Conditions Générales de Vente

SOMMAIRE

— DISPOSITIONS COMMUNES —

Champ d'application et objet
Définitions
Modalités de contractualisation
Tarifs, facturation et paiement
Obligations d'ONYX CYBER
Obligations du Client
Confidentialité et données
Propriété intellectuelle
Limitation de responsabilité
Force majeure
Résiliation
Droit applicable
Dispositions diverses

— ANNEXES —

Annexe A — MDR / SOC Managé
Annexe B — Pentest & Audit
Annexe C — Incident Response
Annexe D — Formations

1. Champ d'application et objet

Les présentes Conditions Générales de Vente (CGV) s'appliquent à l'ensemble des prestations de services réalisées par ONYX CYBER au profit de tout client professionnel, notamment :

Services MDR (Managed Detection & Response) et SOC managé
Tests d'intrusion (pentest) et audits de sécurité
Réponse aux incidents cyber et investigation forensique (DFIR)
Automatisation SOAR et déploiement de solutions de sécurité
Conformité GRC, ISO 27001, NIS2 et RGPD
Formations en cybersécurité
Cloud Security et tout autre service de cybersécurité

Toute commande implique l'acceptation sans réserve des présentes CGV. Des conditions particulières peuvent être définies dans un devis ou contrat spécifique, qui prévalent sur les présentes CGV en cas de contradiction.

2. Définitions

Terme	Définition
ONYX CYBER	Prestataire de services cybersécurité, émetteur des présentes CGV
Client	Toute personne morale ou physique professionnelle contractant avec ONYX CYBER
Prestation	Tout service fourni par ONYX CYBER dans le cadre d'un devis ou contrat accepté
Devis	Document commercial accepté par le Client, constituant la commande ferme
MDR	Managed Detection & Response — service managé de détection et réponse
DFIR	Digital Forensics & Incident Response — forensique et réponse aux incidents
SOAR	Security Orchestration, Automation and Response — automatisation sécurité
SLA	Service Level Agreement — accord de niveau de service garanti
IOC	Indicateur de Compromission — élément technique identifiant une menace

3. Modalités de contractualisation

3.1 Formation du contrat

Toute prestation est précédée d'un devis détaillé établi par ONYX CYBER. Le contrat est formé à réception du devis signé par le Client, accompagné, le cas échéant, du paiement de l'acompte stipulé.

3.2 Durée

Les prestations ponctuelles (pentest, audit, forensique, formation) sont réalisées dans les délais convenus au devis. Les prestations récurrentes (MDR, SOC managé) sont souscrites pour une durée minimale de 12 mois, renouvelable par tacite reconduction.

3.3 Modifications

Toute modification du périmètre en cours de mission fait l'objet d'un avenant signé par les deux parties.

4. Tarifs, facturation et paiement

4.1 Tarifs

Les tarifs sont exprimés en euros HT. La TVA applicable est celle en vigueur au jour de la facturation. ONYX CYBER se réserve le droit de réviser ses tarifs annuellement avec notification préalable de 30 jours.

4.2 Facturation

Prestations ponctuelles : 40 % à la commande, solde à la livraison
Prestations récurrentes (MDR/SOC) : facturation mensuelle à terme échu
Formations : 100 % à la commande pour les sessions intra-entreprise
Incident Response urgente : facturation intégrale à l'issue de l'intervention

4.3 Paiement

Les factures sont payables à 30 jours date de facture par virement bancaire. Tout retard de paiement entraîne de plein droit :

Des pénalités de retard au taux légal majoré de 5 points
Une indemnité forfaitaire de recouvrement de 40 euros
La suspension des prestations après mise en demeure restée sans effet 8 jours

5. Obligations d'ONYX CYBER

ONYX CYBER s'engage à :

Réaliser les prestations avec les moyens et le soin nécessaires, conformément aux règles de l'art
Affecter à chaque mission des professionnels qualifiés et expérimentés
Respecter les délais convenus, sauf cas de force majeure ou défaillance du Client
Maintenir la confidentialité des informations du Client
Informer le Client de tout événement susceptible d'affecter la bonne exécution de la mission
Fournir les livrables définis au devis
Souscrire et maintenir une assurance Responsabilité Civile Professionnelle (RC Pro Cyber)

ONYX CYBER est soumis à une obligation de moyens et non de résultat. La cybersécurité ne peut garantir l'absence totale de compromission.

