Infogérance2026-06-0114 min de lecture

    Infogérance souveraine ISO 27001 pour PME France : guide 2026 (hébergement, supervision, conformité)

    Infogérance souveraine ISO 27001 pour PME France en 2026 : hébergement OVH/Scaleway/Outscale, supervision Wazuh, conformité NIS2, tarifs publics. Repères Grand Est.

    Par
    infogerancesouveraineteiso-27001nis2
    Ce que vous trouverez dans cet article9 sections · ~14 min
    1. 011. Pourquoi l'infogérance change en 2026
    2. 022. Infogérance classique vs infogérance ISO-compliant
    3. 033. Architecture type d'une infogérance souveraine 2026
    4. 044. Le modèle tarifaire transparent
    5. 055. Checklist : 10 questions à poser à votre prestataire
    6. 066. Les 6 pièges courants à éviter
    7. 077. Trois cas concrets (PME-types fictifs anonymes)
    8. 088. FAQ
    9. 099. Comment M-KIS accompagne

    L'infogérance a longtemps été un marché tranquille : prestataire local, deux serveurs en salle blanche, contrat tacitement renouvelé. Ce modèle s'éteint en 2026. La transposition NIS2 impose désormais des obligations concrètes à des milliers d'entités importantes. Les directions achats des grands comptes exigent un certificat ISO 27001 du prestataire IT — pas du seul client. L'AI Act ajoute une couche de gouvernance. Et les scandales successifs autour du CLOUD Act, des coupures OVHcloud Strasbourg ou des tarifs Microsoft 365 ont rappelé qu'une infogérance n'est pas qu'un coût : c'est un choix politique sur où vos données passent la nuit.

    Ce guide s'adresse aux DSI, dirigeants et RSSI de PME de 20 à 200 salariés qui se posent la question concrète : à quoi ressemble une infogérance souveraine ISO 27001-compliant en France en 2026, et combien ça coûte vraiment. Pas de promesse marketing : des architectures réelles, des tarifs publics, et les questions à poser avant de signer.

    #1. Pourquoi l'infogérance change en 2026

    Le contexte réglementaire et géopolitique a basculé en moins de trois ans. Quatre forces s'additionnent et redéfinissent ce que doit faire un infogérant sérieux.

    #NIS2 transposée et entités importantes

    La directive NIS2 (2022/2555) a été transposée en droit français fin 2024-début 2025. Plusieurs milliers d'entités françaises sont désormais concernées, dont une majorité d'entités importantes au sens de l'article 3 : PME et ETI de l'industrie manufacturière, la chimie, l'alimentaire, la santé, la gestion des déchets, les services numériques. L'article 21 impose dix mesures techniques et organisationnelles, l'article 23 la notification d'incident en 24h, 72h puis 1 mois. Pour un infogérant, NIS2 cascade : un client entité importante doit pouvoir prouver, contrat à l'appui, que son prestataire IT respecte les mêmes exigences. Sans ça, le client n'est pas conforme. Le détail des seuils est dans notre dossier NIS2 entité essentielle vs importante.

    #AI Act et gouvernance des flux

    Le règlement européen 2024/1689 (AI Act) impose des obligations sur les systèmes d'IA à haut risque, étendues aux modèles à usage général en août 2026. Pour une PME, deux situations : un fournisseur SaaS qui embarque de l'IA, ou un usage interne d'outils ChatGPT/Claude/Copilot sur de la donnée métier. L'infogérance entre dans la boucle parce qu'elle gère les politiques de sortie de données et la journalisation des flux. Voir notre guide sécurité des prompts LLM en entreprise.

    #Exigences clients grand compte et scandales souveraineté

    Les directions achats des CAC 40, banques, assurances et secteur public demandent désormais le certificat ISO 27001 dans les RFP, y compris sous 100 000 €. Quand l'attendu n'est pas le certificat, c'est un dossier sécurité de 30 à 80 pages qui demande les preuves de conformité du prestataire IT. Un infogérant qui ne peut pas fournir sa Déclaration d'Applicabilité, ses politiques, son registre des accès et le périmètre de sa certification fait perdre des deals à son client. Le coût réel d'une certification est documenté dans combien coûte une ISO 27001 pour une PME.

