nis2-pro.frTrouvez un prestataire →
Logo XMCO
PASSI

XMCO

Cabinet PASSI 1 portée, audits et pentests pour énergie, banque et santé depuis 2000.

Pure player cyberIndépendantDepuis 2002

XMCO est un cabinet de conseil indépendant en cybersécurité fondé en 2002, siège à Paris, ~100-199 collaborateurs. Qualifié PASSI sur les 5 portées (tests d'intrusion, audits d'architecture, configuration, code, organisationnel/physique). Dispose d'un CERT accrédité TF-CSIRT, propose des services managés (Yuno, Serenety), certifications PCI DSS et accompagnement en réponse à incident.

  • Seul cabinet français souverain avec une longévité de près de 25 ans dans la cybersécurité.
  • Déploiement d'une stratégie inspirée des échecs pour anticiper les cybermenaces.
  • CERT-XMCO reconnu par le CERT-FR, la TF-CSIRT et le Trusted Introducer.
  • Moyenne de 8 ans d'ancienneté parmi ses 120 collaborateurs.
  • 700 missions d'audit par an, avec une clientèle incluant 50% du CAC40 et du SBF120.

Qualifications ANSSI détenues

Portées PASSI couvertes

Le référentiel PASSI distingue 5 portées d'audit. Ce cabinet en couvre 1/5.

  • Audit d'architecture
  • Audit de configuration
  • Audit de code
  • Audit organisationnel et physique
  • Test d'intrusion

Réseau et écosystème

Adhésions à des fédérations professionnelles cybersécurité françaises.

Campus Cyber

Secteurs d'intervention

Secteurs régulés NIS2 que ce prestataire mentionne servir (estimation depuis sources publiques).

ÉnergieSecteur bancaireSanté

Spécialités cyber

Audit de sécuritéTests d'intrusionRéponse à incident (CSIRT)Investigation numérique (forensic)Threat intelligenceGestion des vulnérabilitésGouvernance et conformitéFormation et sensibilisation

Cas clients publics

Clients cités publiquement par le cabinet sur son site.

ReutersBanque de France

Actualité récente

  • 2025·Lancement produit

    Initialisation de la transformation du cabinet avec l'ambition de devenir leader indépendant de la cyber en France.

    Source ↗
  • 2024·Recrutement clé

    Entrée du fond Entrepreneur Invest (participation minoritaire) remplaçant le fond précédent Initiative & Finance.

    Source ↗
« « C’était le 13 novembre 2002. J’ai signé des papiers, des dizaines de signatures… Pour une aventure professionnelle de plus… La bulle des années 2000 venait d’éclater, Internet balbutiait, et servait principalement à consulter le site de la FNAC ou les horaires des trains… Les smartphones n’existaient pas… Je me disais que la Cybersécurité était un marché qui avait de l’avenir, qu’il y avait de la place sur le marché français pour un acteur de référence. » »
— Verbatim site officiel

Présentation

XMCO est un cabinet de conseil en cybersécurité fondé le 13 novembre 2002 par Marc Behar. L'entreprise, qui emploie 105 salariés, se positionne comme pure player indépendant sur le marché français. Le cabinet dispose de trois agences, dont un siège à Paris (18 rue Bayard) et une implantation à Nantes ouverte pour répondre aux besoins locaux.

Offres et expertises

XMCO déploie son activité autour de trois pôles. Le cabinet propose des audits techniques et tests d'intrusion, avec une qualification PASSI sur les cinq portées : audit d'architecture, audit organisationnel et physique, tests d'intrusion, audit de configuration et audit de code. XMCO accompagne également ses clients en conformité PCI DSS et SWIFT avec des consultants certifiés PCI QSA et SWIFT (CSP Assessors), et dispose de consultants certifiés ISO 27001 Lead Auditor et Lead Implementer.

Le CERT-XMCO, opérationnel depuis la création du cabinet, est reconnu par le CERT gouvernemental français (CERT-FR), ainsi que par la TF-CSIRT et le Trusted Introducer. Il délivre des services de veille en vulnérabilités, de cyber-surveillance, de threat intelligence, de réponse à incident et d'analyse forensique. Le cabinet réalise plus de 700 missions d'audit par an.

XMCO édite plusieurs solutions propriétaires : Yuno (veille en vulnérabilités référencée par l'ANSSI), Serenety (détection des menaces sur Internet via OSINT et surveillance du dark web), Evidence (portail d'auto-certification PCI DSS), et des outils de sensibilisation.

Actualité récente

En octobre 2024, XMCO a réorganisé son capital avec la sortie d'Initiative & Finance et l'entrée d'Entrepreneur Invest, qui a injecté 6,1 millions d'euros. L'opération permet le refinancement de la dette existante et accompagne la stratégie de croissance organique du cabinet.

Écosystème et partenariats

Le cabinet collabore avec plusieurs CSIRT sectoriels, dont le CSIRT Aviation et le CSIRT Défense, pour élargir sa visibilité et sa connaissance des menaces sur ces marchés verticaux. XMCO intervient régulièrement au sein d'écoles spécialisées (ETNA, ESIA, INSA Rouen, UTT de Tours) et participe aux événements du Clusif.

Sources de cette fiche

Alternatives à XMCO

Autres prestataires qualifiés ANSSI avec un profil proche (mêmes qualifications, mêmes secteurs servis, ou même région).