6. Obligations du Client

Le Client s'engage à :

Fournir les informations, accès et ressources nécessaires dans les délais convenus
Désigner un interlocuteur technique référent disponible
Obtenir toutes les autorisations nécessaires avant toute intervention — notamment pour les tests d'intrusion
Ne pas modifier l'environnement technique sans en informer préalablement ONYX CYBER
Appliquer les recommandations critiques dans des délais raisonnables
S'acquitter des paiements aux échéances convenues

⚠️ Pour les tests d'intrusion, le Client garantit disposer de l'autorisation expresse des propriétaires des systèmes ciblés. ONYX CYBER décline toute responsabilité en cas d'absence d'autorisation.

7. Confidentialité et protection des données

7.1 Confidentialité

Chaque partie s'engage à maintenir strictement confidentielle toute information de l'autre partie dont elle aurait connaissance dans le cadre de la prestation. Cette obligation s'étend pendant toute la durée de la prestation et 5 ans après son terme.

7.2 Protection des données personnelles

ONYX CYBER traite les données personnelles conformément au RGPD. Les données sont hébergées exclusivement en France et ne sont jamais transmises à des tiers sans accord. Pour plus d'informations : Politique de confidentialité.

7.3 Données de sécurité

Les logs, alertes et données de sécurité collectés dans le cadre des services MDR restent la propriété exclusive du Client.

8. Propriété intellectuelle

Les outils, scripts, playbooks, méthodologies et savoir-faire développés par ONYX CYBER restent sa propriété exclusive. Le Client bénéficie d'une licence d'utilisation non exclusive pour les éléments livrés. Les rapports et livrables spécifiquement créés pour le Client lui sont cédés à complet paiement.

9. Limitation de responsabilité

La responsabilité d'ONYX CYBER est limitée aux dommages directs causés par sa faute prouvée. En aucun cas ONYX CYBER ne pourra être tenu responsable des dommages indirects, pertes d'exploitation, ou incidents survenant sur des systèmes non couverts par la prestation.

Le montant total de la responsabilité d'ONYX CYBER est limité au montant HT des sommes facturées au Client au cours des 12 derniers mois.

ONYX CYBER souscrit une assurance RC Pro Cyber. Une attestation peut être fournie sur demande.

10. Force majeure

Aucune partie ne pourra être tenue responsable de l'inexécution de ses obligations résultant d'un événement de force majeure au sens de l'article 1218 du Code civil. Si l'événement persiste au-delà de 30 jours, chaque partie peut résilier le contrat sans indemnité.

11. Résiliation

11.1 Résiliation pour manquement

En cas de manquement grave, la partie non défaillante peut résilier après mise en demeure par lettre recommandée restée sans effet pendant 15 jours.

11.2 Résiliation à l'initiative du Client

Pour les prestations récurrentes (MDR/SOC), le Client peut résilier avec un préavis de 3 mois par lettre recommandée.

11.3 Résiliation à l'initiative d'ONYX CYBER

ONYX CYBER peut résilier immédiatement en cas de non-paiement persistant, d'utilisation frauduleuse ou de fourniture d'informations manifestement fausses.

12. Droit applicable et litiges

Les présentes CGV sont soumises au droit français. En cas de litige, les parties s'engagent à rechercher une solution amiable dans un délai de 30 jours. À défaut, le litige sera soumis aux tribunaux compétents de Paris.

13. Dispositions diverses

13.1 Intégralité

Les présentes CGV et le devis accepté constituent l'intégralité de l'accord entre les parties.

13.2 Nullité partielle

Si l'une des clauses est déclarée nulle, les autres clauses demeureront en vigueur.

13.3 Cession

Le contrat ne peut être cédé par le Client sans l'accord préalable et écrit d'ONYX CYBER.

13.4 Sous-traitance

ONYX CYBER réalise l'intégralité de ses prestations en interne, avec ses propres équipes. Aucun recours à la sous-traitance n'est pratiqué. Le Client est ainsi garanti que ses données, systèmes et informations confidentielles ne sont accessibles qu'aux seuls experts d'ONYX CYBER.

