02 40 00 80 00 Lun–Jeu 8h30–12h30 · 14h00–18h00 — Vendredi jusqu'à 17h00
Saint-Nazaire & bassin nazairien
Accueil Blog Cybersécu sous-traitants industriels

Sous-traitants industriels : se mettre au niveau cybersécurité de vos donneurs d'ordres

Industrie · 5 min de lecture · Février 2026 — NIS2, ISO 27001, exigences Airbus et Chantiers : panorama et premières étapes concrètes pour les sous-traitants industriels du bassin de Saint-Nazaire.

Si vous êtes sous-traitant d'un grand groupe industriel du bassin nazairien — Chantiers de l'Atlantique, Airbus Atlantic, MAN Energy Solutions, STX, Equinor — vous avez probablement reçu en 2025 un questionnaire cybersécurité de leur part. Ou un audit. Ou les deux. Et ça ne va faire que s'intensifier en 2026. Voici pourquoi, et comment s'y préparer sans paniquer.

Pourquoi maintenant ?

Trois forces convergent.

NIS2

La directive européenne NIS2 est entrée en application en octobre 2024. Elle élargit considérablement le périmètre des entreprises soumises à des obligations cyber : transports, énergie, santé, fabrication critique, services postaux, services TIC. Les donneurs d'ordres concernés doivent maîtriser leur chaîne d'approvisionnement — et reportent donc une partie des exigences sur leurs sous-traitants.

L'exemple des chaînes d'approvisionnement compromises

L'attaque Solarwinds, Kaseya, MOVEit ont montré qu'on peut atteindre une grande entreprise en compromettant un petit fournisseur. Les directions sécurité des grands groupes l'ont compris : ils auditent leurs sous-traitants, et ils réduiront leur panel à ceux qui sont sécurisés.

Les assurances cyber

Les assureurs cyber refusent désormais d'assurer les entreprises sans EDR, sans MFA, sans sauvegardes immuables. Et ils refusent de plus en plus d'assurer les donneurs d'ordres dont les sous-traitants ne sont pas conformes. Effet domino garanti.

Les exigences typiques

Sur les questionnaires que nous voyons passer pour nos clients de Saint-Nazaire, Trignac, Montoir, Donges, les exigences récurrentes sont :

  • Inventaire des actifs IT et documentation
  • EDR/XDR managé sur tous les postes et serveurs
  • Authentification forte (MFA) sur tous les comptes administrateurs et accès distants
  • Sauvegardes immuables testées au moins une fois par an
  • Plan de réponse à incident écrit, avec exercice annuel
  • Sensibilisation des collaborateurs au phishing, avec traces (formations, simulations)
  • Politique de mots de passe conforme aux recommandations ANSSI
  • Cloisonnement réseau (VLAN production / bureau / invités)
  • Patch management documenté (correctifs Windows, firmwares, applications)
  • Référent cybersécurité désigné et joignable

Les 4 étapes à entreprendre maintenant

Étape 1 : faire un audit honnête (1 à 2 semaines)

Avant de déployer quoi que ce soit, mesurez où vous en êtes. Un audit type Astorya prend 1 jour sur site et produit un rapport noté sur 100, par rubrique. Vous voyez immédiatement les écarts par rapport aux attentes des donneurs d'ordres.

Étape 2 : traiter les « quick wins » (1 à 2 mois)

Certaines actions coûtent peu et apportent énormément :

  • Activer MFA sur Microsoft 365 et les VPN (gratuit, immédiat)
  • Désactiver les protocoles obsolètes (SMBv1, TLS 1.0, NTLMv1)
  • Supprimer les comptes inactifs / orphelins
  • Bloquer l'exécution de macros Office non signées
  • Mettre à jour les firmwares des équipements réseau

Étape 3 : déployer les briques structurantes (2 à 4 mois)

  • EDR managé sur tous les postes (Bitdefender GravityZone, SentinelOne, Defender for Business)
  • Sauvegarde immuable en datacenter français
  • Pare-feu nouvelle génération avec segmentation
  • Solution de filtrage email avancée (Microsoft Defender for Office 365, Proofpoint)

Étape 4 : documenter et industrialiser (continu)

  • Politique de sécurité du SI (PSSI) écrite
  • Procédure de gestion des incidents
  • Plan de continuité / reprise d'activité
  • Sensibilisation annuelle des équipes (avec attestations)
  • Revue annuelle planifiée

Le piège à éviter : répondre au questionnaire d'un donneur d'ordres en disant « oui » à tout sans avoir réellement mis les choses en place. À la première vérification sur dossier ou au premier incident, vous perdez le contrat et votre crédibilité. La sincérité et l'engagement à progresser ont plus de valeur qu'une fausse conformité.

Le coût type pour une PME de 20-50 personnes

Sur la base de ce que nous mettons en place chez nos clients sous-traitants du bassin nazairien, comptez :

  • Audit initial : 1 500 à 3 500 € HT (souvent gratuit chez nous pour les PME locales)
  • Mise en conformité (projet 3-6 mois) : 8 000 à 25 000 € HT selon l'état initial
  • Maintien en conformité : intégré dans le contrat d'infogérance, ~50-80 € HT / poste / mois

À comparer avec le coût de la perte d'un contrat-cadre, qui chiffre généralement en dizaines de milliers d'euros par an.

L'accompagnement Astorya

Nous travaillons avec une dizaine de sous-traitants industriels du bassin (Montoir, Saint-Nazaire, Trignac) pour leur mise en conformité. Notre approche : pragmatique, sans démarche commerciale agressive, avec une vraie connaissance des exigences des grands donneurs d'ordres locaux. Voir notre offre cybersécurité.

Découvrir notre offre cybersécurité

Audit de conformité pour sous-traitants ?

Évaluation NIS2 / ISO 27001 / cahier des charges donneur d'ordres — 1h sur site, gratuit.

Être rappelé sous 2h 02 40 00 80 00