Sécurité, conformité et confidentialité
Centre de confiance
La sécurité est intégrée à notre façon d’opérer. Nous détenons les certifications que nous aidons nos clients à obtenir, et nous exploitons notre propre SOC, nos sauvegardes et notre continuité sur l’infrastructure que nous gérons pour vous.
Vérifié
Certifications et attestations
ISO 27001
Management de la sécurité de l’information (SMSI)
Renouvelé en mai 2026, valable jusqu’en mai 2029
ISO 27017
Contrôles de sécurité pour les services cloud
Renouvelé en mai 2026, valable jusqu’en mai 2029
ISO 27701
Management de la protection de la vie privée (PIMS)
Renouvelé en mai 2026, valable jusqu’en mai 2029
SOC 2 Type II
Rapport de contrôles d’organisation de service
Période du 1er mars 2025 au 28 février 2026
ExpertCyber
Prestataire de cybersécurité reconnu (label français)
Renouvelé en juillet 2026, valable jusqu’en juillet 2028
Validation indépendante
Tests d'intrusion
Tests d’intrusion indépendants à une cadence régulière.
Analyse continue des vulnérabilités
Analyse automatisée continue de nos actifs, appuyée par Argos.
Audits de surveillance externes
Audits ISO et SOC 2 annuels par nos organismes de certification accrédités.
Exercices Red Team
Exercices de simulation d’adversaire pour tester la détection et la réponse.
Comment nous protégeons les données
Contrôles de sécurité
Contrôle d'accès
SSO et MFA appliqués sur l’ensemble des systèmes.
Supervision des menaces
SOC managé, supervisé 24/7.
Protection des données
Chiffrement et sauvegardes immuables.
Résilience
DRaaS et continuité d’activité.
Développement sécurisé
DevSecOps managé EXEO Forge.
Gestion des vulnérabilités
Veille sur les menaces Argos.
Résidence des données
Les charges de production des clients et notre SOC fonctionnent en France. Les sauvegardes sont stockées dans l’UE ou aux Émirats selon la préférence du client. Notre site web est hébergé à Paris.
Politiques publiques
- Politique de confidentialité et cookies
- Politique de sécurité de l'information et de confidentialité
- Politique sur les minerais de conflit
- Accord de traitement des données, sur demande
Sous NDA le cas échéant
Documents, accès sur demande
- Rapport SOC 2 Type II
- Certificats ISO 27001, 27017 et 27701
- Synthèse du test d'intrusion
- Questionnaire de sécurité (SIG / CAIQ)
- Politique de réponse aux incidents
Demander la documentation
Transparence
Sous-traitants ultérieurs
| Sous-traitant ultérieur | Finalité | Localisation | Garantie de transfert |
|---|---|---|---|
| Entités du groupe EXEO | Support, opérations, gestion d'infrastructure | France, Grèce, Liban, EAU | Accord intra-groupe |
| Sentient | Gestion d'entreprise : ticketing, RH, recrutement | GCP Belgique (europe-west1) | Reste dans l'UE |
| Kaseya Datto RMM | Supervision et gestion à distance | AWS Sydney, Australie (ap-southeast-2) | CCT (DPA Kaseya) |
| Kaseya IT Glue | Documentation | États-Unis | DPF UE-États-Unis |
| Acronis Backup Cloud | Sauvegarde et protection des données | Strasbourg, Francfort ou Abou Dabi, selon le client | Adéquation UE, ou CCT pour Abou Dabi |
| Google Workspace | Messagerie et collaboration | Union européenne (région de données Workspace) | DPF UE-États-Unis |
| Zapier | Intégration et automatisation | États-Unis | DPF UE-États-Unis |
| Twilio SendGrid | Notifications e-mail transactionnelles | États-Unis, option de résidence UE | DPF ou CCT, résidence UE si activée |
Notre SOC fonctionne sur un SIEM Wazuh auto-hébergé dans notre datacenter à Paris, sur notre propre infrastructure.
Outils web et métier
| Outil | Finalité | Localisation |
|---|---|---|
| Hébergement WordPress et Elementor | Site web exeo.net | Paris, France |
| Copper CRM | Données de contact commerciales et CRM | États-Unis (Google Cloud) |
| Google Analytics, Microsoft Clarity, Leadfeeder, Outfunnel | Analyse d'audience du site web | Divers, voir la politique de confidentialité |
Reconnus et connectés
Adhésions professionnelles
RIPE NCC - fr.exeo
Le registre Internet régional pour l’Europe, le Moyen-Orient et une partie de l’Asie centrale. En tant que membre, EXEO gère son propre espace d’adressage IP et ses ressources de systèmes autonomes.
CCI France UAE
La Chambre de commerce française aux Émirats arabes unis, qui met en relation les entreprises françaises et émiraties. Notre adhésion soutient nos clients et notre présence dans le Golfe.
CCI France Liban
La Chambre de commerce et d’industrie franco-libanaise, qui relie les entreprises françaises et libanaises. Cette adhésion reflète notre présence de longue date au Liban.