    S'ajoutent les scandales successifs : augmentations tarifaires Microsoft 365, CLOUD Act 2018 qui s'applique aux hyperscalers américains y compris en région Paris ou Francfort, incendie OVHcloud Strasbourg de mars 2021 cité comme contre-exemple par l'ANSSI. La souveraineté est passée de slogan à critère d'achat. Un infogérant en 2026 doit savoir répondre précisément à "où sont mes données, sous quelle juridiction, qui y a accès, et comment je sors".

    #2. Infogérance classique vs infogérance ISO-compliant

    La différence n'est pas marketing. Elle se mesure aux preuves qu'un prestataire peut produire en 24 heures lors d'un audit ISO 27001 ou d'un incident NIS2.

    #Ce qu'un infogérant classique livre

    Hébergement (souvent revente Hyper-V ou VMware mutualisée), sauvegardes (souvent une seule copie sur le même datacenter), supervision basique (ping, disque plein, antivirus), support hotline en heures ouvrées, correctifs critiques. C'est utile, parfois suffisant pour une TPE non régulée. Ça ne suffit plus dès qu'un grand compte entre au portefeuille ou que NIS2 s'applique.

    #Ce qu'une infogérance ISO-compliant ajoute

    Une infogérance alignée sur l'Annexe A 2022 de l'ISO 27001 (93 contrôles) couvre explicitement les contrôles opérationnels suivants, avec preuves auditables :

    Contrôle Annexe ALivrable infogérant
    A.5.15 à A.5.18 — Contrôle d'accès, identitésRegistre des comptes, MFA généralisé, revue trimestrielle
    A.5.24 à A.5.27 — Gestion des incidentsProcédure documentée, post-mortems, registre des tickets
    A.5.30 — Continuité d'activité ITPlan de reprise testé annuellement, rapport de test
    A.8.9 — Gestion de la configurationAnsible / Terraform versionnés Git, revue à 2 yeux
    A.8.15 — JournalisationConservation intègre horodatée ≥ 12 mois, accès tracé
    A.8.16 — Surveillance des activitésSIEM avec règles de corrélation et alertes
    A.8.24 — ChiffrementDisque (LUKS), transit (TLS 1.3), sauvegardes
    A.8.32 — Gestion des changementsTickets de change, fenêtres communiquées

    L'écart est large. Un infogérant ISO-compliant fournit en plus une PSSI écrite et signée, un registre des accès tenu à jour, un PRA testé annuellement, une journalisation chiffrée au repos, un plan de réversibilité détaillé, et idéalement sa propre certification ISO 27001 sur le périmètre "infogérance". C'est la différence entre "on s'occupe de votre IT" et "on est l'opérateur d'une infrastructure auditable".

    #3. Architecture type d'une infogérance souveraine 2026

    Architecture que nous déployons pour une PME 30 à 100 personnes, en environnement Linux ou mixte. Référence, pas absolu : chaque cas se cadre selon le SI existant.

    #Hébergement physique en France

    Les trois opérateurs souverains au sens de la doctrine ANSSI et SecNumCloud sont OVHcloud (Roubaix, Strasbourg, Gravelines, Limoges), Scaleway (Paris DC2/DC3/DC5) et 3DS Outscale (qualifié SecNumCloud, Saint-Cloud / Marne-la-Vallée). À éviter pour une infogérance souveraine sérieuse : AWS Paris, Azure France Central, Google Cloud Paris — leurs sociétés mères restent soumises au CLOUD Act 2018 quel que soit le lieu physique du datacenter.

    Le choix entre les trois dépend du profil :

    • OVHcloud : meilleur ratio prix/perf, large catalogue, certifié ISO 27001 et HDS, qualifié SecNumCloud sur certains périmètres.
    • Scaleway : excellent pour les workloads conteneurisés et API modernes, certifié ISO 27001 / HDS, ancrage français fort.
    • 3DS Outscale : seule offre qualifiée SecNumCloud sur tout le périmètre Compute/Storage, recommandé dès qu'on touche au secteur public ou aux OIV/OSE.

    #Compute, réseau et accès

    VM dédiées (pas de containers partagés multi-tenants pour les ressources critiques), chiffrement du disque virtuel et des volumes applicatifs en LUKS avec clés en coffre côté client (HashiCorp Vault ou équivalent). Cloisonnement réseau par VLAN dédié, jamais de mélange entre clients d'un même prestataire.

    • VPN site-à-site IPsec ou WireGuard entre le site du client et l'hébergement, avec rotation de clés annuelle.
    • Firewall OPNsense ou pfSense en haute-disponibilité, règles versionnées.
    • Accès administrateur uniquement via bastion SSH avec MFA (TOTP ou clé matérielle FIDO2), journalisation intégrale des sessions. Voir le guide hardening OpenSSH 9.x.

