La conformité NIS2 à un prix. Mais l’amende pour non-conformité peut atteindre 10 millions d’euros ou 2 % de votre chiffre d’affaires mondial. Le coût reel d’un incident cyber non prepare est en moyenne 5 à 10 fois superieur à celui de la mise en conformité. Cet article pose les vrais chiffres sur la table - poste par poste, taille par taille, avec les aides pour reduire la facture.
Si vous avez lu notre guide complet NIS2 pour les PME, vous connaissez les 10 obligations, le calendrier et la méthode de mise en conformité. Si vous avez consulte notre article sur les mesures essentielles de cybersecurite, vous savez quelles actions mettre en place en priorite. Il reste la question que tout dirigeant se pose en premier : combien ça coûte, concretement ?
Cet article répond à cette question avec transparence. Pas de fourchettes vagues, pas de “ça depend”. Des chiffres reels, issus des retours de terrain des entreprises déjà engagees dans la demarche, et des aides concretes pour financer votre mise en conformité.
A la fin de votre lecture, vous saurez :
- Les 3 grands postes de depense de la conformité NIS2 et leur poids relatif
- Le coût d’un audit initial selon le type de prestataire choisi
- Le budget détaille pour chacune des 10 mesures NIS2
- Le coût de maintien annuel après la première mise en conformité
- Les fourchettes de budget par taille d’entreprise (50, 150 et 250 salariés)
- Les aides financières disponibles pour reduire la facture de 30 a 80 %
- Le retour sur investissement reel de la conformité
Les 3 postes de depense de la conformité NIS2
La mise en conformité NIS2 se decompose en trois phases distinctes, chacune avec son propre budget. Comprendre cette structure vous permet de planifier vos depenses sur 12 a 24 mois plutot que de tout financer d’un coup.
Poste 1 : l’audit initial (15 a 20 % du budget total)
L’audit est le point de depart. Il mesure l’écart entre votre situation actuelle et les exigences NIS2 sur chacune des 10 mesures de l’article 21. Sans cet état des lieux, toute estimation budgetaire est une conjecture.
Poste 2 : la mise en conformité (60 a 70 % du budget total)
C’est le poste le plus lourd. Il comprend les investissements techniques (infrastructures, outils de detection, chiffrement), les investissements organisationnels (procedures, documentation, formation) et l’accompagnement par des experts externes si nécessaire.
Poste 3 : le maintien annuel (10 a 20 % du budget initial, chaque annee)
La conformité NIS2 n’est pas un projet ponctuel. C’est un engagement continu. Le maintien comprend la surveillance, les mises a jour, les audits periodiques, la formation continue et la veille reglementaire.
Cout de l’audit initial : PASSI vs non-PASSI
L’audit initial est votre première depense. Son coût depend principalement du type de prestataire choisi.
Qu’est-ce qu’un prestataire PASSI ?
Un Prestataire d’Audit de la Securite des Systemes d’Information (PASSI) est qualifie par l’ANSSI. Cette qualification garantit un niveau de competence et de methodologie conforme aux standards nationaux. Pour les entites essentielles, le recours à un prestataire PASSI pourrait devenir obligatoire selon les modalites de la transposition française.
Fourchettes de prix
| Type d’audit | Prestataire non-PASSI | Prestataire PASSI |
|---|---|---|
| Audit de maturité cyber (état des lieux) | 5 000 - 10 000 EUR | 8 000 - 15 000 EUR |
| Audit de conformité NIS2 complet | 8 000 - 15 000 EUR | 12 000 - 25 000 EUR |
| Test d’intrusion (pentest) | 4 000 - 8 000 EUR | 6 000 - 12 000 EUR |
| Analyse des risques (méthode EBIOS RM) | 5 000 - 12 000 EUR | 8 000 - 18 000 EUR |
Comment choisir ?
Si votre PME est classée entite essentielle (secteurs hautement critiques, 50+ salariés), privilegiez un prestataire PASSI. Le surcout de 30 à 50 % est justifie par la reconnaissance officielle de l’audit en cas de contrôle ANSSI.
Si votre PME est classée entite importante, un prestataire non-PASSI competent suffit dans la plupart des cas. Verifiez ses references, ses certifications (ISO 27001 Lead Auditor, CISSP, CISM) et son experience aupres de PME de votre secteur.
Dans les deux cas, demandez un devis détaille avec le perimetre exact de l’audit, les livrables attendus et le nombre de jours d’intervention.
