Souveraineté Made in France : hébergement HDS V2 chez Unitel + IA on-premise SYLink — sans concession
La majorité des SOC dits souverains sont en réalité hybrides US (IA OpenAI, Slack, Datadog, Stripe). UniSOC fait l'inverse, sans concession : HDS V2 chez Unitel Marseille, IA SYLink on-premise sur GPU Blackwell, zéro requête sortante. Stack technique détaillée et auditable.
Souveraineté Made in France : hébergement HDS V2 chez Unitel + IA on-premise SYLink — sans concession
TL;DR — La majorité des « SOC souverains » français vendus en 2026 sont en réalité hybrides : données chez OVH ou Scaleway (OK), mais IA via OpenAI / Anthropic / Gemini (KO), alerting via Slack ou Teams US (KO), facturation Stripe (KO), monitoring Datadog (KO). UniSOC fait l'inverse, sans concession : hébergement HDS V2 dans le datacenter Unitel à Marseille, IA SYLink AI (modèles 8B / 27B / 80B fine-tunés cybersec) sur GPU NVIDIA Blackwell en local, zéro requête sortante vers un fournisseur tiers pour l'inférence ou le stockage. Voici la stack technique exacte, vérifiable, sans embellissement marketing.
Pourquoi la « souveraineté » française est devenue un mot creux
Demandez à 10 MSSP français leur posture souveraine. 9 sur 10 vous répondront : « nous sommes hébergés en France ». Bon début. Maintenant grattez :
| Question | Réponse-type vague | Question pour creuser |
|---|---|---|
| « Où est l'hébergement ? » | « France, OVH ou Scaleway » | Est-ce certifié HDS V2 ? Quel datacenter exact (Roubaix / Strasbourg / Gravelines) ? |
| « Quelle IA utilisez-vous ? » | « LLM dernière génération » | Le modèle tourne-t-il chez vous ou via une API externe ? |
| « Vos alertes partent où ? » | « Notification temps réel multi-canal » | Slack, Teams, Discord ? Tous appartiennent à des sociétés US. |
| « Outils de monitoring ? » | « Stack moderne SaaS » | Datadog, New Relic, Grafana Cloud (US) ? |
| « Facturation ? » | « Service géré » | Stripe (US) ? Sinon quoi ? |
| « Fournisseur de tickets ? » | « Plateforme intégrée » | Zendesk, ServiceNow, Jira ? Tous US. |
Un acteur qui répond « France » sur la première ligne et US sur les 5 suivantes n'est pas souverain. Il est hébergé en France, ce qui est différent.
La souveraineté réelle demande de répondre France sur toutes les couches : stockage, inférence IA, alerting, monitoring, billing, ticketing, et — last but not least — propriété capitalistique. C'est ce que UniSOC fait. C'est rare. Détaillons.
Couche 1 — Hébergement : datacenters Unitel en France, certifié HDS V2 + SecNumCloud
L'opérateur
Unitel est un opérateur télécom-cloud français, 20+ ans d'expertise, capital 100 % français, non-coté. Pas une refonte marketing récente, pas une filiale d'un groupe US, pas une revente d'AWS Region Paris. C'est un vrai opérateur d'infrastructure qui possède ses propres datacenters, sa propre fibre, et son propre cloud.
Les datacenters
- Localisation principale UniSOC : datacenter Unitel Marseille (60 av. Roussin / Tour Mirabeau), siège historique du groupe.
- Maillage France : Unitel opère également Lyon (60 av. Rockefeller), Aix-en-Provence (thecamp), Bordeaux (Parc Ampéris) et Sophia Antipolis — base saine pour bâtir un PRA inter-sites 100 % France (offre entreprises multi-sites).
- Tier : équivalent Tier 3+ (redondance N+1 énergie, refroidissement, réseau, dual-source EDF + génératrices diesel + UPS).
- Carrier-neutral : transits IP multiples, peering au France-IX Marseille.
- Dépendance fournisseur cloud étranger : zéro. Pas de re-vente AWS / Azure / GCP. Voir l'offre infrastructure cloud Unitel.
