Lexfo
Cabinet PRIS pour la réponse aux incidents, audits et pentests, accrédité JEI depuis 2007.
Cabinet français indépendant de conseil et expertise en cybersécurité, fondé en 2011. Filiale du groupe Forward Global. Plus de 100 collaborateurs dont 80 ingénieurs. Qualifications ANSSI : PRIS, CESTI, PVID. Expertise en audit, tests d'intrusion, réponse à incidents, CTI, homologation, formation. Bureaux à Paris, Lyon et Toulouse. Filiales Databack (récupération de données) et Ubik Learning Academy (formation).
- Prestataire de confiance qualifié par l'ANSSI pour la réponse aux incidents de sécurité (PRIS LPM)
- Centre d’évaluation agréé par l'ANSSI pour l'homologation
- Accréditation JEI et bénéfice du CIR pour ses projets de R&D en sécurité informatique
- Équipe de plus de 100 collaborateurs, dont 80 ingénieurs et experts en sécurité
- Plus de 2000 projets par an et 250 clients annuels
Qualifications ANSSI détenues
Prestataire de Réponse aux Incidents de Sécurité
Réponse à incident.
Certifications complémentaires
Certifications mentionnées publiquement sur le site du cabinet.
Secteurs d'intervention
Secteurs régulés NIS2 que ce prestataire mentionne servir (estimation depuis sources publiques).
Spécialités cyber
Technologies maîtrisées
Outils et plateformes cités sur le site du cabinet.
Cas clients publics
Clients cités publiquement par le cabinet sur son site (1 études de cas).
« LEXFO protège le patrimoine informationnel de ses clients par une approche offensive et innovante. »
Présentation
Lexfo est une filiale du groupe Forward Global, opérant comme cabinet d'expertises techniques en sécurité des systèmes d'information. Selon le site officiel, la société regroupe plus de 100 collaborateurs, dont 80 ingénieurs et experts en sécurité, répartis à Paris, Lyon et Toulouse. Lexfo adopte une approche offensive, avec des prestations manuelles appuyées par des outils développés en interne.
Offres et expertises
La société dispose d'équipes techniques spécialisées en anticipation de la cyber-menace (CTI), réponse aux incidents de sécurité, homologation (centre d'évaluation agréé par l'ANSSI), réalisation d'audits de sécurité, formation et sensibilisation. Ambionics Security est un service Lexfo qui fournit des tests d'intrusion continus, contre-audits hebdomadaires et surveillance active des menaces. L'équipe de réponse à incident est joignable du lundi au dimanche inclus, de 8h30 à 22h30 (UTC+1).
Activité de recherche
Lexfo est accréditée JEI (Jeune Entreprise Innovante) par le Ministère de l'Éducation et de la Recherche pour ses projets de recherche en sécurité informatique et bénéficie du crédit d'impôt recherche (CIR). Les travaux du laboratoire interne ont conduit à la découverte de vulnérabilités : CVE-2023-27997 (XORtigate) permettant l'exécution de code à distance sur les VPN Fortigate de Fortinet, ou encore CVE-2025-5717 sur les produits WSO2.
Qualifications et certifications complémentaires
L'ANSSI a qualifié Lexfo PRIS (Prestataire de confiance pour son service de réponse aux incidents de sécurité) le 20 juin 2023. La société détient également les qualifications CESTI (Centre d'évaluation de la sécurité des technologies de l'information) et PVID (prestataire de vérification d'identité à distance) délivrées par l'ANSSI. Fondé en 2011 selon le LNE, le cabinet accompagne ses clients dans la protection de leur patrimoine informationnel. En 2024, Lexfo a intégré le CB Scheme CYBR avec le LNE pour délivrer des certificats sur la cybersécurité.
Filiales et solutions propriétaires
La société dispose d'une filiale, Databack, dédiée à la récupération de données. Lexfo a acquis AppSecAcademy, renommée Ubik Academy, plateforme SaaS de formation cyber. L'équipe utilise la solution d'analyse de données LexHunt développée en interne.
Sources de cette fiche
- https://incyber.org/article/reponse-a-incidents-lexfo-decroche-la-qualification-pris-de-lanssi/
- https://www.lexfo.fr/services.html
- https://lexfo.fr/
- https://lexfo.fr/qui-sommes-nous/
- https://blog.lexfo.fr/wso2.html
- https://lexfo.fr/recrutement/
- https://www.lne.fr/fr/communiques-de-presse/2024/securite-informatique-produits-industriels-lne-lexfo-integrent-cb-scheme
- https://forwardglobal.com/actualites/notre-filiale-cyber-lexfo-complete-son-offre-de-services-avec-lacquisition-dappsecacademy/
- https://www.solutions-numeriques.com/assistance-aux-cybervictimes-lexfo-qualifie-pris-par-lanssi/
Alternatives à Lexfo
Autres prestataires qualifiés ANSSI avec un profil proche (mêmes qualifications, mêmes secteurs servis, ou même région).
Questions fréquentes sur Lexfo
En quelle année Lexfo a-t-il été fondé ?
Lexfo a été fondé en 2011, soit 15 ans d'activité dans la cybersécurité, avec un siège à PARIS. Catégorie INSEE : ETI.