    #Supervision : Wazuh + Suricata

    Le couple Wazuh (XDR/SIEM open source) + Suricata (IDS/IPS) couvre les contrôles A.8.15 (journalisation) et A.8.16 (surveillance) sans dépendre d'un éditeur propriétaire. Wazuh ingère les logs systèmes, applicatifs et les alertes Suricata. Les règles de corrélation sont calquées sur MITRE ATT&CK, comme expliqué dans Détecter MITRE ATT&CK avec Wazuh et Sigma. L'alignement NIS2 est détaillé dans Wazuh & Suricata conformité NIS2.

    #Sauvegardes 3-2-1-1-0

    C'est le standard 2026 pour un PRA crédible. Restic ou Borg côté chiffrement et déduplication, avec stockage S3-compatible verrouillé en object-lock (Scaleway Object Storage ou OVHcloud Cold Archive). Les détails sont dans le guide backup 3-2-1-1-0 Restic + Borg. Test de restauration mensuel automatisé, restitution écrite chaque trimestre.

    #Configuration as code et patching

    Tous les playbooks Ansible, manifests Terraform, scripts de déploiement sont versionnés Git, avec revue à 2 yeux pour la production. C'est le contrôle A.8.9 (gestion de la configuration), avec un journal d'audit immédiat sur "qui a modifié quoi quand". Côté patches : CVE critiques (CVSS > 7) sous 7 jours, le reste sur fenêtre de maintenance mensuelle communiquée 7 jours à l'avance. Outillage : unattended-upgrades Debian / dnf-automatic RHEL, Ansible pour l'applicatif. Report mensuel livré au RSSI client. Chaque client dispose enfin d'un wiki dédié (BookStack ou MkDocs) — schéma d'architecture, inventaire, contacts, procédures de restauration, rapports PRA — remettable à tout moment, pivot du plan de réversibilité.

    #4. Le modèle tarifaire transparent

    L'opacité tarifaire est l'arme principale des grands intégrateurs face aux PME : devis sur-mesure de 60 pages, "à partir de" qui ne reflètent rien, conditions renégociées à chaque renouvellement. Un infogérant souverain affiche ses prix.

    #Grille de référence

    Fourchettes typiques d'une infogérance ISO-compliant en 2026, hors hébergement physique (facturé au coût réel + 5 à 10 % de marge).

    PrestationFourchette mensuelleInclus
    Infogérance VM Linux (Debian/Ubuntu/RHEL)50 - 90 €/VM/moisPatching, monitoring, sauvegarde Restic, support HO
    Infogérance VM Windows Server80 - 130 €/VM/moisIdem + WSUS, AV, support HO
    Supervision Wazuh managée (par 10 endpoints)150 - 250 €/moisSIEM, règles, alerting, rapports mensuels
    SOC managé Wazuh (avec analyste de premier niveau)800 - 2 500 €/moisTriage, levée de doute, escalade
    Sauvegarde immutable hors-site (par 500 Go)30 - 60 €/moisStorage object-lock, test restauration trimestriel
    Astreinte 24/7 (MTTR cible 4h sur incident sécurité)400 - 1 200 €/moisSelon périmètre
    RSSI à temps partagé (0,5 à 2 jours/mois)1 500 - 5 000 €/moisPilotage, comité sécurité, support audit

    Ces fourchettes valent pour des prestataires sérieux avec certification ISO 27001 et équipe interne (pas de sous-traitance off-shore). Au-delà de la borne haute, c'est de la marge intégrateur. En dessous de la borne basse, c'est généralement de la revente mutualisée sans engagement réel d'audit. Le détail de la grille M-KIS est sur la page infogérance et SOC managé.

    #Pas de contrat au-delà de 3 mois d'engagement

    Parti pris fort. Un contrat à 36 mois avec clause de résiliation à 30 % est un instrument d'enfermement, pas de partenariat. La logique M-KIS est inverse : engagement minimal 3 mois pour la mise en route, reconductible mensuellement, plan de réversibilité actif dès la signature. Si le client veut partir, il part avec ses données chiffrées, son inventaire, ses playbooks Ansible et ses dashboards Wazuh — en moins de 30 jours. C'est aussi une exigence implicite d'ISO 27001 (clause 8.1, planification opérationnelle et contrôle des fournisseurs).