Les certifications
Unitel est l'un des rares opérateurs français à empiler les trois labels qui comptent vraiment en 2026 :
- HDS V2 — santé. Permet d'héberger des données de santé sans dérogation. Renforce notamment la traçabilité des accès admin, l'audit annuel obligatoire, et l'alignement explicite sur ISO 27001:2022. Voir HDS V2 expliqué.
- SecNumCloud — qualification ANSSI, le plus haut niveau d'exigence sécurité-souveraineté en France. Critère d'éligibilité de plus en plus exigé sur les marchés publics sensibles (défense, OIV, OSE NIS2).
- CANUT Lot 3 — Unitel est attributaire du marché public Centrale d'achat numérique pour l'enseignement supérieur (Lot 3 — Infrastructure Cloud Souveraine), accessible donc directement aux universités, CHU et établissements publics via marchés publics CANUT sans nouvelle procédure de mise en concurrence.
À cela s'ajoute la conformité NIS2 et DORA, le RGPD par construction, et l'engagement explicite : « aucun transfert de données de santé vers un pays tiers ».
Ce que ça change concrètement
Vous savez où sont vos données : un bâtiment, à Marseille, propriété d'un opérateur français qualifié SecNumCloud. Pas une « région cloud Paris » qui peut basculer sur l'Irlande pour de la maintenance. Pas un fournisseur dont la maison-mère est à Seattle. Pas de Cloud Act applicable, pas de FISA 702, pas d'extra-territorialité.
Et côté exploitation : les Centres d'Expertise Client Unitel sont en France, avec une GTI 10 minutes sur incident — vous parlez à un humain francophone qui peut intervenir physiquement sur le bâtiment où sont vos données.
Couche 2 — IA : SYLink AI, le LLM spécialisé cybersécurité
Pourquoi c'est l'enjeu critique de 2026
L'IA est devenue un composant central d'un SOC moderne. Chaque requête au LLM voit passer des logs sensibles : authentifications AD, process trees, contenu mail phishing, configs firewall. Si ce LLM est une API US (OpenAI, Anthropic, Gemini), vous transférez tout ça vers les US à chaque requête. C'est l'angle mort majeur de la souveraineté SOC en 2026 — voir pourquoi UniSOC n'envoie pas vos logs à OpenAI.
Le second angle mort : utiliser un LLM généraliste (GPT-4, Claude, Llama) pour faire du SOC, c'est demander à un médecin généraliste de faire de la chirurgie cardiaque. Ça marche pour les questions simples, ça décroche dès que le contexte devient pointu (interpréter un EID Sysmon obscur, prioriser une chaîne CVE, écrire une règle Sigma propre).
SYLink AI est conçu pour répondre à ces deux problèmes : spécialisé cybersécurité et on-premise par construction. Présenté par son éditeur comme « The First Cybersecurity-Specialized AI Model », le modèle est publié sur ollama.com/sylink/sylink:32b.
Les 5 domaines de capacités
SYLink AI est entraîné spécifiquement sur cinq pilliers du métier SOC. C'est ce qui fait la différence avec un GPT-4 brut ou un Mistral généraliste :
1. Threat Intelligence & Analysis
- Mapping MITRE ATT&CK complet : 14 tactiques, 200+ techniques, sous-techniques.
- Profilage d'acteurs de menaces (TA, APT, ransomware groups) : TTPs, infrastructure, motivations.
- Analyse IOC : enrichissement, scoring, corrélation cross-feeds.
- Évaluation des menaces émergentes : nouveaux malwares, CVE exploitées in-the-wild, campagnes en cours.
2. Incident Response
- Guidance cycle complet NIST CSF (Identify → Protect → Detect → Respond → Recover).
- Support forensique digital : analyse memory dumps, artefacts disque, timeline.
- Stratégies triage / confinement / éradication étape par étape, contextualisées au scénario.
- Chaîne de traçabilité (chain of custody) pour exploitation judiciaire.
3. Vulnerability Management
- Analyse CVE : description plain-language, exploits connus, vendor patches.
- Interprétation CVSS v3.1 / v4.0 au-delà du score : vecteur d'attaque réel, exposition réelle.
- Priorisation des patches : pondération CVSS × exposition × criticité asset (proche de l'EPSS / KEV CISA).
- Gestion de la surface d'attaque externe : recommandations de réduction.
