La conformite NIS2 a un prix. Mais l'amende pour non-conformite peut atteindre 10 millions d'euros ou 2 % de votre chiffre d'affaires mondial. Le cout reel d'un incident cyber non prepare est en moyenne 5 a 10 fois superieur a celui de la mise en conformite. Cet article pose les vrais chiffres sur la table - poste par poste, taille par taille, avec les aides pour reduire la facture.
Si vous avez lu notre guide complet NIS2 pour les PME, vous connaissez les 10 obligations, le calendrier et la methode de mise en conformite. Si vous avez consulte notre article sur les mesures essentielles de cybersecurite, vous savez quelles actions mettre en place en priorite. Il reste la question que tout dirigeant se pose en premier : combien ca coute, concretement ?
Cet article repond a cette question avec transparence. Pas de fourchettes vagues, pas de "ca depend". Des chiffres reels, issus des retours de terrain des entreprises deja engagees dans la demarche, et des aides concretes pour financer votre mise en conformite.
A la fin de votre lecture, vous saurez :
- Les 3 grands postes de depense de la conformite NIS2 et leur poids relatif
- Le cout d'un audit initial selon le type de prestataire choisi
- Le budget detaille pour chacune des 10 mesures NIS2
- Le cout de maintien annuel apres la premiere mise en conformite
- Les fourchettes de budget par taille d'entreprise (50, 150 et 250 salaries)
- Les aides financieres disponibles pour reduire la facture de 30 a 80 %
- Le retour sur investissement reel de la conformite
Les 3 postes de depense de la conformite NIS2
La mise en conformite NIS2 se decompose en trois phases distinctes, chacune avec son propre budget. Comprendre cette structure vous permet de planifier vos depenses sur 12 a 24 mois plutot que de tout financer d'un coup.
Poste 1 : l'audit initial (15 a 20 % du budget total)
L'audit est le point de depart. Il mesure l'ecart entre votre situation actuelle et les exigences NIS2 sur chacune des 10 mesures de l'article 21. Sans cet etat des lieux, toute estimation budgetaire est une conjecture.
Poste 2 : la mise en conformite (60 a 70 % du budget total)
C'est le poste le plus lourd. Il comprend les investissements techniques (infrastructures, outils de detection, chiffrement), les investissements organisationnels (procedures, documentation, formation) et l'accompagnement par des experts externes si necessaire.
Poste 3 : le maintien annuel (10 a 20 % du budget initial, chaque annee)
La conformite NIS2 n'est pas un projet ponctuel. C'est un engagement continu. Le maintien comprend la surveillance, les mises a jour, les audits periodiques, la formation continue et la veille reglementaire.
Cout de l'audit initial : PASSI vs non-PASSI
L'audit initial est votre premiere depense. Son cout depend principalement du type de prestataire choisi.
Qu'est-ce qu'un prestataire PASSI ?
Un Prestataire d'Audit de la Securite des Systemes d'Information (PASSI) est qualifie par l'ANSSI. Cette qualification garantit un niveau de competence et de methodologie conforme aux standards nationaux. Pour les entites essentielles, le recours a un prestataire PASSI pourrait devenir obligatoire selon les modalites de la transposition francaise.
Fourchettes de prix
| Type d'audit | Prestataire non-PASSI | Prestataire PASSI |
|---|---|---|
| Audit de maturite cyber (etat des lieux) | 5 000 - 10 000 EUR | 8 000 - 15 000 EUR |
| Audit de conformite NIS2 complet | 8 000 - 15 000 EUR | 12 000 - 25 000 EUR |
| Test d'intrusion (pentest) | 4 000 - 8 000 EUR | 6 000 - 12 000 EUR |
| Analyse des risques (methode EBIOS RM) | 5 000 - 12 000 EUR | 8 000 - 18 000 EUR |
Comment choisir ?
Si votre PME est classee entite essentielle (secteurs hautement critiques, 50+ salaries), privilegiez un prestataire PASSI. Le surcout de 30 a 50 % est justifie par la reconnaissance officielle de l'audit en cas de controle ANSSI.
Si votre PME est classee entite importante, un prestataire non-PASSI competent suffit dans la plupart des cas. Verifiez ses references, ses certifications (ISO 27001 Lead Auditor, CISSP, CISM) et son experience aupres de PME de votre secteur.
Dans les deux cas, demandez un devis detaille avec le perimetre exact de l'audit, les livrables attendus et le nombre de jours d'intervention.