    #SLA chiffré, pas slogan

    "24/7" ne veut rien dire. Ce qui compte : MTTR cible (4h sur sécurité critique, 8h sur incident bloquant production, 1 jour ouvré sinon), heures de support (ouvrées 8h-19h vs astreinte 24/7 en option), fenêtre de maintenance communiquée 7 jours à l'avance, disponibilité hébergement 99,5 % standard ou 99,9 % HA. Un SLA sérieux comporte des pénalités chiffrées (5 à 20 % du forfait mensuel en cas de dépassement). Pas de "best effort" sur la sécurité.

    #5. Checklist : 10 questions à poser à votre prestataire

    À utiliser tel quel en première réunion. Si le commercial ne sait pas répondre, escalade au technique. Si le technique ne sait pas répondre, partez.

    1. Où sont physiquement hébergées les données (datacenter, ville, opérateur) ? Réponse précise, vérifiable. "OVH" sans préciser Roubaix ou Beauharnois (Canada) ne suffit pas.
    2. Quel est votre périmètre ISO 27001 et où est publié le certificat ? Numéro de certificat, organisme certificateur (LSTI, BSI, AFNOR, Bureau Veritas), date, périmètre. Doit couvrir l'activité d'infogérance, pas juste le siège commercial.
    3. Sous-traitez-vous tout ou partie de la prestation, et à qui, dans quel pays ? Liste explicite : hébergeur, support N1, monitoring, avec localisation.
    4. Quelle est votre PSSI, puis-je en avoir un extrait sous NDA ? Si la PSSI n'existe pas, c'est rédhibitoire.
    5. Comment journalisez-vous les accès admin à mes systèmes, sur quelle durée ? SIEM (Wazuh, Splunk...), conservation ≥ 12 mois, horodatage signé.
    6. Avez-vous un plan de reprise d'activité documenté et testé ? Oui, dernier test < 12 mois, RTO et RPO chiffrés, rapport disponible.
    7. Quels sont vos délais d'application des correctifs de sécurité ? ≤ 7 jours sur CVSS > 7, 30 jours sur le reste, journal de patching disponible.
    8. Quel est votre plan de réversibilité en fin de contrat ? Formats d'export, durée d'accompagnement, coût explicite, propriété des playbooks/scripts au client.
    9. Comment prouvez-vous votre conformité RGPD sur les sauvegardes ? Registre des traitements, DPA signé, durées de conservation conformes, effacement effectif (y compris snapshots).
    10. Pouvez-vous citer 3 références clients PME appelables ? Au moins une référence dans votre secteur ou taille. Si tout est sous NDA absolue, c'est suspect.

    #6. Les 6 pièges courants à éviter

    Pièges récurrents dans les audits de reprise d'un SI géré par un prestataire historique.

    Piège 1 — "On est ISO 27001" sans certificat. Un prestataire peut "appliquer la norme" sans être certifié. Sans certificat délivré par un organisme accrédité COFRAC, c'est invérifiable. Demandez le numéro, vérifiez sur le site de l'organisme. Le périmètre doit couvrir l'activité que vous achetez.

    Piège 2 — "Hébergement France" en réalité mix européen. Plusieurs prestataires affichent "données en France" mais utilisent un mix OVH Roubaix + Hetzner Allemagne + AWS Paris selon la charge. C'est un problème pour la souveraineté juridique (Hetzner = juridiction allemande, AWS = CLOUD Act), pour NIS2 (chaîne d'approvisionnement) et pour les clients grand compte exigeant France pure. Exigez par écrit la liste exhaustive des datacenters utilisés.

    Piège 3 — SLA flou type "24/7" sans MTTR. "Support 24/7" peut signifier un répondeur qui rappelle dans la journée. Un vrai SLA chiffre le MTTR et le mesure. Sans chiffre, pas d'engagement.

    Piège 4 — Pas de plan de réversibilité = vendor lock-in. Si on vous répond "on verra le moment venu", vous êtes piégé. Tout prestataire ISO-compliant a un plan de réversibilité écrit : formats d'export, durée d'accompagnement (30-90 jours), coût de l'opération, propriété des scripts et configurations.

    Piège 5 — Sauvegardes au même endroit que la production. Une sauvegarde sur le même datacenter que la prod n'est pas une sauvegarde, c'est un snapshot. En cas d'incendie, de ransomware ou de panne hyperviseur globale, vous perdez tout. Exigez : copie hors-site, copie immuable (object-lock), test de restauration documenté.