4. Compliance & Governance
- Implémentation NIST 800-53, ISO 27001:2022, CIS Controls v8.
- Guidance SOC 2 Type II, PCI-DSS v4, HIPAA, RGPD.
- Pour la France : transposition NIS2, DORA, HDS V2, SecNumCloud côté lectures et obligations.
- Aide à la rédaction de politiques (PSSI, charte SI, plan de continuité).
5. Detection Engineering
- Optimisation des requêtes SIEM (KQL, SPL, ES|QL, Lucene).
- Création de règles Sigma, YARA, Snort/Suricata, à partir d'observations brutes.
- Threat hunting : génération de hypotheses + requêtes correspondantes.
- Analyse de logs multi-source : Sysmon, AD, Linux auditd, NetFlow, applicatif.
Cas d'usage concrets vus en production
Pour donner une idée de ce que SYLink AI fait au quotidien dans UniSOC :
- « Analyse cette commande PowerShell :
» → réponse contextualisée : T1059.001 + T1105, indicateurs de download cradle classique, recommandations de blocage.iex (New-Object Net.WebClient).DownloadString(...) - « Mouvement latéral suspect : SMB depuis WS-USER-014 vers SRV-AD-PROD » → corrélation TTP T1021.002, hypothèses (compte privilégié compromis, pass-the-hash), playbook investigation.
- « 47 CVE critiques publiées cette semaine sur le périmètre client : lesquelles patcher en priorité ? » → priorisation pondérée KEV / exposition réelle / criticité asset, top 5 actionnable.
- « Rédige une règle Sigma pour détecter le vol de credentials via dumping LSASS » → règle Sigma syntaxiquement correcte, mappée T1003.001, avec false-positive considerations.
- « Cartographie nos contrôles existants vs framework anti-ransomware ENISA » → matrice contrôle-par-contrôle, gaps identifiés, recommandations priorisées.
Métriques annoncées par l'éditeur
Trois métriques que SYLink communique publiquement sur sa fiche modèle :
| Métrique | Valeur | Interprétation |
|---|---|---|
| Accuracy | 94 % | Sur jeu de tests cybersec internes (corpus inédit, pas vu en entraînement) |
| Latency | 184 ms | Premier token, en inférence sur GPU haut de gamme |
| Hallucination rate | 4,2 % | Mesure conservative — bien en-dessous des 8-12 % des LLM généralistes sur tâches pointues |
À comparer : GPT-4 sur les mêmes benchmarks cybersec affiche typiquement 80-88 % d'accuracy et 8-15 % d'hallucination — pour un coût marginal API + un risque de fuite de données vers les US.
Variantes du modèle, choisir la bonne taille
| Variante | Quantization | RAM nécessaire | Profil d'usage |
|---|---|---|---|
| F16 | ~16 Go | Triage rapide, SOC Tier 1, latence sub-seconde |
| Q5_K_M | ~22 Go | Analyse profonde, Tier 2/3, équilibre qualité / coût (variante recommandée par défaut UniSOC) |
| Q4_K_M | ~48 Go | Cas d'usage les plus exigeants : investigation cross-tenant, rapports forensiques longs |
Tous les modèles partagent la même base Qwen3 (open-weight Apache 2.0), fine-tunée sur des dizaines de milliers de samples cybersec curés, avec un alignement explicite defensive cybersecurity only (l'éditeur SYLink refuse les usages offensifs).
Adossé à l'infrastructure Cloud IA souveraine Unitel
SYLink AI ne tourne pas sur une carte reliée à un poste sous le bureau d'un dev. Il tourne sur l'infrastructure GPU souveraine Unitel — l'une des rares offres françaises à proposer du Cloud Privé CPU/GPU SecNumCloud avec quatre piliers : Datacenters IA, Cloud IA, Edge IA et Conseil IA.
Trois conséquences concrètes :
- Localisation physique : datacenter français qualifié SecNumCloud. Vos logs ne quittent jamais le bâtiment pour aller vers un GPU « cloud » US.
- Edge possible : pour les déploiements à fort enjeu de latence ou de circulation locale (industriels, opérateurs essentiels), possibilité de pousser un nœud d'inférence SYLink AI sur un site Edge Unitel — le modèle reste on-premise côté client.