Cout de mise en conformite : les 10 mesures NIS2 chiffrees
Voici le detail du budget pour chacune des 10 mesures de l'article 21 de la directive. Les fourchettes correspondent a une PME de 50 a 250 salaries, avec un niveau de maturite cyber moyen.
| # | Mesure NIS2 | Fourchette basse | Fourchette haute | Commentaire |
|---|---|---|---|---|
| 1 | Politique d'analyse des risques | 3 000 EUR | 15 000 EUR | Methode EBIOS RM recommandee par l'ANSSI. Cout plus eleve si premiere formalisation |
| 2 | Gestion des incidents | 5 000 EUR | 20 000 EUR | Procedures, outils de detection, astreinte. Le plus critique a mettre en place |
| 3 | Continuite d'activite (PCA/PRA) | 3 000 EUR | 15 000 EUR | Documentation + tests de restauration. Reduit si sauvegardes deja en place |
| 4 | Securite chaine d'approvisionnement | 2 000 EUR | 8 000 EUR | Questionnaires fournisseurs, clauses contractuelles, suivi. Principalement du temps |
| 5 | Securite des reseaux et SI | 8 000 EUR | 40 000 EUR | Pare-feu, segmentation, EDR, mises a jour. Le poste le plus variable selon l'existant |
| 6 | Evaluation de l'efficacite | 3 000 EUR | 12 000 EUR | Audits periodiques, scans de vulnerabilites, tableaux de bord. Recurrent |
| 7 | Cyber-hygiene et formation | 2 000 EUR | 10 000 EUR | Sessions de sensibilisation, simulations de phishing, charte informatique |
| 8 | Cryptographie et chiffrement | 2 000 EUR | 12 000 EUR | Chiffrement des postes, VPN, certificats. Faible si deja en place |
| 9 | Controle d'acces et RH | 2 000 EUR | 8 000 EUR | Gestion des identites, revue des droits, procedures depart/arrivee |
| 10 | Authentification multi-facteurs | 1 000 EUR | 5 000 EUR | Cout faible si outils cloud. Plus eleve pour des infrastructures on-premise |
| Total mise en conformite | 31 000 EUR | 145 000 EUR | Hors audit initial et maintien annuel |
Precision importante : la fourchette basse suppose une PME qui a deja des bases de securite en place (antivirus, sauvegardes, pare-feu basique). La fourchette haute correspond a une PME qui part de presque zero avec une infrastructure complexe.
Les mesures 2 (gestion des incidents) et 5 (securite des reseaux) sont systematiquement les plus couteuses. Elles representent a elles seules 35 a 45 % du budget total de mise en conformite.
Cout de maintien annuel
La mise en conformite initiale est un investissement ponctuel. Le maintien est un cout recurrent. Prevoyez entre 10 et 20 % du budget initial chaque annee.
| Poste de maintien | Cout annuel estime | Frequence |
|---|---|---|
| Audit de securite periodique | 3 000 - 10 000 EUR | Annuel |
| Surveillance et monitoring | 2 000 - 8 000 EUR | Continu (abonnement) |
| Formation et sensibilisation | 1 500 - 5 000 EUR | Annuel + trimestriel (phishing) |
| Mises a jour et correctifs | 1 000 - 4 000 EUR | Continu |
| Tests de sauvegarde et PCA | 1 000 - 3 000 EUR | Semestriel |
| Veille reglementaire et documentation | 500 - 2 000 EUR | Continu |
| Total maintien annuel | 9 000 - 32 000 EUR |
Ce budget de maintien est souvent sous-estime. Pourtant, c'est lui qui garantit que votre conformite reste valable dans le temps. NIS2 n'est pas un examen que l'on passe une fois - c'est un standard permanent.
Tableau recapitulatif par taille d'entreprise
Voici les fourchettes globales de budget, audit initial et maintien annuel inclus, selon la taille de votre PME.
| Poste | PME 50-100 salaries | PME 100-250 salaries | PME 250+ salaries |
|---|---|---|---|
| Audit initial | 5 000 - 12 000 EUR | 10 000 - 20 000 EUR | 15 000 - 25 000 EUR |
| Mise en conformite | 15 000 - 55 000 EUR | 35 000 - 100 000 EUR | 60 000 - 145 000 EUR |
| Formation et sensibilisation | 2 000 - 5 000 EUR | 4 000 - 10 000 EUR | 6 000 - 15 000 EUR |
| Documentation et procedures | 3 000 - 8 000 EUR | 5 000 - 15 000 EUR | 8 000 - 20 000 EUR |
| Total premiere annee | 25 000 - 80 000 EUR | 54 000 - 145 000 EUR | 89 000 - 205 000 EUR |
| Maintien annuel | 5 000 - 15 000 EUR | 10 000 - 25 000 EUR | 18 000 - 40 000 EUR |
Ces chiffres sont des fourchettes moyennes basees sur les retours de terrain. Le budget reel depend de votre niveau de maturite initial, de la complexite de votre infrastructure et du secteur d'activite.