ANNEXES — CONDITIONS SPÉCIFIQUES PAR PRESTATION

ANNEXE A

Annexe A — MDR / SOC Managé

La présente annexe complète les CGV pour les prestations MDR. Le SLA détaillé est défini dans le document « Contrat de Niveau de Service ONYX MDR ».

Niveaux de service (SLA)

Niveau d'incident	Essentiel 24h/5j	Premium 24h/7j/365
Critique (Level 12+)	< 4 heures	< 1 heure
Élevé (Level 7-11)	< 8 heures	< 4 heures
Moyen (Level 4-6)	< 24 heures	< 12 heures
Rapport d'incident	< 48 heures	< 12 heures
Disponibilité SOC	99 %	99,5 %

Tarifs MDR

Périmètre	Essentiel HT/mois	Premium HT/mois
Jusqu'à 10 endpoints	790 €	1 290 €
Jusqu'à 25 endpoints	1 290 €	1 990 €
Jusqu'à 50 endpoints	1 990 €	2 990 €
50+ endpoints	Sur devis	Sur devis

Urgence critique 24h/7j : 07 71 45 41 63 — contact@onyx-cyber.com
Engagement minimum : 12 mois. Résiliation : préavis de 3 mois.

ANNEXE B

Annexe B — Pentest & Audit Offensif

⚠️ CONDITION ESSENTIELLE : Le Client doit fournir avant toute intervention une autorisation écrite explicite couvrant l'ensemble des systèmes et périmètres ciblés. Sans ce document, aucun test ne sera réalisé.

Le Client garantit être propriétaire ou dûment autorisé à faire tester les systèmes ciblés. ONYX CYBER décline toute responsabilité pénale ou civile en cas de défaut d'autorisation.

Livrables inclus

Rapport exécutif (synthèse direction — risques business, impact, priorités)
Rapport technique détaillé (vulnérabilités, preuves, score CVSS v3.1, remédiations)
Plan de remédiation priorisé
Session de restitution orale
Retest gratuit des vulnérabilités critiques et élevées après remédiation

Tarifs indicatifs

Type de pentest	Tarif indicatif HT
Web Application (OWASP Top 10)	À partir de 1 500 €
Réseau interne / Active Directory	À partir de 2 000 €
Externe (surface exposée)	À partir de 1 200 €
Cloud (AWS / Azure)	À partir de 1 800 €
Red Team complète	Sur devis

ANNEXE C

Annexe C — Incident Response (DFIR)

🚨 Urgence cyber 24h/7j : 07 71 45 41 63 — Première réponse garantie en moins de 4 heures sur incidents critiques.

L'intervention suit le framework NIST 800-61 en 5 phases : Identification → Confinement → Investigation → Éradication → Retour à la normale.

Livrables

Rapport d'investigation forensique complet (chronologie, IOC, chaîne d'attaque)
Liste des indicateurs de compromission (IOC)
Rapport post-incident avec recommandations
Attestation d'intervention pour les assureurs cyber

Tarification

Prestation	Tarif HT
Intervention sur site ou à distance	150 €/heure
Rapport forensique complet	Inclus dans l'intervention
Astreinte retainer (disponibilité garantie)	Sur devis mensuel

ANNEXE D

Annexe D — Formations Cybersécurité

Formation	Public	Durée indicative
SOC Analyst — Détection & Réponse aux incidents	Analystes N1-N3	2 à 3 jours
Pentest & Ethical Hacking	Équipes sécurité	3 à 5 jours
SOAR & Automatisation SOC	Ingénieurs sécurité	1 à 2 jours
Forensique & Threat Hunting	Analystes avancés	2 à 3 jours
GRC, ISO 27001 & NIS2	RSSI, direction	1 à 2 jours
Sensibilisation cyber (collaborateurs)	Tous niveaux	1/2 journée

Tarification

Format	Tarif HT indicatif
Session intra-entreprise (demi-journée)	300 €
Session intra-entreprise (journée complète)	550 €
Formation multi-jours sur mesure	Sur devis

Conditions spécifiques

Annulation moins de 5 jours ouvrés avant la session : facturation de 50 %
Annulation moins de 48h : facturation intégrale
Attestation de formation remise à chaque participant