Sécurité, conformité et confidentialité

Centre de confiance

La sécurité est intégrée à notre façon d’opérer. Nous détenons les certifications que nous aidons nos clients à obtenir, et nous exploitons notre propre SOC, nos sauvegardes et notre continuité sur l’infrastructure que nous gérons pour vous.

ISO 27001 ISO 27017 ISO 27701 SOC 2 Type II ExpertCyber
Vérifié

Certifications et attestations

ISO27001 - Information Security Management

ISO 27001

Management de la sécurité de l’information (SMSI)

Renouvelé en mai 2026, valable jusqu’en mai 2029

ISO27017

ISO 27017

Contrôles de sécurité pour les services cloud

Renouvelé en mai 2026, valable jusqu’en mai 2029

ISO27701 - Privacy Information Management

ISO 27701

Management de la protection de la vie privée (PIMS)

Renouvelé en mai 2026, valable jusqu’en mai 2029

SOC 2 Type 2

SOC 2 Type II

Rapport de contrôles d’organisation de service

Période du 1er mars 2025 au 28 février 2026

ExpertCyber

ExpertCyber

Prestataire de cybersécurité reconnu (label français)

Renouvelé en juillet 2026, valable jusqu’en juillet 2028

Validation indépendante

Tests d'intrusion

Tests d’intrusion indépendants à une cadence régulière.

Analyse continue des vulnérabilités

Analyse automatisée continue de nos actifs, appuyée par Argos.

Audits de surveillance externes

Audits ISO et SOC 2 annuels par nos organismes de certification accrédités.

Exercices Red Team

Exercices de simulation d’adversaire pour tester la détection et la réponse.

Comment nous protégeons les données

Contrôles de sécurité

Contrôle d'accès

SSO et MFA appliqués sur l’ensemble des systèmes.

Supervision des menaces

SOC managé, supervisé 24/7.

Protection des données

Chiffrement et sauvegardes immuables.

Résilience

DRaaS et continuité d’activité.

Développement sécurisé

DevSecOps managé EXEO Forge.

Gestion des vulnérabilités

Veille sur les menaces Argos.

Résidence des données

Les charges de production des clients et notre SOC fonctionnent en France. Les sauvegardes sont stockées dans l’UE ou aux Émirats selon la préférence du client. Notre site web est hébergé à Paris.

Production · France SOC · France Sauvegardes · Strasbourg / Francfort / Abou Dabi Site web · Paris
Sous NDA le cas échéant

Documents, accès sur demande

Demander la documentation

Transparence

Sous-traitants ultérieurs

Sous-traitant ultérieur Finalité Localisation Garantie de transfert
Entités du groupe EXEOSupport, opérations, gestion d'infrastructureFrance, Grèce, Liban, EAUAccord intra-groupe
SentientGestion d'entreprise : ticketing, RH, recrutementGCP Belgique (europe-west1)Reste dans l'UE
Kaseya Datto RMMSupervision et gestion à distanceAWS Sydney, Australie (ap-southeast-2)CCT (DPA Kaseya)
Kaseya IT GlueDocumentationÉtats-UnisDPF UE-États-Unis
Acronis Backup CloudSauvegarde et protection des donnéesStrasbourg, Francfort ou Abou Dabi, selon le clientAdéquation UE, ou CCT pour Abou Dabi
Google WorkspaceMessagerie et collaborationUnion européenne (région de données Workspace)DPF UE-États-Unis
ZapierIntégration et automatisationÉtats-UnisDPF UE-États-Unis
Twilio SendGridNotifications e-mail transactionnellesÉtats-Unis, option de résidence UEDPF ou CCT, résidence UE si activée

Notre SOC fonctionne sur un SIEM Wazuh auto-hébergé dans notre datacenter à Paris, sur notre propre infrastructure.

Outils web et métier

Outil Finalité Localisation
Hébergement WordPress et ElementorSite web exeo.netParis, France
Copper CRMDonnées de contact commerciales et CRMÉtats-Unis (Google Cloud)
Google Analytics, Microsoft Clarity, Leadfeeder, OutfunnelAnalyse d'audience du site webDivers, voir la politique de confidentialité
Reconnus et connectés

Adhésions professionnelles

RIPE NCC

RIPE NCC - fr.exeo

Le registre Internet régional pour l’Europe, le Moyen-Orient et une partie de l’Asie centrale. En tant que membre, EXEO gère son propre espace d’adressage IP et ses ressources de systèmes autonomes.

CCI FranceUAE

CCI France UAE

La Chambre de commerce française aux Émirats arabes unis, qui met en relation les entreprises françaises et émiraties. Notre adhésion soutient nos clients et notre présence dans le Golfe.