Cout de mise en conformité : les 10 mesures NIS2 chiffrees
Voici le detail du budget pour chacune des 10 mesures de l’article 21 de la directive. Les fourchettes correspondent à une PME de 50 a 250 salariés, avec un niveau de maturité cyber moyen.
| # | Mesure NIS2 | Fourchette basse | Fourchette haute | Commentaire |
|---|---|---|---|---|
| 1 | Politique d’analyse des risques | 3 000 EUR | 15 000 EUR | Methode EBIOS RM recommandee par l’ANSSI. Cout plus élevé si première formalisation |
| 2 | Gestion des incidents | 5 000 EUR | 20 000 EUR | Procedures, outils de detection, astreinte. Le plus critique à mettre en place |
| 3 | Continuite d’activite (PCA/PRA) | 3 000 EUR | 15 000 EUR | Documentation + tests de restauration. Reduit si sauvegardes déjà en place |
| 4 | Securite chaine d’approvisionnement | 2 000 EUR | 8 000 EUR | Questionnaires fournisseurs, clauses contractuelles, suivi. Principalement du temps |
| 5 | Securite des reseaux et SI | 8 000 EUR | 40 000 EUR | Pare-feu, segmentation, EDR, mises a jour. Le poste le plus variable selon l’existant |
| 6 | Évaluation de l’efficacité | 3 000 EUR | 12 000 EUR | Audits periodiques, scans de vulnerabilites, tableaux de bord. Recurrent |
| 7 | Cyber-hygiene et formation | 2 000 EUR | 10 000 EUR | Sessions de sensibilisation, simulations de phishing, charte informatique |
| 8 | Cryptographie et chiffrement | 2 000 EUR | 12 000 EUR | Chiffrement des postes, VPN, certificats. Faible si déjà en place |
| 9 | Controle d’acces et RH | 2 000 EUR | 8 000 EUR | Gestion des identites, revue des droits, procedures depart/arrivee |
| 10 | Authentification multi-facteurs | 1 000 EUR | 5 000 EUR | Cout faible si outils cloud. Plus élevé pour des infrastructures on-premise |
| Total mise en conformité | 31 000 EUR | 145 000 EUR | Hors audit initial et maintien annuel |
Precision importante : la fourchette basse suppose une PME qui à déjà des bases de sécurité en place (antivirus, sauvegardes, pare-feu basique). La fourchette haute correspond à une PME qui part de presque zero avec une infrastructure complexe.
Les mesures 2 (gestion des incidents) et 5 (sécurité des reseaux) sont systematiquement les plus couteuses. Elles representent a elles seules 35 à 45 % du budget total de mise en conformité.
Cout de maintien annuel
La mise en conformité initiale est un investissement ponctuel. Le maintien est un coût recurrent. Prevoyez entre 10 et 20 % du budget initial chaque annee.
| Poste de maintien | Cout annuel estime | Frequence |
|---|---|---|
| Audit de sécurité périodique | 3 000 - 10 000 EUR | Annuel |
| Surveillance et monitoring | 2 000 - 8 000 EUR | Continu (abonnement) |
| Formation et sensibilisation | 1 500 - 5 000 EUR | Annuel + trimestriel (phishing) |
| Mises a jour et correctifs | 1 000 - 4 000 EUR | Continu |
| Tests de sauvegarde et PCA | 1 000 - 3 000 EUR | Semestriel |
| Veille reglementaire et documentation | 500 - 2 000 EUR | Continu |
| Total maintien annuel | 9 000 - 32 000 EUR |
Ce budget de maintien est souvent sous-estime. Pourtant, c’est lui qui garantit que votre conformité reste valable dans le temps. NIS2 n’est pas un examen que l’on passe une fois - c’est un standard permanent.
Tableau recapitulatif par taille d’entreprise
Voici les fourchettes globales de budget, audit initial et maintien annuel inclus, selon la taille de votre PME.
| Poste | PME 50-100 salariés | PME 100-250 salariés | PME 250+ salariés |
|---|---|---|---|
| Audit initial | 5 000 - 12 000 EUR | 10 000 - 20 000 EUR | 15 000 - 25 000 EUR |
| Mise en conformité | 15 000 - 55 000 EUR | 35 000 - 100 000 EUR | 60 000 - 145 000 EUR |
| Formation et sensibilisation | 2 000 - 5 000 EUR | 4 000 - 10 000 EUR | 6 000 - 15 000 EUR |
| Documentation et procedures | 3 000 - 8 000 EUR | 5 000 - 15 000 EUR | 8 000 - 20 000 EUR |
| Total première annee | 25 000 - 80 000 EUR | 54 000 - 145 000 EUR | 89 000 - 205 000 EUR |
| Maintien annuel | 5 000 - 15 000 EUR | 10 000 - 25 000 EUR | 18 000 - 40 000 EUR |
Ces chiffres sont des fourchettes moyennes basees sur les retours de terrain. Le budget reel depend de votre niveau de maturité initial, de la complexite de votre infrastructure et du secteur d’activite.