    Piège 6 — Tacite reconduction longue. "Renouvellement automatique 36 mois sauf préavis 6 mois" est un piège juridique : vous découvrez la clause au moment où vous voudriez partir. Les contrats sérieux sont résiliables mensuellement après période d'engagement initiale courte (3 mois maximum).

    #7. Trois cas concrets (PME-types fictifs anonymes)

    Les profils ci-dessous sont des synthèses fictives construites à partir de schémas récurrents en Grand Est. Toute ressemblance avec une entreprise réelle est fortuite. Les chiffres sont cohérents avec la grille tarifaire ci-dessus.

    #Cas A : Cabinet d'expertise comptable Nancy (35 personnes)

    Contexte : Microsoft 365 Business Premium, Sage One en SaaS, sauvegardes "incluses dans M365" (donc inexistantes au sens 3-2-1-1-0). Trois clients OIV ont exigé en 2025 une preuve de conformité ISO 27001 sur le cabinet.

    Cible : migration messagerie + bureautique vers Nextcloud Hub auto-hébergé sur OVHcloud Roubaix, Odoo 19 Community pour gestion de mission, time-tracking, facturation, remplaçant Sage One (cf. Odoo 19 migration et nouveautés PME). Sauvegardes Restic vers Scaleway Object Storage (object-lock 30 jours) + copie froide trimestrielle sur NAS QNAP. Wazuh managé (10 endpoints initiaux). RSSI temps partagé 1 jour/mois pour piloter la démarche ISO 27001.

    Budget mensuel récurrent : 1 850 € HT (infogérance) + 240 € HT (hébergement) + 1 200 € HT (RSSI). Audit gap ISO 27001 one-shot : 8 500 € HT. Certification visée à 9-12 mois. Break-even 18 mois grâce à l'arrêt de M365 Business Premium (environ 620 €/mois économisés) et au déblocage commercial des 3 clients OIV.

    #Cas B : Industriel mécanique Strasbourg (90 personnes, 2 sites)

    Contexte : entité importante NIS2 (fabrication, code NAF 25). ERP Sage X3 chez un infogérant local depuis 12 ans, supervision quasi-inexistante, aucun SOC. Incident ransomware bloqué de justesse en novembre 2024 par sauvegarde froide manuelle d'un technicien.

    Cible : Sage X3 conservé sur OVHcloud Strasbourg avec réplication temps réel vers Roubaix. Wazuh + Suricata SOC managé sur 110 endpoints, N1 8h-20h en interne M-KIS, astreinte 24/7. Sauvegardes Restic 3-2-1-1-0 (chaud OVH + froid immutable Outscale, test mensuel). Hardening OpenSSH généralisé (guide hardening OpenSSH 9.x). Mise en conformité NIS2 article 21. Note terrain : le client souhaite donner aux conducteurs d'atelier un accès vocal aux ordres de fabrication Odoo depuis WhatsApp via Merlya (merlya.fr) — bridé côté firewall et journalisé Wazuh.

    Budget mensuel récurrent : 4 700 € HT (infogérance + SOC + sauvegardes) + 580 € HT (hébergement). Mission NIS2 ponctuelle : 18 000 € HT sur 4 mois. Conformité NIS2 atteignable en 6-8 mois, ransomware désormais détectable à la minute.

    #Cas C : Cabinet d'avocats Metz (22 personnes, dossiers sensibles)

    Contexte : cabinet de droit des affaires sur dossiers contentieux. M365 + Secib. Clients institutionnels (banques, assurances) demandent depuis 2024 des DPA spécifiques sur la confidentialité. NIS2 ne s'applique pas, mais le secret professionnel et le RGPD pèsent fort.

    Cible : migration des dossiers les plus sensibles vers Outscale SecNumCloud, M365 maintenu sur le reste. Postes durcis (MDM, MFA YubiKey FIDO2, BitLocker avec clés client, journalisation des accès). Sauvegardes Restic vers Scaleway + copie froide chiffrée sur NAS au cabinet. RSSI temps partagé 0,5 jour/mois. Certification ISO 27001 visée 2027.

    Budget mensuel récurrent : 1 250 € HT (infogérance + sauvegardes) + 180 € HT (hébergement SecNumCloud) + 800 € HT (RSSI). Certification possible à 12-15 mois.