CCI France Liban

CCI France Liban

La Chambre de commerce et d’industrie franco-libanaise, qui relie les entreprises françaises et libanaises. Cette adhésion reflète notre présence de longue date au Liban.

ECA Member Logo

European Champions Alliance

Un réseau transfrontalier de dirigeants européens du monde des affaires et de la technologie. L’adhésion connecte EXEO à ses pairs et partenaires à travers le continent.

PCA Lebanon Logo

PCA

La Professional Computer Association du Liban, l’organisation sectorielle des TIC du pays. Cette adhésion nous relie au secteur technologique libanais.

RDCL logo

RDCL

Le Rassemblement de Dirigeants et Chefs d’Entreprises Libanais (RDCL), qui représente le leadership du secteur privé au Liban.

Questions fréquentes

Les charges de production des clients et notre SOC fonctionnent en France, sur un SIEM Wazuh auto-hébergé dans notre datacenter à Paris. Les sauvegardes sont stockées dans l’UE (Strasbourg ou Francfort) ou aux Émirats (Abou Dabi) selon votre préférence. Un nombre limité de sous-traitants SaaS opèrent hors de l’UE, sous le cadre de protection des données UE-États-Unis (DPF) ou des clauses contractuelles types. La liste complète, avec localisation et garantie, figure dans le registre des sous-traitants de cette page.

Oui. EXEO détient les certifications ISO 27001, ISO 27017 et ISO 27701, SOC 2 Type II, ainsi que le label ExpertCyber. Nous appliquons en interne le référentiel que nous mettons en œuvre chez nos clients.

Oui. Nous agissons en qualité de sous-traitant au sens du RGPD et signons un accord de traitement des données avec chaque client. Nos contrôles sont alignés sur NIS 2, et notre certification ISO 27701 couvre notre système de management de la protection de la vie privée.

Demandez-les via la section documents de cette page. Nous partageons le rapport SOC 2 Type II, les certificats ISO 27001, 27017 et 27701, la synthèse du test d’intrusion et un questionnaire de sécurité renseigné (SIG ou CAIQ), sous NDA le cas échéant.

Nos sous-traitants ultérieurs sont listés dans le registre de cette page, avec leur finalité, leur localisation et la garantie de transfert. Nous tenons ce registre à jour et informons les clients de tout changement important conformément à l’accord de traitement des données, afin que vous puissiez examiner tout nouveau sous-traitant.

Oui. Nous signons un accord de traitement des données avec chaque client, couvrant les rôles, les mesures de sécurité, les sous-traitants ultérieurs, la notification des violations, ainsi que la restitution ou la suppression des données en fin de contrat.

Nous suivons un processus défini de réponse aux incidents. En cas de violation de données à caractère personnel, nous notifions les clients concernés sans délai injustifié, conformément au RGPD et aux termes de l’accord de traitement des données, et nous vous assistons dans vos propres obligations de notification.

Les accès sont contrôlés par SSO et MFA, les données sont chiffrées en transit et au repos, et les sauvegardes sont immuables. Notre SOC managé supervise les systèmes 24/7, et les vulnérabilités sont suivies via notre service de veille sur les menaces Argos.

Contactez notre équipe sécurité via le formulaire de cette page, ou l’adresse publiée dans notre fichier security.txt à la racine du domaine. Nous examinons chaque signalement et répondons dans les meilleurs délais.

Oui. En première ligne d’assurance, nous fournissons nos certifications, le rapport SOC 2 Type II et des questionnaires de sécurité renseignés, sous NDA. Lorsque ceux-ci ne répondent pas pleinement à vos exigences, notre accord de traitement des données prévoit un audit client moyennant un préavis raisonnable, au maximum une fois par an sauf à la suite d’un incident ou d’une demande d’une autorité de contrôle, dans le respect de la confidentialité et de nos politiques de sécurité.

Notre SOC managé surveille les indicateurs de rançongiciel en continu et suit un processus défini de réponse aux incidents pour isoler et contenir les systèmes affectés. Les sauvegardes immuables et le DRaaS permettent de restaurer des données saines, et nous accompagnons la notification et la reprise. L’approche est conçue pour prévenir, détecter et rétablir, pas pour payer.

Oui. Pour les services éligibles, vous pouvez apporter ou gérer vos propres clés de chiffrement (BYOK/CMEK), en gardant le contrôle du cycle de vie et de la révocation des clés pendant qu’EXEO exploite l’environnement. Nous confirmons le modèle exact et les services pris en charge lors de l’intégration.

Signaler une vulnérabilité

Vous avez identifié un problème de sécurité ? Contactez notre équipe sécurité. Nous publions un fichier security.txt à la racine du domaine ainsi qu’une adresse de contact sécurité dédiée.