Aller au contenu

Notre démarche

Pourquoi ces outils, pas d'autres

Cyleme ne choisit pas ses outils au hasard, ni par habitude, ni par alignement avec le moins cher du marché. Cinq critères stricts, appliqués à chaque couche technique : hébergement européen, conformité documentée, préférence éditeur français ou européen, viabilité dans la durée, réversibilité garantie. Transparence sur où vont vos données.

Le constat

Choisir un outil informatique aujourd'hui, c'est choisir un cadre juridique

Le marché informatique des PME est largement dominé par des outils américains. Ce n'est pas neutre : les données traitées par un éditeur américain peuvent être réquisitionnées par les autorités américaines au titre du Cloud Act ou de FISA, même quand elles sont stockées en Europe. Dans le même temps, vos obligations européennes se renforcent : RGPD, NIS2 (depuis 2024 pour beaucoup de PME), AI Act qui arrive. Chaque choix d'outil engage votre conformité, votre exposition juridique, votre image vis-à-vis de vos clients et partenaires sensibles.

  • EU vos données traitées par Cyleme sont hébergées en Union européenne, par défaut
  • 5 critères stricts appliqués à chaque outil de notre ensemble technique
  • 0 boîte noire, vous savez précisément où vont vos données par catégorie

Nos critères de sélection

Cinq filtres appliqués à chaque outil de notre stack

Hébergement en Union européenne

Les données traitées par nos outils sont stockées en Europe, pas ailleurs.

  • Stockage et traitement dans des centres de données situés en Union européenne (France, Allemagne, Pays-Bas, Irlande selon l'outil)
  • Pas de transfert hors Union européenne sauf cas explicitement encadrés (Cyleme vous informe et vous donne le choix)
  • Chiffrement des données au repos et en transit, partout, systématiquement

Conformité RGPD et NIS2 documentée

Pas de déclaration vague, des preuves opposables aux auditeurs et assureurs.

  • Certifications éditeur vérifiées (ISO 27001, ISO 27018, SOC 2, HDS quand applicable)
  • Contrat de sous-traitance RGPD (article 28) systématique avec chaque éditeur
  • Mesures de sécurité techniques et organisationnelles documentées et auditables
  • Plans de réponse à incident alignés sur les exigences NIS2 (article 21)

Préférence éditeur français ou européen, à fonctionnalité équivalente

Quand un éditeur français ou européen est techniquement comparable, c'est lui qui est retenu.

  • Hiérarchie de préférence : France, puis Union européenne, puis ailleurs
  • S'applique uniquement quand les alternatives sont techniquement comparables
  • Sur les couches les plus sensibles (sauvegarde, surveillance, identité), la préférence est renforcée et le coût supplémentaire éventuel est assumé
  • Pour les outils internes de Cyleme (notre outillage technicien), le ratio prix/fonctionnalités prime aussi

Éditeur viable dans la durée

Pas une startup à six mois de cash, des éditeurs qui seront encore là dans dix ans.

  • Vérification de la santé financière de chaque éditeur (chiffre d'affaires, levée de fonds, rentabilité)
  • Base installée significative et active (références vérifiables, communauté utilisateurs)
  • Feuille de route publique, évolutions régulières du produit
  • Programme partenaire mature, support technique éprouvé

Réversibilité technique et contractuelle

Si vous changez de prestataire ou d'outil, vos données vous reviennent sans bataille.

  • Vos données sont exportables dans des formats standards (sans verrouillage propriétaire)
  • Procédure de réversibilité documentée pour chaque outil critique
  • Clauses contractuelles garantissant la restitution complète des données à la fin du contrat
  • Pas de rétention payante au-delà de la durée de réversibilité, pas de pénalité de sortie

Transparence sur la stack

Vous savez précisément qui héberge quoi, et où.