3 scenarios budgetaires detailles
Pour rendre ces chiffres concrets, voici trois scenarios types qui correspondent a la majorite des PME concernees par NIS2.
Scenario 1 : PME de 50 salaries, maturite cyber debutante
Profil : entreprise de services numeriques, 50 salaries, 8 M EUR de CA. Pas de politique de securite formalisee. Antivirus basique, sauvegardes partielles, pas de MFA. Un informaticien polyvalent a temps partiel.
| Phase | Actions | Budget |
|---|---|---|
| Audit (mois 1-2) | Audit de maturite cyber + analyse des risques | 8 000 EUR |
| Quick wins (mois 3-4) | MFA, mises a jour, sauvegardes 3-2-1, charte IT | 5 000 EUR |
| Fondations (mois 5-8) | Pare-feu nouvelle generation, segmentation reseau, EDR | 18 000 EUR |
| Organisation (mois 9-12) | Procedures incidents, PCA, formation equipes, documentation | 10 000 EUR |
| Fournisseurs (mois 10-12) | Questionnaires, clauses contractuelles | 2 000 EUR |
| Total premiere annee | 43 000 EUR | |
| Maintien annuel | Monitoring, audit annuel, formation, veille | 8 000 EUR/an |
Avec les aides : en mobilisant le programme France Num (diagnostic subventionne) et des aides regionales (30 a 50 % sur la mise en conformite technique), le reste a charge peut descendre a 22 000 - 30 000 EUR.
Scenario 2 : PME de 150 salaries, maturite cyber intermediaire
Profil : entreprise industrielle, 150 salaries, 25 M EUR de CA. Politique de securite existante mais informelle. Pare-feu en place, sauvegardes regulieres, MFA sur la messagerie uniquement. Un responsable IT a temps plein.
| Phase | Actions | Budget |
|---|---|---|
| Audit (mois 1-2) | Audit NIS2 complet (prestataire PASSI) + pentest | 18 000 EUR |
| Quick wins (mois 3-4) | MFA generalise, correctifs, revue des acces | 6 000 EUR |
| Infrastructure (mois 5-9) | Segmentation reseau avancee, SIEM, EDR, chiffrement | 35 000 EUR |
| Organisation (mois 8-12) | Procedures incidents (24h/72h/30j), PCA, cellule de crise | 15 000 EUR |
| Fournisseurs (mois 10-14) | Audit chaine approvisionnement, clauses NIS2 | 5 000 EUR |
| Formation (mois 6-12) | 3 sessions de sensibilisation + simulations phishing | 7 000 EUR |
| Documentation (mois 12-14) | Formalisation complete pour audit de conformite | 8 000 EUR |
| Total (14 mois) | 94 000 EUR | |
| Maintien annuel | Monitoring, audits, formations, veille, tests PCA | 18 000 EUR/an |
Avec les aides : en combinant le credit d'impot innovation (20 % sur les depenses eligibles), une subvention BPI France et des aides regionales, le reste a charge peut descendre a 50 000 - 65 000 EUR.
Scenario 3 : PME de 250 salaries, maturite cyber avancee
Profil : entreprise agroalimentaire, 250 salaries, 45 M EUR de CA. Certifiee ISO 9001, demarche ISO 27001 en cours. Equipe IT de 5 personnes, RSSI a temps partiel. Infrastructure correctement securisee mais documentation incomplete.
| Phase | Actions | Budget |
|---|---|---|
| Audit (mois 1-2) | Audit de conformite NIS2 + gap analysis ISO 27001/NIS2 | 15 000 EUR |
| Complements techniques (mois 3-6) | SOC externe ou SIEM, durcissement serveurs, chiffrement complet | 30 000 EUR |
| Gouvernance (mois 4-8) | Implication formelle direction, comite cyber trimestriel | 5 000 EUR |
| Incidents (mois 5-8) | Procedure de notification ANSSI (24h/72h/30j), tests de crise | 12 000 EUR |
| Chaine fournisseurs (mois 6-10) | Programme d'evaluation fournisseurs, suivi continu | 8 000 EUR |
| Documentation (mois 8-12) | Formalisation complete, alignement ISO 27001 | 10 000 EUR |
| Formation (mois 3-12) | Programme annuel complet, certification RSSI | 10 000 EUR |
| Total (12 mois) | 90 000 EUR | |
| Maintien annuel | SOC, audits, certifications, veille, exercices de crise | 25 000 EUR/an |
Avec les aides : la demarche ISO 27001 en cours reduit significativement l'effort NIS2 (environ 70 % des exigences sont deja couvertes). Le CIR (30 % sur les depenses R&D liees a la securite) et les aides BPI France peuvent ramener le reste a charge a 55 000 - 70 000 EUR.