3 scenarios budgetaires détaillés
Pour rendre ces chiffres concrets, voici trois scenarios types qui correspondent à la majorite des PME concernees par NIS2.
Scenario 1 : PME de 50 salariés, maturité cyber debutante
Profil : entreprise de services numeriques, 50 salariés, 8 M EUR de CA. Pas de politique de sécurité formalisee. Antivirus basique, sauvegardes partielles, pas de MFA. Un informaticien polyvalent à temps partiel.
| Phase | Actions | Budget |
|---|---|---|
| Audit (mois 1-2) | Audit de maturité cyber + analyse des risques | 8 000 EUR |
| Quick wins (mois 3-4) | MFA, mises a jour, sauvegardes 3-2-1, charte IT | 5 000 EUR |
| Fondations (mois 5-8) | Pare-feu nouvelle génération, segmentation reseau, EDR | 18 000 EUR |
| Organisation (mois 9-12) | Procedures incidents, PCA, formation équipes, documentation | 10 000 EUR |
| Fournisseurs (mois 10-12) | Questionnaires, clauses contractuelles | 2 000 EUR |
| Total première annee | 43 000 EUR | |
| Maintien annuel | Monitoring, audit annuel, formation, veille | 8 000 EUR/an |
Avec les aides : en mobilisant le programme France Num (diagnostic subventionne) et des aides regionales (30 à 50 % sur la mise en conformité technique), le reste à charge peut descendre a 22 000 - 30 000 EUR.
Scenario 2 : PME de 150 salariés, maturité cyber intermediaire
Profil : entreprise industrielle, 150 salariés, 25 M EUR de CA. Politique de sécurité existante mais informelle. Pare-feu en place, sauvegardes régulières, MFA sur la messagerie uniquement. Un responsable IT à temps plein.
| Phase | Actions | Budget |
|---|---|---|
| Audit (mois 1-2) | Audit NIS2 complet (prestataire PASSI) + pentest | 18 000 EUR |
| Quick wins (mois 3-4) | MFA generalise, correctifs, revue des acces | 6 000 EUR |
| Infrastructure (mois 5-9) | Segmentation reseau avancee, SIEM, EDR, chiffrement | 35 000 EUR |
| Organisation (mois 8-12) | Procedures incidents (24h/72h/30j), PCA, cellule de crise | 15 000 EUR |
| Fournisseurs (mois 10-14) | Audit chaine approvisionnement, clauses NIS2 | 5 000 EUR |
| Formation (mois 6-12) | 3 sessions de sensibilisation + simulations phishing | 7 000 EUR |
| Documentation (mois 12-14) | Formalisation complète pour audit de conformité | 8 000 EUR |
| Total (14 mois) | 94 000 EUR | |
| Maintien annuel | Monitoring, audits, formations, veille, tests PCA | 18 000 EUR/an |
Avec les aides : en combinant le credit d’impot innovation (20 % sur les depenses eligibles), une subvention BPI France et des aides regionales, le reste à charge peut descendre a 50 000 - 65 000 EUR.
Scenario 3 : PME de 250 salariés, maturité cyber avancee
Profil : entreprise agroalimentaire, 250 salariés, 45 M EUR de CA. Certifiee ISO 9001, demarche ISO 27001 en cours. Équipe IT de 5 personnes, RSSI à temps partiel. Infrastructure correctement securisee mais documentation incomplete.
| Phase | Actions | Budget |
|---|---|---|
| Audit (mois 1-2) | Audit de conformité NIS2 + gap analysis ISO 27001/NIS2 | 15 000 EUR |
| Complements techniques (mois 3-6) | SOC externe ou SIEM, durcissement serveurs, chiffrement complet | 30 000 EUR |
| Gouvernance (mois 4-8) | Implication formelle direction, comite cyber trimestriel | 5 000 EUR |
| Incidents (mois 5-8) | Procedure de notification ANSSI (24h/72h/30j), tests de crise | 12 000 EUR |
| Chaine fournisseurs (mois 6-10) | Programme d’évaluation fournisseurs, suivi continu | 8 000 EUR |
| Documentation (mois 8-12) | Formalisation complète, alignement ISO 27001 | 10 000 EUR |
| Formation (mois 3-12) | Programme annuel complet, certification RSSI | 10 000 EUR |
| Total (12 mois) | 90 000 EUR | |
| Maintien annuel | SOC, audits, certifications, veille, exercices de crise | 25 000 EUR/an |
Avec les aides : la demarche ISO 27001 en cours réduit significativement l’effort NIS2 (environ 70 % des exigences sont déjà couvertes). Le CIR (30 % sur les depenses R&D liees à la sécurité) et les aides BPI France peuvent ramener le reste à charge a 55 000 - 70 000 EUR.
