Aller au contenu principal
EXIOR
Pilot
document légal

SLA Sovereign · 15 min

Service Level Agreement Sovereign on-premise : disponibilité 99,99 %, RTO 15 min.

SLA SOVEREIGN — SERVICE LEVEL AGREEMENT EXOCORTEX SOVEREIGN

Version : 1.0 Date d'entrée en vigueur : 2026-04-28 Document : SLA-SOVEREIGN-EXIOR-V1

Préambule

Le présent SLA est partie intégrante du contrat Exocortex Sovereign (docs/legal/contrat_sovereign.md). Il définit les engagements de niveau de service souverains/bancaires, supérieurs à Augment, adaptés aux banques tier-1, assureurs majeurs, fonds, État, ministères, OIV, défense et énergéticiens régulés.

En cas de contradiction, le Bon de Commande Sovereign et le DPA RGPD prévalent dans leurs domaines respectifs ; le présent SLA prévaut pour le niveau de service.

Article 1 — Périmètre couvert

  • disponibilité du dashboard et de l'API en mode on-premise / cloud souverain / air-gap ;
  • fraîcheur des connecteurs ;
  • disponibilité du jumeau numérique organisationnel ;
  • conformité multi-cadres : SecNumCloud référentiel ANSSI 3.2, HDS, DORA règlement 2022/2554, NIS2, ITAR si applicable ;
  • intégrité de l'audit log signé GPG bancaire ;
  • support 24/7 dédié.

Article 2 — Définitions

Identique aux SLA Operate et Augment, avec les ajustements suivants :

  • P1 critique Sovereign : indisponibilité totale, compromission sécurité, ou défaillance affectant la conformité réglementaire (ACPR, AMF, ANSSI, CNIL, autorité tutelle).
  • Account manager humain dédié : point de contact unique humain nommé, accessible 24/7 directement.

Article 3 — Engagements de disponibilité

| Indicateur | Engagement | |---|---| | Disponibilité dashboard | ≥ 99,99 % par mois | | Disponibilité API REST/MCP | ≥ 99,99 % par mois | | Disponibilité jumeau numérique | ≥ 99,95 % par mois | | Fraîcheur connecteurs read-only | ≤ 1h | | Fraîcheur connecteurs read-write | ≤ 5 min | | Refresh forecast 12-24 mois | continu (au moins 4 fois par jour) | | Audit log GPG : intégrité | continue, vérifiée toutes les 5 min |

99,99 % par mois = ~ 4 minutes d'indisponibilité non planifiée maximum.

Pour les déploiements air-gap : SLA disponibilité dimensionné selon contraintes du Bon de Commande, généralement 99,95 % avec dérogations spécifiques aux fenêtres de classification.

Article 4 — Engagements de support 24/7 dédié

| Niveau | Délai de prise en compte | Délai de résolution cible | |---|---|---| | P1 — Critique | < 15 minutes (24/7/365 dédié) | < 2h | | P2 — Majeur | < 1h (24/7/365 dédié) | < 6h | | P3 — Standard | < 4h | < 1 jour ouvré | | P4 — Bénin | < 1 jour ouvré | best effort |

Canaux : ligne directe account manager (canal chiffré dédié), dashboard, e-mail prioritaire support-sovereign@exior.fr.

Escalation directe au CEO Exior si requis pour P1 non résolu sous 1h.

Article 5 — RTO et RPO

| Indicateur | Engagement | |---|---| | RTO | < 30 minutes | | RPO | < 5 minutes | | Backup continu (CDP — Continuous Data Protection) | rétention 7 jours | | Backup horaire | rétention 30 jours | | Backup quotidien | rétention 12 mois | | Backup hebdomadaire | rétention 7 ans (DORA) | | Backup mensuel | rétention 10 ans (banque) ou 15 ans (DORA) | | Test restauration | mensuel avec rapport au Client | | Test continuité (DRP) | trimestriel |

Article 6 — Notification incident sécurité

| Type | Délai de notification | |---|---| | Violation de données RGPD | < 1h | | Incident sécurité critique | < 30 min | | Incident sécurité majeur sans violation | < 4h | | Incident sécurité affectant conformité SecNumCloud / HDS / DORA / ITAR | < 1h avec impact analysis | | Tentative d'accès non autorisée détectée | < 30 min | | Compromission suspectée | < 30 min |

Réplication quasi-temps-réel des logs sur le SIEM Client (cf. charte audit log GPG).