Les aides financieres pour reduire la facture
Plusieurs dispositifs publics permettent de financer une partie substantielle de votre mise en conformite. La plupart des dirigeants n'en connaissent qu'un ou deux. En voici sept.
Panorama des aides disponibles
| Aide | Montant / Taux | Eligibilite | Comment en beneficier |
|---|---|---|---|
| France Num - Diagnostic cyber | Gratuit a 3 000 EUR | TPE/PME | Activateurs France Num, CCI locales |
| Programme IA Booster BPI | 13 000 EUR HT, pris en charge a 50 % | PME 10-2 000 salaries, CA > 1 M EUR | Candidature sur bpifrance.fr |
| Subvention BPI France Innovation | Jusqu'a 50 % du cout (plafond variable) | PME innovantes, tous secteurs | Dossier aupres de BPI France regional |
| Aides regionales (FEDER, cheques numeriques) | 30 a 80 % du cout, plafonds 3 000 a 32 000 EUR | PME du territoire | Site de la region ou France Num |
| Credit d'impot recherche (CIR) | 30 % des depenses R&D eligibles | Toutes entreprises | Declaration fiscale annuelle |
| Credit d'impot innovation (CII) | 20 % (metropole), plafond 400 000 EUR | PME uniquement | Declaration fiscale annuelle |
| Cheque audit cyber (ANSSI) | Jusqu'a 5 000 EUR | PME < 250 salaries | Programme en cours de deploiement |
Points d'attention sur les aides
Le CIR et le CII sont cumulables avec les subventions, a condition de ne pas financer les memes depenses deux fois. Si une depense est deja couverte a 50 % par une subvention BPI, le CIR ou le CII ne s'applique que sur les 50 % restants.
Les aides regionales varient fortement d'une region a l'autre. Certaines proposent des "cheques cybersecurite" specifiques. Consultez le site de votre region et celui de France Num pour identifier les dispositifs actifs sur votre territoire.
Le programme IA Booster de BPI France n'est pas specifiquement dedie a la cybersecurite, mais il peut financer la composante "audit et diagnostic de maturite numerique" de votre demarche, incluant le volet cyber. Pour en savoir plus sur ce dispositif et les autres aides au financement de projets numeriques, consultez notre article sur le budget d'un projet IA pour PME.
Contactez votre CCI (Chambre de Commerce et d'Industrie) locale. Beaucoup proposent des ateliers de sensibilisation NIS2 gratuits et peuvent vous orienter vers les bons dispositifs de financement.
ROI de la conformite : cout vs risques
La conformite NIS2 est un investissement, pas une depense. Voici pourquoi le calcul est toujours en faveur de la mise en conformite.
Ce que coute la non-conformite
| Risque | Cout potentiel | Probabilite |
|---|---|---|
| Amende NIS2 (entite essentielle) | Jusqu'a 10 M EUR ou 2 % du CA mondial | En cas de controle ANSSI apres un incident |
| Amende NIS2 (entite importante) | Jusqu'a 7 M EUR ou 1,4 % du CA mondial | En cas de controle ANSSI apres un incident |
| Incident ransomware sans PCA | 250 000 - 500 000 EUR en moyenne (source : ANSSI, 2024) | 1 PME sur 2 subira une attaque significative d'ici 2028 |
| Perte de contrats grands comptes | 10 a 30 % du CA pour les PME dependantes de donneurs d'ordres | Quasi-certaine si vos clients sont soumis a NIS2 |
| Atteinte a la reputation | 20 a 30 % de baisse de CA l'annee suivant un incident public (source : IBM, 2024) | Elevee en cas de violation de donnees |
| Sanction personnelle du dirigeant | Interdiction temporaire d'exercer, responsabilite civile | Prevue par l'article 20 de NIS2 |
Le calcul pour une PME de 100 salaries
Prenons une PME de 100 salaries avec 15 M EUR de CA :
- Cout de mise en conformite : 70 000 EUR (estimation mediane)
- Maintien annuel : 15 000 EUR
- Cout total sur 3 ans : 100 000 EUR
Comparons avec les risques :
- Amende maximale : 7 M EUR (entite importante) ou 10 M EUR (entite essentielle)
- Cout moyen d'un incident ransomware : 350 000 EUR
- Perte de contrats si non-conforme : 1,5 a 4,5 M EUR (10 a 30 % du CA)
Le ratio est sans appel : le cout de la conformite represente entre 1,5 et 3 % du risque financier total. C'est un investissement avec un rendement implicite de 30 a 70 pour 1.