Quelles qualifications ANSSI Lexfo détient-il ?
Lexfo est qualifié PRIS par l'ANSSI. Données issues du catalogue officiel cyber.gouv.fr.
Pour quels secteurs Lexfo intervient-il ?
Lexfo déclare intervenir pour les secteurs sante, energie, secteur-bancaire, infrastructures-marche-financier. Cible typique : Secteurs critiques (santé, énergie, administration publique, etc.), Entreprises souhaitant évaluer et renforcer leur sécurité informatique.
Quels clients publics Lexfo référence-t-il ?
Selon son site officiel, Lexfo cite parmi ses clients : Centre hospitalier (audit interne).
Comment contacter Lexfo via nis2-pro.fr ?
Vous pouvez remplir le formulaire de mise en relation comparator en haut de cette fiche. Lexfo et 2 cabinets qualifiés ANSSI au profil similaire (mêmes qualifications, secteur, région) vous recontactent sous 48 h. La sélection des alternatives est faite par nis2-pro.fr — annuaire indépendant, aucun lien capitalistique avec les prestataires.
Comment contacter ce prestataire qualifié ANSSI ?
Deux options. Soit vous contactez le prestataire directement via son site officiel listé en haut de la fiche — la voie la plus rapide si vous savez déjà que c'est lui que vous voulez. Soit vous passez par le formulaire nis2-pro : votre demande est transmise à ce prestataire plus 2 cabinets qualifiés ANSSI au profil similaire (mêmes qualifications, secteur d'intervention, région), pour vous permettre de comparer 3 angles commerciaux avant de décider. La sélection des alternatives est faite par nis2-pro selon votre profil — pas par le prestataire de la fiche.
Comment vérifier que la qualification ANSSI de ce prestataire est toujours valide ?
Les qualifications ANSSI sont attribuées pour une durée limitée (généralement 3 ans pour PASSI, PRIS, PDIS) avec audit de surveillance tous les 18 mois. Le catalogue officiel sur cyber.gouv.fr/produits-services-qualifies liste en temps réel les prestataires dont la qualification est active, le périmètre exact (auditeur, code, architecture, configuration, intrusion pour PASSI), et la date d'expiration. nis2-pro synchronise ce catalogue mensuellement. Toute qualification retirée entre deux syncs apparaît sur le site officiel ANSSI en premier.
Quel est le délai pour démarrer une mission avec un prestataire qualifié ?
Compter typiquement 2 à 6 semaines entre premier contact et démarrage opérationnel : 1 semaine de qualification du besoin, 1 à 2 semaines de proposition commerciale et négociation, 1 à 2 semaines de contractualisation et mobilisation des auditeurs qualifiés. Pour une réponse à incident PRIS, les délais sont contractuels et courts (24-72h selon l'engagement signé). Pour les missions PASSI lourdes (audit d'architecture, tests d'intrusion sur SI critique), prévoir 4 à 8 semaines avant kickoff selon la disponibilité des auditeurs qualifiés.
Combien coûte une mission avec un prestataire qualifié ANSSI ?
Les TJM varient typiquement de 1 200 € HT (consultant junior) à 2 500 € HT (auditeur senior PASSI ou expert PRIS). Un audit PASSI complet (architecture + configuration + intrusion) sur un périmètre moyen coûte entre 30 et 80 k€ HT. Un audit de gap NIS2 ciblé sur les 10 mesures de l'article 21 : 15 à 40 k€ HT selon la taille. Une mission de RSSI externalisé : 4 à 8 k€ HT par mois. Les prestataires ne publient pas leurs grilles publiquement — demander un devis cadré sur votre périmètre exact.
Faut-il obligatoirement un prestataire qualifié ANSSI pour la mise en conformité NIS2 ?
Non, la directive NIS2 ne rend pas obligatoire le recours à un prestataire qualifié pour la mise en conformité elle-même. En revanche, pour certains audits réglementaires (OIV au titre de la LPM, opérateurs de services essentiels sur certains référentiels sectoriels), seuls les prestataires PASSI peuvent émettre des rapports opposables à l'ANSSI. Pour la conformité NIS2 standard (article 21, gouvernance, gestion des risques), un prestataire non qualifié peut intervenir — mais la qualification ANSSI reste un gage de compétence et un facilitateur en cas de contrôle ANSSI.
Inclus dans cet annuaire
Ce prestataire figure dans l'annuaire nis2-pro suite à sa présence dans les sources suivantes : catalogue ANSSI. Date d'ajout : 2026-04-01.
Sources d'enrichissement
- lexfo.fr ↗
- www.societe.com/societe/lexfo-495160657.html ↗
- incyber.org/article/reponse-a-incidents-lexfo-decroche-la-qualification-pris-de-lanssi ↗
- www.lne.fr/fr/communiques-de-presse/2024/securite-informatique-produits-industriels-lne-lexfo-integrent-cb-scheme ↗
- Catalogue officiel ANSSI — qualification confirmée au cyber.gouv.fr
Dernière mise à jour : 12 mai 2026 · qualification ANSSI vérifiée, fiche enrichie via recherche web