Les aides financières pour reduire la facture
Plusieurs dispositifs publics permettent de financer une partie substantielle de votre mise en conformité. La plupart des dirigeants n’en connaissent qu’un ou deux. En voici sept.
Panorama des aides disponibles
| Aide | Montant / Taux | Eligibilite | Comment en bénéficier |
|---|---|---|---|
| France Num - Diagnostic cyber | Gratuit à 3 000 EUR | TPE/PME | Activateurs France Num, CCI locales |
| Programme IA Booster BPI | 13 000 EUR HT, pris en charge à 50 % | PME 10-2 000 salariés, CA > 1 M EUR | Candidature sur bpifrance.fr |
| Subvention BPI France Innovation | Jusqu’à 50 % du coût (plafond variable) | PME innovantes, tous secteurs | Dossier aupres de BPI France regional |
| Aides regionales (FEDER, cheques numeriques) | 30 a 80 % du coût, plafonds 3 000 à 32 000 EUR | PME du territoire | Site de la region ou France Num |
| Credit d’impot recherche (CIR) | 30 % des depenses R&D eligibles | Toutes entreprises | Declaration fiscale annuelle |
| Credit d’impot innovation (CII) | 20 % (metropole), plafond 400 000 EUR | PME uniquement | Declaration fiscale annuelle |
| Cheque audit cyber (ANSSI) | Jusqu’à 5 000 EUR | PME < 250 salariés | Programme en cours de déploiement |
Points d’attention sur les aides
Le CIR et le CII sont cumulables avec les subventions, à condition de ne pas financer les mêmes depenses deux fois. Si une depense est déjà couverte à 50 % par une subvention BPI, le CIR où le CII ne s’applique que sur les 50 % restants.
Les aides regionales varient fortement d’une region à l’autre. Certaines proposent des “cheques cybersecurite” spécifiques. Consultez le site de votre region et celui de France Num pour identifier les dispositifs actifs sur votre territoire.
Le programme IA Booster de BPI France n’est pas spécifiquement dedie à la cybersecurite, mais il peut financer la composante “audit et diagnostic de maturité numerique” de votre demarche, incluant le volet cyber. Pour en savoir plus sur ce dispositif et les autres aides au financement de projets numeriques, consultez notre article sur le budget d’un projet IA pour PME.
Contactez votre CCI (Chambre de Commerce et d’Industrie) locale. Beaucoup proposent des ateliers de sensibilisation NIS2 gratuits et peuvent vous orienter vers les bons dispositifs de financement.
ROI de la conformité : coût vs risques
La conformité NIS2 est un investissement, pas une depense. Voici pourquoi le calcul est toujours en faveur de la mise en conformité.
Ce que coûte la non-conformité
| Risque | Cout potentiel | Probabilite |
|---|---|---|
| Amende NIS2 (entite essentielle) | Jusqu’à 10 M EUR ou 2 % du CA mondial | En cas de contrôle ANSSI après un incident |
| Amende NIS2 (entite importante) | Jusqu’a 7 M EUR ou 1,4 % du CA mondial | En cas de contrôle ANSSI après un incident |
| Incident ransomware sans PCA | 250 000 - 500 000 EUR en moyenne (source : ANSSI, 2024) | 1 PME sur 2 subira une attaque significative d’ici 2028 |
| Perte de contrats grands comptes | 10 à 30 % du CA pour les PME dependantes de donneurs d’ordres | Quasi-certaine si vos clients sont soumis a NIS2 |
| Atteinte à la reputation | 20 à 30 % de baisse de CA l’annee suivant un incident public (source : IBM, 2024) | Elevee en cas de violation de données |
| Sanction personnelle du dirigeant | Interdiction temporaire d’exercer, responsabilite civile | Prevue par l’article 20 de NIS2 |
Le calcul pour une PME de 100 salariés
Prenons une PME de 100 salariés avec 15 M EUR de CA :
- Cout de mise en conformité : 70 000 EUR (estimation médiane)
- Maintien annuel : 15 000 EUR
- Cout total sur 3 ans : 100 000 EUR
Comparons avec les risques :
- Amende maximale : 7 M EUR (entite importante) ou 10 M EUR (entite essentielle)
- Cout moyen d’un incident ransomware : 350 000 EUR
- Perte de contrats si non-conforme : 1,5 à 4,5 M EUR (10 à 30 % du CA)
Le ratio est sans appel : le coût de la conformité represente entre 1,5 et 3 % du risque financier total. C’est un investissement avec un rendement implicite de 30 a 70 pour 1.