Les benefices au-dela de la conformite
La mise en conformite NIS2 ne sert pas qu'a eviter des amendes. Elle produit des benefices concrets et mesurables :
- Competitivite : vous restez eligible aux marches des grands comptes. La conformite NIS2 devient un critere de selection dans les appels d'offres, au meme titre que la certification ISO. Pour comprendre les obligations specifiques dans la relation avec vos donneurs d'ordres, consultez notre article sur NIS2 et les sous-traitants.
- Resilience : une PME avec un PCA teste et des procedures de gestion des incidents reprend son activite en heures ou en jours, pas en semaines ou en mois.
- Confiance : clients, partenaires et salaries font davantage confiance a une entreprise qui prend la securite au serieux.
- Assurance : les assureurs cyber proposent des primes reduites aux entreprises conformes NIS2. L'economie peut atteindre 20 a 40 % de la prime annuelle.
5 leviers pour reduire vos couts
1. Priorisez par l'analyse des risques
Ne traitez pas les 10 mesures en parallele. Commencez par les risques les plus critiques identifies dans votre audit. Les mesures 2 (gestion des incidents), 5 (securite reseaux) et 10 (MFA) ont le meilleur ratio impact/cout.
2. Mutualisez avec le RGPD et ISO 27001
Si vous avez un DPO en poste, une partie du travail NIS2 est deja faite : registre des traitements, analyse d'impact, politique de securite des donnees. Si vous etes certifie ISO 27001, comptez que 70 % des exigences NIS2 sont deja couvertes (source : ANSSI, guide de correspondance NIS2/ISO 27001).
3. Formez un referent interne
Un collaborateur forme a la cybersecurite peut gerer une grande partie de la conformite au quotidien. Le cout d'une formation certifiante (3 000 a 6 000 EUR) est amorti en moins d'un an par rapport au tarif journalier d'un consultant externe.
4. Echelonnez sur 12 a 18 mois
Rien dans NIS2 ne vous oblige a tout faire en une seule fois. Repartissez vos depenses sur 4 a 6 trimestres en commencant par les quick wins (MFA, sauvegardes, mises a jour) qui coutent peu et reduisent immediatement votre exposition.
5. Cumulez les aides
Les dispositifs sont cumulables dans la plupart des cas. Un diagnostic France Num gratuit, combine a une subvention BPI et au CII, peut couvrir 50 a 70 % de votre investissement total. Constituez vos dossiers d'aide avant de lancer les depenses.
Conclusion : le cout de la conformite est toujours inferieur au cout de la non-conformite
Les chiffres sont clairs. Une PME de 50 a 250 salaries doit prevoir entre 25 000 et 180 000 EUR pour sa premiere annee de mise en conformite NIS2, puis 5 000 a 40 000 EUR de maintien annuel. Ces montants sont significatifs, mais ils representent une fraction du risque financier en cas d'incident ou de sanction.
Trois elements jouent en votre faveur :
- Les aides publiques couvrent 30 a 80 % de votre investissement si vous montez les bons dossiers
- L'echelonnement permet de repartir l'effort sur 12 a 18 mois
- Le retour sur investissement depasse largement le cadre reglementaire : competitivite, resilience, confiance, primes d'assurance reduites
L'echeance approche. La transposition francaise de NIS2 est prevue pour le 17 octobre 2026. Les entreprises qui commencent maintenant auront 18 mois pour se mettre en conformite progressivement. Celles qui attendent le dernier moment paieront plus cher, dans l'urgence, avec moins d'aides disponibles.
Vous voulez savoir combien coutera la conformite NIS2 pour votre PME et quelles aides vous pouvez mobiliser ?
Sources : Directive (UE) 2022/2555 (NIS2), ANSSI - Guide de mise en oeuvre NIS2 (2024), IBM Cost of a Data Breach Report 2024, ENISA Threat Landscape 2024, BPI France - Programme IA Booster, France Num - Aides a la digitalisation, Service Public - Credit d'impot innovation.