- Aucune dépendance API tierce : pas d'API OpenAI, Anthropic, Mistral cloud, Cohere, Google Gemini. Téléchargement initial des poids depuis Ollama Hub (signés sha256), puis 100 % offline.
Couche 3 — Alerting, monitoring, billing : 100 % France aussi
C'est la partie que personne ne creuse en avant-vente. C'est aussi celle qui explique qu'on appelle UniSOC « sans concession » — détail par détail :
| Fonction | Choix UniSOC | Raison |
|---|---|---|
| Alerting opérationnel | Matrix self-hosted (Conduit) + Email + SMS via passerelle FR | Pas de Slack / Teams / Discord US |
| Visualisation interne | Grafana on-prem (instance Unitel) | Pas de Grafana Cloud (US) |
| Logs internes | Loki on-prem | Pas de Datadog / New Relic / Splunk Cloud |
| Tickets | Module ticketing intégré dans le portail UniSOC | Pas de Zendesk / ServiceNow |
| Code source | Git self-hosted + miroir GitHub privé | Code sensible jamais chez GitHub seul |
| Billing client | Émission directe (factures FR), prélèvement SEPA via banque FR | Pas de Stripe |
| Observabilité plateforme | Stack Prometheus / Loki / Grafana on-prem | Aucun télémétrique sortant |
| Mises à jour OS | Miroirs Debian / Alpine internes | Pas de fuite IP via APT |
Chacune de ces lignes paraît anodine. Cumulées, elles font la différence entre un acteur qui dit être souverain et un acteur qui l'est.
Couche 4 — Capitaux et gouvernance
C'est la couche oubliée par 100 % des questionnaires HDS / NIS2 standards.
- UniSOC : édité par un partenariat Unitel × SYLink Technologie, deux entreprises françaises non-cotées, sans actionnaire étranger.
- Pas de levée de fonds VC US : nous refusons par principe les LP américains qui imposeraient un siège US ou un « C-suite anglophone » à terme. Le contrôle reste français.
- Pas de revente prévue à un acteur étranger. La feuille de route 5 ans prévoit une croissance organique + financement bancaire FR.
Pourquoi c'est important ? Parce que n'importe quel acteur français peut être racheté demain par un fonds US ou une multinationale — et son hébergement « souverain » devient alors exposé au Cloud Act dès la signature. C'est arrivé à plusieurs acteurs cyber FR en 2023-2025 (rachats US discrets, perte de l'accréditation SecNumCloud sans communication).
Comment vérifier nous-mêmes (et pas nous croire sur parole)
Marketing souverainiste pour marketing souverainiste, on serait pareils que tout le monde. La vraie différence est qu'on se laisse auditer sur ces points-là. Concrètement :
- Demande d'accès datacenter : possible sur RDV Unitel Marseille, escortée, avec NDA. Vous voyez physiquement les racks UniSOC.
- Capture trafic réseau : nous fournissons un pcap d'une session AI Orchestrator en activité (anonymisé) — vous y vérifiez l'absence d'IP destination US.
- Téléchargement des modèles SYLink AI :
depuis n'importe quel poste, vous faites tourner le modèle hors-ligne, vous comparez aux résultats annoncés.ollama pull sylink/sylink:32b - Audit comptable allégé : nous communiquons sur demande la composition du capital (pas de cap-table publique car non-coté, mais déclaration sur l'honneur + extrait Kbis).
- Audit HDS V2 : copie du certificat LSTI fournie sur demande commerciale ; rapport d'audit annuel partageable sous NDA.
- Audit ISO 27001 : en cours d'instruction (cible 2026 Q4) sur les services UniSOC ; le datacenter Unitel est déjà ISO 27001:2022.
Les 3 questions pièges à poser à votre MSSP actuel
Faites le test demain matin avec votre prestataire SOC. Trois questions binaires :
Question 1 — « Mon LLM tourne-t-il chez vous ou via une API tierce ? »
Si la réponse est « via OpenAI / Anthropic / Azure OpenAI / Gemini » → vos logs SOC partent aux US, sous Cloud Act. Souveraineté = 0.
Si la réponse est « via Mistral cloud » → un peu mieux (société FR), mais l'inférence tourne sur Azure (hébergement Mistral). Souveraineté = partielle, cap. à terme.