Article 7 — Engagements spécifiques Sovereign

7.1 Account manager humain dédié

Point de contact unique humain (nommé au Bon de Commande), accessible 24/7 par canal chiffré dédié. Suppléant désigné en cas d'indisponibilité. Escalation directe au CEO Exior si requis.

7.2 Audit annuel par tier extérieur

Inclus dans le forfait annuel. Cabinet sécurité au choix Client (Wavestone, Almond, Synacktiv, Quarkslab ou équivalent), raisonnablement accepté par Exior. Rapport remis au Client et à Exior. Engagement de correction des non-conformités majeures sous 30 jours, mineures sous 90 jours.

7.3 Audit log signé GPG bancaire

L'audit log Sovereign (docs/legal/charte_audit_log.md) :

  • horodaté RFC 3161 par autorité de certification reconnue ;
  • signé par double clé Exior + Client si applicable ;
  • répliqué quasi-temps-réel sur SIEM Client ;
  • archivé 10 ans (banque) à 15 ans (DORA) ;
  • exportable à toute autorité régulatrice ;
  • intégrité vérifiée en continu, toute violation notifiée < 30 min.

7.4 Conformité multi-cadres bank-grade

Engagement de maintenir en continu :

  • ISO/IEC 27001:2022 ;
  • ISO/IEC 27701:2019 ;
  • SecNumCloud référentiel ANSSI 3.2 (pour les Clients exigeant la qualification) ;
  • HDS (pour les Clients santé) ;
  • DORA règlement 2022/2554 (pour les institutions financières) ;
  • NIS2 directive 2022/2555 ;
  • ITAR (si applicable défense) ;
  • toute autre certification spécifique négociée au Bon de Commande.

Tests de résilience opérationnelle DORA : trimestriels.

7.5 Roadmap co-construite

Comité technique mixte trimestriel pour partager la roadmap Exior, recueillir les besoins Sovereign, et arbitrer les évolutions à co-financer.

Article 8 — Mesure et reporting

8.1 Mesure

Sondes externes indépendantes toutes les 15 secondes depuis 5 régions UE + sondes internes Client si applicable.

8.2 Reporting

  • rapport hebdomadaire automatique (dashboard, signé GPG) ;
  • rapport mensuel approfondi ;
  • rapport trimestriel humain (account manager) ;
  • rapport annuel d'audit tier extérieur.

Article 9 — Pénalités contractuelles

| Disponibilité mensuelle constatée | Crédit | |---|---| | ≥ 99,99 % | 0 % | | 99,95 % à 99,99 % | 15 % | | 99,9 % à 99,95 % | 30 % | | 99,5 % à 99,9 % | 50 % | | 99,0 % à 99,5 % | 75 % | | < 99,0 % | 100 % |

Plafond mensuel : 200 % de la facturation mensuelle. Plafond annuel : 100 % du forfait annuel.

Pour manquements aux délais de support : crédit forfaitaire de 5 000 € HT par incident P1 dépassant le délai, 2 500 € HT par incident P2.

9.1 Faute caractérisée et sanction réglementaire

En cas de faute caractérisée d'Exior causant une sanction réglementaire au Client (ACPR, AMF, ANSSI, CNIL, autorité de tutelle), la limitation de responsabilité du contrat Sovereign s'applique (jusqu'à 200 % du tarif annuel — voir article 13 du contrat Sovereign), sans préjudice de l'engagement de coopération maximale.

9.2 Procédure de réclamation

E-mail à support-sovereign@exior.fr et notification simultanée à l'account manager humain dédié, sous 60 jours. Réponse sous 5 jours ouvrés. Crédit appliqué sur la facturation suivante ou remboursé.

Article 10 — Maintenance planifiée

Fenêtre négociée au cas par cas avec le Client, généralement 22h00-06h00 (heure Paris ou heure locale Client si pays additionnel). Préavis 7 jours (vs 72h Augment).

Maintenance d'urgence : préavis < 1h pour incident sécurité critique, documentation post-incident sous 48h.

Article 11 — Évolution du SLA

Notification 180 jours avant entrée en vigueur. Aucune dégradation en cours d'engagement sans accord écrit du Client. Pour les Clients en licence perpétuelle, le SLA est révisable annuellement par avenant négocié.

Fait à Paris, version 1.0 — 2026-04-28

EXIOR SAS — RCS Paris [NUMERO_RCS_A_COMPLETER]