le fournisseur, avec une clause de sous-traitance et de localisation des sauvegardes.

Faut-il privilégier un éditeur unique multi-périmètre ou des spécialistes ?

Aucun choix n'est universellement meilleur. Une suite intégrée simplifie la consolidation des alertes, réduit le nombre de contrats et favorise la cohérence de l'expérience opérateur. Plusieurs spécialistes peuvent offrir une couverture technique plus fine sur chaque périmètre. Le critère décisif est généralement la maturité du SIEM ou de la plateforme XDR qui centralise les signaux : si elle existe et est bien exploitée, la diversité d'éditeurs en amont reste gérable.

Sources citées

  1. https://cyber.gouv.fr/
  2. https://www.tehtris.com/
  3. https://www.sekoia.io/
  4. https://www.vadesecure.com/
  5. https://www.harfanglab.fr/
  6. https://www.pradeo.com/
  7. https://www.olfeo.com/
  8. https://cybelangel.com/
  9. https://www.glimps.fr/
  10. https://itrust.fr/
  11. https://www.custocy.com/
  12. https://numeum.fr/
  13. https://www.bpifrance.fr/
  14. https://www.entreprises.gouv.fr/france-2030
#SaaS cyber#souveraineté#Tehtris#Sekoia#Vade#HarfangLab
IA Tech

Agentic AI entreprise : où en sont les déploiements en France 2026

Au-delà du chatbot, l'agentic AI promet l'autonomie d'action. État des déploiements français en 2026, des cas d'usage validés et des questions ouvertes en cybersécurité.
IA Tech

AI Act entreprise : obligations IA pour DSI et RSSI 2026

Le règlement IA européen 2024/1689 entre progressivement en application en 2025-2027. Voici les obligations concrètes pour DSI et RSSI selon le niveau de risque du système IA.
Cloud

Cloud souverain France 2026 : OVH vs Scaleway vs Outscale

OVHcloud, Scaleway, Outscale : panorama factuel des trois acteurs majeurs du cloud souverain français en 2026, leurs forces, leurs limites et leurs qualifications SecNumCloud.