Logo Accenture Security

Accenture Security

Paris

PASSI
Logo ACG Cybersecurity

ACG Cybersecurity

Paris

PASSI
Logo Almond

Almond

Sèvres

PASSI
Logo Atos Digital Security

Atos Digital Security

Paris

PASSI
Logo Capgemini Technology Services

Capgemini Technology Services

Issy-les-Moulineaux

PASSI
Logo CGI France

CGI France

Puteaux

PASSI

Questions fréquentes sur XMCO

En quelle année XMCO a-t-il été fondé ?

XMCO a été fondé en 2002, soit 24 ans d'activité dans la cybersécurité, avec un siège à PARIS. Catégorie INSEE : PME.

Quelles qualifications ANSSI XMCO détient-il ?

XMCO est qualifié PASSI par l'ANSSI et couvre 1/5 portées PASSI (audit d'architecture, configuration, code, organisationnel, tests d'intrusion). Données issues du catalogue officiel cyber.gouv.fr.

Pour quels secteurs XMCO intervient-il ?

XMCO déclare intervenir pour les secteurs energie, secteur-bancaire, sante. Cible typique : Grandes entreprises (CAC40, SBF120), Secteurs financiers (banques, assurances), Secteurs critiques (énergie, santé, administration), Entreprises soumises à des réglementations (PCI-DSS, NIS2).

Quels clients publics XMCO référence-t-il ?

Selon son site officiel, XMCO cite parmi ses clients : Reuters, Banque de France.

Comment contacter XMCO via nis2-pro.fr ?

Vous pouvez remplir le formulaire de mise en relation comparator en haut de cette fiche. XMCO et 2 cabinets qualifiés ANSSI au profil similaire (mêmes qualifications, secteur, région) vous recontactent sous 48 h. La sélection des alternatives est faite par nis2-pro.fr — annuaire indépendant, aucun lien capitalistique avec les prestataires.

Comment contacter ce prestataire qualifié ANSSI ?

Deux options. Soit vous contactez le prestataire directement via son site officiel listé en haut de la fiche — la voie la plus rapide si vous savez déjà que c'est lui que vous voulez. Soit vous passez par le formulaire nis2-pro : votre demande est transmise à ce prestataire plus 2 cabinets qualifiés ANSSI au profil similaire (mêmes qualifications, secteur d'intervention, région), pour vous permettre de comparer 3 angles commerciaux avant de décider. La sélection des alternatives est faite par nis2-pro selon votre profil — pas par le prestataire de la fiche.

Comment vérifier que la qualification ANSSI de ce prestataire est toujours valide ?

Les qualifications ANSSI sont attribuées pour une durée limitée (généralement 3 ans pour PASSI, PRIS, PDIS) avec audit de surveillance tous les 18 mois. Le catalogue officiel sur cyber.gouv.fr/produits-services-qualifies liste en temps réel les prestataires dont la qualification est active, le périmètre exact (auditeur, code, architecture, configuration, intrusion pour PASSI), et la date d'expiration. nis2-pro synchronise ce catalogue mensuellement. Toute qualification retirée entre deux syncs apparaît sur le site officiel ANSSI en premier.

Quel est le délai pour démarrer une mission avec un prestataire qualifié ?

Compter typiquement 2 à 6 semaines entre premier contact et démarrage opérationnel : 1 semaine de qualification du besoin, 1 à 2 semaines de proposition commerciale et négociation, 1 à 2 semaines de contractualisation et mobilisation des auditeurs qualifiés. Pour une réponse à incident PRIS, les délais sont contractuels et courts (24-72h selon l'engagement signé). Pour les missions PASSI lourdes (audit d'architecture, tests d'intrusion sur SI critique), prévoir 4 à 8 semaines avant kickoff selon la disponibilité des auditeurs qualifiés.

Combien coûte une mission avec un prestataire qualifié ANSSI ?

Les TJM varient typiquement de 1 200 € HT (consultant junior) à 2 500 € HT (auditeur senior PASSI ou expert PRIS). Un audit PASSI complet (architecture + configuration + intrusion) sur un périmètre moyen coûte entre 30 et 80 k€ HT. Un audit de gap NIS2 ciblé sur les 10 mesures de l'article 21 : 15 à 40 k€ HT selon la taille. Une mission de RSSI externalisé : 4 à 8 k€ HT par mois. Les prestataires ne publient pas leurs grilles publiquement — demander un devis cadré sur votre périmètre exact.

Faut-il obligatoirement un prestataire qualifié ANSSI pour la mise en conformité NIS2 ?

Non, la directive NIS2 ne rend pas obligatoire le recours à un prestataire qualifié pour la mise en conformité elle-même. En revanche, pour certains audits réglementaires (OIV au titre de la LPM, opérateurs de services essentiels sur certains référentiels sectoriels), seuls les prestataires PASSI peuvent émettre des rapports opposables à l'ANSSI. Pour la conformité NIS2 standard (article 21, gouvernance, gestion des risques), un prestataire non qualifié peut intervenir — mais la qualification ANSSI reste un gage de compétence et un facilitateur en cas de contrôle ANSSI.

Inclus dans cet annuaire

Ce prestataire figure dans l'annuaire nis2-pro suite à sa présence dans les sources suivantes : catalogue ANSSI. Date d'ajout : 2026-04-01.

Sources d'enrichissement

Dernière mise à jour : 12 mai 2026 · qualification ANSSI vérifiée, fiche enrichie via recherche web

← Tous les prestatairesAutres prestataires en Île-de-France