Sommaire
En résumé : Peu d’entreprises aux Antilles sont directement soumises à NIS 2.
En revanche, si vous fournissez des services à une entité concernée (collectivité, hôpital, opérateur d’énergie), vous pourriez devoir prouver votre niveau de sécurité.
Les tests d’intrusion et audits de vulnérabilités sont un moyen concret de répondre à cette exigence.
NIS 2 en bref
La directive européenne NIS 2 renforce les obligations de cybersécurité pour les organisations qui opèrent dans des secteurs critiques : énergie, eau, santé, transports, numérique, administrations publiques.
Les entités directement concernées doivent mettre en place des mesures de sécurité obligatoires, dont des tests de sécurité réguliers (article 21). L’ANSSI centralise toutes les informations sur sa page dédiée à la directive NIS 2. En cas de manquement, les sanctions peuvent atteindre 10 millions d’euros ou 2% du CA mondial.
Qui est directement concerné aux Antilles ?
En Guadeloupe, Martinique et Guyane, les entités directement soumises à NIS 2 sont peu nombreuses :
- Énergie : producteurs et distributeurs d’électricité
- Eau : régies et syndicats d’eau potable et d’assainissement
- Santé : centres hospitaliers, cliniques, laboratoires d’analyses
- Transports : ports, compagnies de transport maritime, aéroports
- Administrations : collectivités de plus de 30 000 habitants
- Déchets et environnement : syndicats de traitement des déchets
- Numérique : hébergeurs, prestataires cloud, opérateurs télécoms
L’impact indirect : la chaîne d’approvisionnement
C’est là où de nombreuses entreprises antillaises peuvent être impactées.
NIS 2 impose aux entités soumises d’évaluer la sécurité de leurs fournisseurs et sous-traitants (article 21, paragraphe 2d). Concrètement, si vous fournissez des services à une collectivité, un hôpital ou un opérateur d’énergie, votre client pourrait vous demander :
- Un rapport d’audit de sécurité récent
- Des preuves de tests d’intrusion réalisés sur vos systèmes
- Des clauses contractuelles imposant un niveau de sécurité minimum (audits réguliers, correction des failles dans un délai défini)
Exemples concrets
- Vous êtes prestataire informatique d’une collectivité ou d’un hôpital ? Un audit de vos systèmes pourrait être exigé avant de renouveler votre contrat.
- Vous fournissez un logiciel ou un service en ligne à une entité concernée ? Un test d’intrusion pourrait devenir une condition de collaboration.
- Vous intervenez dans les locaux d’une entité concernée (maintenance, logistique) et avez accès à son réseau ou à ses systèmes ? Des exigences de sécurité pourraient être ajoutées à votre contrat.
- Vous fournissez des équipements connectés ou des services techniques à un opérateur d’énergie ou de transport ? Des preuves de sécurité pourraient être demandées.
Comment se préparer
Même si vous n’êtes pas directement soumis à NIS 2, anticiper ces demandes vous permettra de répondre sereinement quand un client vous les imposera.
4 étapes concrètes
- Identifiez vos clients concernés : listez vos clients qui opèrent dans les secteurs critiques (collectivités, santé, énergie, transports)
- Faites un premier bilan : un audit de vulnérabilités identifie les failles de vos systèmes
- Testez vos applications : si vous fournissez un logiciel ou un service en ligne, un test d’intrusion valide sa résistance
- Gardez les preuves : conservez vos rapports d’audit et plans d’action pour les présenter à vos clients
Le Chèque TIC de la Région Guadeloupe peut financer une partie de ces démarches.
Vos clients sont soumis à NIS 2 et pourraient vous demander des preuves de sécurité ? Consultez notre page dédiée à la conformité NIS 2 et RGPD ou contactez-nous pour un premier échange.