  • Liste des sous-traitants techniques fournie dans votre contrat (annexe RGPD article 28)
  • Localisation géographique précisée par catégorie de données traitées
  • Mise à jour proactive en cas de changement d'éditeur ou d'hébergement
  • Pas de boîte noire, pas de fournisseur masqué derrière une marque blanche

Le cas Microsoft, assumé

Microsoft 365 reste américain. Voici comment on gère cette exposition

Microsoft 365 fait partie des outils américains que nous utilisons, et son maintien est un choix assumé, pas un oubli. Nous privilégions les éditeurs européens là où ils sont à la hauteur, en priorité sur les couches de données sensibles (surveillance, sécurité, sauvegarde) ; sur la bureautique, l'équation diffère. Pour une PME française, Microsoft 365 est devenu un standard incontournable : alternatives européennes encore immatures sur la productivité bureautique professionnelle, écosystème d'intégrations unique, ergonomie connue de tous les collaborateurs. Le coût d'opportunité d'une migration vers une suite européenne dépasse aujourd'hui le bénéfice juridictionnel pour la quasi-totalité des PME. Ce qui ne dispense pas de durcir l'exposition.

  • Data Boundary EU activée sur tous les tenants Cyleme : engagement contractuel Microsoft de traitement et stockage en Union européenne
  • Sauvegarde tierce hébergée en Europe, indépendante du cloud Microsoft : si Microsoft tombe ou refuse l'accès, vos données restent restaurables
  • Surveillance opérée par un partenaire français sur les packs Bastion et Citadelle : la détection des incidents critiques 24/7 ne dépend pas d'un fournisseur américain
  • Chiffrement côté client sur les données les plus sensibles quand le contexte le justifie (option upsell)
  • Politique d'accès conditionnel stricte : géolocalisation, conformité appareil, authentification multifacteur — pour limiter les surfaces d'accès
Voir le détail Microsoft 365 →

Carte des hébergements

Où vont vos données, par catégorie

Vue d'ensemble des couches techniques de notre ensemble technique et de leur localisation. Le détail complet (noms d'éditeurs, sous-traitants ultérieurs) est fourni dans l'annexe RGPD article 28 de votre contrat.

Productivité, messagerie, fichiers (Microsoft 365)
Microsoft, Data Boundary EU active. Stockage Irlande, Pays-Bas, France selon le service. Engagement contractuel Microsoft sur la zone EU.
Sauvegarde Microsoft 365
Éditeur international, datacenter Francfort (Allemagne). Indépendant du cloud Microsoft, chiffrement AES-256, certifications ISO 27001 et ISO 27018.
Surveillance et détection des postes (EDR)
Pack Rempart : éditeur Microsoft (Data Boundary EU). Packs Bastion et Citadelle : éditeur français spécialisé en cybersécurité, hébergement France.
Centralisation des journaux de sécurité (SIEM, Bastion et Citadelle)
Éditeur français, hébergement France, certifications cybersécurité européennes.
Centre opérationnel de sécurité (surveillance 24/7 Bastion)
Partenaire français spécialisé en services de sécurité managés, analystes basés en France.
Signature email professionnelle
Éditeur français, hébergement France, certifié ISO 27001 et ISO 27018.
Sensibilisation au phishing (campagnes et formations)
Éditeur basé au Royaume-Uni, hébergement Union européenne. Données d'usage agrégées, aucune donnée personnelle identifiante remontée à l'éditeur.
Filtrage DNS (protection navigation)
Éditeur irlandais, hébergement Union européenne, conformité RGPD documentée.
Coffre-fort de mots de passe
Éditeur américain, certifications SOC 2 Type II et FedRAMP. Chiffrement de bout en bout (l'éditeur ne peut pas accéder à vos mots de passe). Possibilité de stockage des secrets en Union européenne.
Outillage technicien Cyleme (administration, supervision interne)
Mix d'outils sélectionnés selon le ratio fonctionnalités-prix, avec hébergement Union européenne quand pertinent. Ces outils ne stockent pas vos données métier, uniquement des indicateurs techniques agrégés.