European Champions Alliance
Un réseau transfrontalier de dirigeants européens du monde des affaires et de la technologie. L’adhésion connecte EXEO à ses pairs et partenaires à travers le continent.
PCA
La Professional Computer Association du Liban, l’organisation sectorielle des TIC du pays. Cette adhésion nous relie au secteur technologique libanais.
RDCL
Le Rassemblement de Dirigeants et Chefs d’Entreprises Libanais (RDCL), qui représente le leadership du secteur privé au Liban.
Questions fréquentes
Où nos données sont-elles hébergées, et pouvez-vous les garder dans l'UE ?
Les charges de production des clients et notre SOC fonctionnent en France, sur un SIEM Wazuh auto-hébergé dans notre datacenter à Paris. Les sauvegardes sont stockées dans l’UE (Strasbourg ou Francfort) ou aux Émirats (Abou Dabi) selon votre préférence. Un nombre limité de sous-traitants SaaS opèrent hors de l’UE, sous le cadre de protection des données UE-États-Unis (DPF) ou des clauses contractuelles types. La liste complète, avec localisation et garantie, figure dans le registre des sous-traitants de cette page.
EXEO est-elle elle-même certifiée, et selon quels référentiels ?
Oui. EXEO détient les certifications ISO 27001, ISO 27017 et ISO 27701, SOC 2 Type II, ainsi que le label ExpertCyber. Nous appliquons en interne le référentiel que nous mettons en œuvre chez nos clients.
Êtes-vous conformes au RGPD et à NIS 2 ?
Oui. Nous agissons en qualité de sous-traitant au sens du RGPD et signons un accord de traitement des données avec chaque client. Nos contrôles sont alignés sur NIS 2, et notre certification ISO 27701 couvre notre système de management de la protection de la vie privée.
Comment obtenir votre rapport SOC 2 et vos certificats ?
Demandez-les via la section documents de cette page. Nous partageons le rapport SOC 2 Type II, les certificats ISO 27001, 27017 et 27701, la synthèse du test d’intrusion et un questionnaire de sécurité renseigné (SIG ou CAIQ), sous NDA le cas échéant.
Qui sont vos sous-traitants ultérieurs, et comment sommes-nous informés des changements ?
Nos sous-traitants ultérieurs sont listés dans le registre de cette page, avec leur finalité, leur localisation et la garantie de transfert. Nous tenons ce registre à jour et informons les clients de tout changement important conformément à l’accord de traitement des données, afin que vous puissiez examiner tout nouveau sous-traitant.
Signez-vous un accord de traitement des données ?
Oui. Nous signons un accord de traitement des données avec chaque client, couvrant les rôles, les mesures de sécurité, les sous-traitants ultérieurs, la notification des violations, ainsi que la restitution ou la suppression des données en fin de contrat.
Comment gérez-vous une violation de données ?
Nous suivons un processus défini de réponse aux incidents. En cas de violation de données à caractère personnel, nous notifions les clients concernés sans délai injustifié, conformément au RGPD et aux termes de l’accord de traitement des données, et nous vous assistons dans vos propres obligations de notification.
Comment nos données sont-elles protégées ?
Les accès sont contrôlés par SSO et MFA, les données sont chiffrées en transit et au repos, et les sauvegardes sont immuables. Notre SOC managé supervise les systèmes 24/7, et les vulnérabilités sont suivies via notre service de veille sur les menaces Argos.
Comment signaler une vulnérabilité de sécurité ?
Contactez notre équipe sécurité via le formulaire de cette page, ou l’adresse publiée dans notre fichier security.txt à la racine du domaine. Nous examinons chaque signalement et répondons dans les meilleurs délais.
Puis-je auditer EXEO ?
Oui. En première ligne d’assurance, nous fournissons nos certifications, le rapport SOC 2 Type II et des questionnaires de sécurité renseignés, sous NDA. Lorsque ceux-ci ne répondent pas pleinement à vos exigences, notre accord de traitement des données prévoit un audit client moyennant un préavis raisonnable, au maximum une fois par an sauf à la suite d’un incident ou d’une demande d’une autorité de contrôle, dans le respect de la confidentialité et de nos politiques de sécurité.
Comment gérez-vous les rançongiciels ?
Notre SOC managé surveille les indicateurs de rançongiciel en continu et suit un processus défini de réponse aux incidents pour isoler et contenir les systèmes affectés. Les sauvegardes immuables et le DRaaS permettent de restaurer des données saines, et nous accompagnons la notification et la reprise. L’approche est conçue pour prévenir, détecter et rétablir, pas pour payer.
Prenez-vous en charge les clés de chiffrement gérées par le client ?
Oui. Pour les services éligibles, vous pouvez apporter ou gérer vos propres clés de chiffrement (BYOK/CMEK), en gardant le contrôle du cycle de vie et de la révocation des clés pendant qu’EXEO exploite l’environnement. Nous confirmons le modèle exact et les services pris en charge lors de l’intégration.
Signaler une vulnérabilité
Vous avez identifié un problème de sécurité ? Contactez notre équipe sécurité. Nous publions un fichier security.txt à la racine du domaine ainsi qu’une adresse de contact sécurité dédiée.