    #8. FAQ

    Q1 — Une infogérance souveraine, c'est obligatoirement plus cher ? Non. À périmètre équivalent, c'est 10 à 20 % plus cher qu'une revente mutualisée sur AWS ou Microsoft, mais elle inclut ce que les hyperscalers facturent à part (sauvegardes, supervision SIEM, support humain). Sur un périmètre complet la facture finale est comparable, parfois inférieure — surtout en supprimant les licences M365 qui peuvent peser 25-40 €/utilisateur/mois.

    Q2 — Faut-il être certifié ISO 27001 soi-même pour avoir une infogérance ISO-compliant ? Non. Un prestataire ISO-compliant peut servir un client non certifié. C'est même fréquent : le client utilise la rigueur du prestataire pour préparer sa propre certification ensuite. Bénéfice opérationnel (journalisation, sauvegardes, supervision) immédiat, conformité formelle 12 à 18 mois après si elle est visée.

    Q3 — NIS2 nous concerne, on fait quoi en priorité côté infogérance ? Trois priorités en moins de 6 mois : déployer une supervision SIEM permettant la notification d'incident sous 24h (Wazuh + Suricata couvrent), durcir la gestion des accès (MFA généralisé, registre des comptes admin, revue trimestrielle), tester un PRA documenté avec RTO/RPO chiffrés. Le détail est dans notre guide NIS2 entité essentielle vs importante et la page service NIS2.

    Q4 — Peut-on garder Microsoft 365 et faire du souverain en parallèle ? Oui, transition pragmatique pour la plupart des PME. M365 reste sur la bureautique standard, les workloads sensibles (contentieux, R&D, paie) migrent vers Nextcloud auto-hébergé ou OnlyOffice. La supervision Wazuh couvre les deux environnements, y compris les journaux M365 via Microsoft Graph.

    Q5 — Comment vérifier que mon prestataire fait vraiment ce qu'il dit ? Quatre vérifications concrètes : demander une démo de l'interface SIEM avec vos propres logs en temps réel, lancer un test de restauration imprévu sur un fichier (et chronométrer), demander le rapport du dernier test PRA, appeler 2-3 références de taille comparable. Une refus = signal faible. Deux refus = signal fort.

    Q6 — Quel est le délai pour reprendre une infogérance existante ? Pour une PME 30-100 personnes, 6 à 12 semaines entre signature et bascule. Phase 1 (audit technique + cadrage) 2-3 semaines, phase 2 (supervision + sauvegardes en parallèle de l'ancien prestataire) 4-6 semaines, phase 3 (bascule effective et réversibilité côté sortant) 2-3 semaines. La variable principale est la coopération de l'infogérant sortant.

    #9. Comment M-KIS accompagne

    M-KIS, cabinet basé à Maxéville (Meurthe-et-Moselle), équipe Lead Auditor ISO 27001, sert les PME du Grand Est et les ETI françaises. Logique opérationnelle constante :

    • Hébergement 100 % français : OVHcloud, Scaleway, Outscale. Pas d'AWS, Azure ou GCP, y compris régions Paris.
    • 100 % open source : Wazuh, Suricata, Restic, Borg, Ansible, Terraform, Nextcloud, Odoo Community.
    • Tarifs publics affichés et mis à jour à chaque révision.
    • Sans engagement long terme : 3 mois maximum initial, puis mensuel résiliable. Plan de réversibilité dès la signature.
    • Lead Auditor ISO 27001 : accompagnement certification de bout en bout, infogérance comme socle de preuves.

    Prestations : infogérance ISO-compliant, SOC managé Wazuh, RSSI à temps partagé, audit gap ISO 27001, mission NIS2 article 21, pentest annuel, sensibilisation collaborateurs.

    Vous reprenez votre infogérance en 2026 et la souveraineté est un critère ? Discutons-en sans engagement. Cadrer un audit gratuit de 30 minutes →

    — Équipe M-KIS, Maxéville

    Cet article vous parle ?

    On accompagne PME, ESN et éditeurs SaaS dans leur conformité ISO 27001 / NIS2 — Lead Auditor certifié, tarifs publics, 100 % open source.

    Diagnostic NIS2 (2 500 €) Échange découverte (30 min)
    Auteur : Équipe M-KIS

    Vous avez un sujet sur ce périmètre ?

    Échange direct avec un ingénieur, pas d'intermédiaire commercial. On vous dit ce qui est faisable, à quel prix, et comment on s'y prend.

    Échange découverte 30 min Tous les articles