Le détail nominatif des éditeurs et sous-traitants ultérieurs figure dans l'annexe RGPD de votre contrat. Toute évolution de cette liste vous est notifiée selon les règles de l'article 28 du RGPD.

Questions fréquentes

Ce que les dirigeants attentifs nous demandent

« Pourquoi pas un ensemble technique 100 % français ? »

Parce que ce serait imposer un coût supplémentaire injustifié sur certaines couches où l'écart fonctionnel avec les alternatives non françaises est trop large. Sur les couches les plus sensibles (sauvegarde, surveillance, identité), la préférence française est appliquée même si elle coûte un peu plus cher. Sur les couches d'outillage interne ou les services bureautiques, le ratio fonctionnalités-prix prime à fonctionnalité équivalente. C'est un arbitrage assumé, pas une posture marketing.

« Microsoft est américain, comment vous gérez l'exposition Cloud Act ? »

Microsoft 365 est conservé car incontournable pour les PME aujourd'hui, mais l'exposition est encadrée à plusieurs niveaux : Data Boundary EU activée (engagement contractuel Microsoft), sauvegarde tierce en Europe indépendante du cloud Microsoft, surveillance par partenaire français sur les packs Bastion et Citadelle, politiques d'accès conditionnel strictes. Pour les Clients à exigence renforcée (cabinet d'avocats, médical, données très sensibles), des options complémentaires existent (chiffrement côté client, segmentation, audit dédié) en upsell sur Citadelle.

« Que se passe-t-il si la réglementation européenne change ? »

Cyleme assure une veille réglementaire continue sur RGPD, NIS2, DORA, AI Act, et toute évolution opposable aux PME françaises. Si un de nos outils n'est plus conforme à une nouvelle exigence, nous engageons la migration vers une alternative conforme. La réversibilité technique et contractuelle imposée à chaque éditeur (critère n°5) garantit que ces migrations sont praticables. Vous êtes informé proactivement de chaque changement impactant.

« Et si l'éditeur est racheté par un groupe américain demain ? »

Cas réel et fréquent dans le marché de la cybersécurité européenne. Notre veille intègre les opérations de fusion-acquisition. Si un éditeur retenu passe sous contrôle d'un groupe extra-européen et que cela change matériellement sa conformité (juridiction de stockage, accès des autorités étrangères), nous initions une étude d'alternatives et, si nécessaire, une migration. Le critère « éditeur viable dans la durée » inclut explicitement la stabilité capitalistique.

« Pourquoi vous ne dites pas le nom des éditeurs sur le site ? »

Choix éditorial assumé : le nom d'un éditeur change moins souvent que sa catégorie de service, mais peut évoluer (rachat, changement de gamme, migration interne). Notre engagement porte sur le résultat (hébergement européen, conformité, réversibilité) plus que sur la marque. Le détail nominatif complet vous est fourni dans l'annexe RGPD de votre contrat, mis à jour à chaque évolution. Pour les dirigeants ou DSI client qui souhaitent l'examen complet avant signature, c'est disponible en demande sous accord de confidentialité.

« Et l'open source ? Vous en avez dans la stack ? »

Oui, sur certaines couches d'outillage interne (supervision réseau, statut de service, fallback opérationnel) où l'open source est mature et hébergeable chez un fournisseur cloud européen. L'open source utilisé est sélectionné selon les mêmes critères : viabilité de la communauté, maintenance active, sécurité auditée, hébergement maîtrisé. Il n'est jamais utilisé sur les couches qui exigent un support éditeur contractuel (sécurité, sauvegarde, identité).

Vous voulez auditer notre démarche avant de signer ?

Pour les Clients à exigence forte (cabinet d'avocats, professions réglementées, DSI structuré, assureur cyber), Cyleme fournit la liste détaillée des éditeurs, leurs certifications et leurs accords de sous-traitance sous accord de confidentialité. Premier échange gratuit, sans engagement.

Demander l'audit de la stack Voir les offres