Les bénéfices au-dela de la conformité
La mise en conformité NIS2 ne sert pas qu’a eviter des amendes. Elle produit des bénéfices concrets et mesurables :
- Competitivite : vous restez eligible aux marches des grands comptes. La conformité NIS2 devient un critère de selection dans les appels d’offres, au même titre que la certification ISO. Pour comprendre les obligations spécifiques dans la relation avec vos donneurs d’ordres, consultez notre article sur NIS2 et les sous-traitants.
- Resilience : une PME avec un PCA teste et des procedures de gestion des incidents reprend son activite en heures ou en jours, pas en semaines ou en mois.
- Confiance : clients, partenaires et salariés font davantage confiance à une entreprise qui prend la sécurité au serieux.
- Assurance : les assureurs cyber proposent des primes réduites aux entreprises conformes NIS2. L’économie peut atteindre 20 à 40 % de la prime annuelle.
5 leviers pour reduire vos coûts
1. Priorisez par l’analyse des risques
Ne traitez pas les 10 mesures en parallele. Commencez par les risques les plus critiques identifies dans votre audit. Les mesures 2 (gestion des incidents), 5 (sécurité reseaux) et 10 (MFA) ont le meilleur ratio impact/coût.
2. Mutualisez avec le RGPD et ISO 27001
Si vous avez un DPO en poste, une partie du travail NIS2 est déjà faite : registre des traitements, analyse d’impact, politique de sécurité des données. Si vous êtes certifie ISO 27001, comptez que 70 % des exigences NIS2 sont déjà couvertes (source : ANSSI, guide de correspondance NIS2/ISO 27001).
3. Formez un referent interne
Un collaborateur forme à la cybersecurite peut gérer une grande partie de la conformité au quotidien. Le coût d’une formation certifiante (3 000 a 6 000 EUR) est amorti en moins d’un an par rapport au tarif journalier d’un consultant externe.
4. Echelonnez sur 12 à 18 mois
Rien dans NIS2 ne vous oblige à tout faire en une seule fois. Repartissez vos depenses sur 4 a 6 trimestres en commencant par les quick wins (MFA, sauvegardes, mises a jour) qui coûtent peu et réduisent immediatement votre exposition.
5. Cumulez les aides
Les dispositifs sont cumulables dans la plupart des cas. Un diagnostic France Num gratuit, combine à une subvention BPI et au CII, peut couvrir 50 a 70 % de votre investissement total. Constituez vos dossiers d’aide avant de lancer les depenses.
Conclusion : le coût de la conformité est toujours inferieur au coût de la non-conformité
Les chiffres sont clairs. Une PME de 50 a 250 salariés doit prevoir entre 25 000 et 180 000 EUR pour sa première annee de mise en conformité NIS2, puis 5 000 à 40 000 EUR de maintien annuel. Ces montants sont significatifs, mais ils representent une fraction du risque financier en cas d’incident ou de sanction.
Trois elements jouent en votre faveur :
- Les aides publiques couvrent 30 a 80 % de votre investissement si vous montez les bons dossiers
- L’echelonnement permet de repartir l’effort sur 12 à 18 mois
- Le retour sur investissement depasse largement le cadré reglementaire : competitivite, resilience, confiance, primes d’assurance réduites
L’échéance approche. La transposition française de NIS2 est prevue pour le 17 octobre 2026. Les entreprises qui commencent maintenant auront 18 mois pour se mettre en conformité progressivement. Celles qui attendent le dernier moment paieront plus cher, dans l’urgence, avec moins d’aides disponibles.
Vous voulez savoir combien coutera la conformité NIS2 pour votre PME et quelles aides vous pouvez mobiliser ?
Sources : Directive (UE) 2022/2555 (NIS2), ANSSI - Guide de mise en oeuvre NIS2 (2024), IBM Cost of a Data Breach Report 2024, ENISA Threat Landscape 2024, BPI France - Programme IA Booster, France Num - Aides à la digitalisation, Service Public - Credit d’impot innovation.