Question 2 — « Où sont stockés mes logs bruts et combien de temps ? »
Si la réponse est « dans notre cluster cloud avec rotation 30 jours » sans nommer le fournisseur exact → relancez. Si fournisseur = AWS / Azure / GCP, même hébergement « région Paris », vous êtes sous Cloud Act.
Question 3 — « Comment êtes-vous notifié d'une alerte critique ? »
Si la réponse est « Slack / Teams / PagerDuty / Opsgenie » → tous US. La chaîne d'escalade elle-même peut être interceptée par un acteur étranger.
Si vos trois réponses ne sont pas 100 % FR, votre souveraineté est un slogan, pas une réalité opérationnelle.
Ce qui rend cette stack difficile à copier
Pour être honnête : on aimerait que la concurrence française nous copie demain matin. Sauf que c'est dur et cher :
- Investissement matériel GPU initial : 100-200 k€ (Blackwell + L40 + serveurs).
- Compétences ML internes : 2-3 ETP fine-tuning + ops modèle (rare en cybersec FR).
- Compromis sur le marketing : « powered by GPT-4 » est plus vendeur en COMEX que « powered by un Qwen3 27B fine-tuné » — il faut accepter de mettre de la pédagogie au lieu de l'effet wow.
- Renoncer à l'écosystème SaaS US confortable : remplacer Slack / Datadog / Stripe par des équivalents on-prem ou FR demande de l'ingénierie réelle, pas un copier-coller de doc.
- Refuser certaines levées : les meilleurs deals VC en 2025-2026 sont souvent US — on ne signe pas, et c'est un coût d'opportunité réel.
UniSOC fait ces choix parce que nous sommes convaincus que la souveraineté à 90 % n'existe pas. Soit vos données restent en France, soit elles partent. Pas d'entre-deux.
Conclusion
Le marché cybersec français de 2026 est plein de « souveraineté communicante » et vide de « souveraineté technique ». Pour un RSSI ou DSI qui prend ses responsabilités au sérieux — qu'il soit dans un CHU, une collectivité, une PME industrielle, un opérateur essentiel NIS2 — la question n'est pas « est-ce que mon prestataire dit être souverain ? », mais « sur quelles couches techniques est-ce vrai ? ».
Pour UniSOC, la réponse est toutes les couches — hébergement, IA, alerting, monitoring, ticketing, billing, capital. Pas par posture idéologique, par conception technique depuis le premier jour.
Si vous voulez du concret :
- Notre offre dédiée aux collectivités et secteur public intègre le HDS V2 Unitel par défaut.
- Notre plateforme SOC managé embarque l'IA SYLink en standard.
- Notre page SYLink AI détaille les modèles 8B / 27B / 80B téléchargeables.
- Notre offre entreprises couvre les groupes multi-sites avec PRA inter-datacenters France.
À lire aussi : Hébergement HDS chez Unitel · Cloud Act et SIEM US · Souveraineté des données HDS / SecNumCloud / RGPD.
Ressources externes — vérifier par soi-même
- Opérateur d'infrastructure : unitel.fr — site corporate, 20+ ans d'expertise, capital français.
- Offre Cloud souverain : unitel.fr/infrastructure-cloud — Edge Cloud, Core Cloud CPU/GPU privé, S3, NAS/SAN.
- Offre IA souveraine : unitel.fr/intelligence-artificielle — Datacenters IA, Cloud IA SecNumCloud, Edge IA, Conseil IA.
- Marché public CANUT Lot 3 : unitel.fr/marches-publics/marches-publics-canut-lot3 — accès direct pour universités, CHU, établissements publics.
- Modèles SYLink AI : ollama.com/sylink/sylink — téléchargement libre, vérification offline.
- Référentiel HDS : esante.gouv.fr — Hébergement de données de santé.
- Qualification SecNumCloud : cyber.gouv.fr — SecNumCloud.
Vous voulez auditer la souveraineté de votre stack SOC actuelle ? Demandez notre audit "Souveraineté SOC" → — checklist 30 points, livrée en 5 jours, vous repartez avec une cartographie précise des dépendances étrangères de votre prestataire actuel (et de combien il faudrait pour les éliminer).