Prestataires NIS2 dans les DOM-TOM
Annuaire des cabinets cybersécurité qualifiés ANSSI capables d'intervenir dans les territoires ultramarins français — Guadeloupe, Martinique, Guyane, La Réunion, Mayotte, Saint-Martin et Saint-Barthélemy. La directive NIS2 s'y applique dans les mêmes conditions qu'en métropole, transposée par la Loi Résilience FR.
NIS2 dans les DOM : cadre légal applicable
La directive européenne NIS2 (UE 2022/2555)s'applique uniformément sur l'ensemble du territoire français, y compris dans les départements et régions d'outre-mer (DROM), à Saint-Martin et à Saint-Barthélemy. Ces territoires bénéficient du statut de régions ultrapériphériques de l'Union européenne (RUP) pour la plupart, ce qui les place pleinement dans le champ d'application du droit européen, dont les directives en matière de cybersécurité.
En pratique, les entités installées dans les DOM (opérateurs télécom, gestionnaires d'eau, opérateurs de santé, autorités publiques, fournisseurs de services numériques, transporteurs) sont soumises aux mêmes obligations que leurs homologues métropolitains au titre de la Loi Résilience FR (dossier parlementaire PRMD2412608L), texte de transposition de NIS2.
Calendrier et obligations identiques
Le calendrier de mise en conformité est strictement aligné avec la métropole :
- Pré-enregistrement sur MonEspaceNIS2 ouvert depuis novembre 2025 (cyber.gouv.fr)
- Loi Résilience attendue T1-T2 2026
- Décrets d'application au S2 2026
- Premiers contrôles ANSSI à partir de fin 2026
Pour les opérateurs télécom mobiles présents dans les Antilles, en Guyane ou à La Réunion (Orange Caraïbe, SFR Caraïbe, Digicel Antilles Françaises Guyane, Free Mobile, etc.), le statut très probable est celui d'Entité essentielle au titre de l'Annexe I — Infrastructure numérique, avec un régime de sanctions pouvant atteindre 10 M€ ou 2 % du chiffre d'affaires mondial du groupe.
Quels prestataires pour les entités ultramarines ?
Aucun cabinet exclusivement local n'apparaît actuellement dans le catalogue ANSSI des qualifications PASSI, PRIS, PDIS, PVID, PACS ou SecNumCloud avec un siège déclaré dans les DOM. Les entités régulées doivent donc se tourner vers des prestataires métropolitains, qui interviennent à distance ou via déplacements ciblés selon la nature de la mission.
Certains cabinets ont mis en place des équipes ou des références spécifiques sur les DOM. SNS Security a par exemple déployé une équipe SOC en Guadeloupe en mode « follow the sun », complétant le dispositif déjà actif au Vietnam. Les grands groupes (Orange Cyberdefense, Capgemini, Thales, Sopra Steria, Almond, Wavestone) interviennent régulièrement dans les DOM via leurs équipes nationales et des partenariats locaux.
Pour les audits PASSI lourds (architecture, intrusion physique), la présence sur site reste nécessaire — vérifier les frais de déplacement intégrés au devis du cabinet.
Cabinets ANSSI mobilisables pour les DOM
Sélection de prestataires qualifiés ANSSI dont le profil (effectif, qualifications, capacité de mobilité) permet une intervention dans les territoires ultramarins. Liste non exhaustive — les 200 prestataires de l'annuaire peuvent tous être contactés via le formulaire.
Service Network Security
Montpellier
Orange Cyberdefense
Nanterre
Capgemini
Paris
Thales Cloud Sécurisé
Paris
Thales Cyber Solutions
Vélizy-Villacoublay
Sopra Steria Infrastructures and Security Services
Annecy
Almond
Sèvres
Wavestone
Puteaux
Accenture
Paris
Airbus Protect
Blagnac
I-Tracing
Courbevoie
Synacktiv
Paris
Questions fréquentes
Les entités d'Outre-mer sont-elles concernées par la directive NIS2 ?
Oui. La Guadeloupe, la Martinique, la Guyane, La Réunion, Mayotte ainsi que Saint-Martin et Saint-Barthélemy sont des territoires de l'Union européenne (statut de région ultrapériphérique pour la majorité). La directive NIS2 s'y applique dans les mêmes conditions qu'en métropole, via la transposition française par la Loi Résilience (loi PRMD2412608L). Les opérateurs régulés des DOM (télécom, eau, santé, énergie, transports, etc.) doivent se conformer aux mêmes obligations Article 21 et aux mêmes délais de notification d'incident à l'ANSSI / CERT-FR que leurs homologues métropolitains.
Quels prestataires qualifiés ANSSI peuvent intervenir dans les Antilles ou en Guyane ?
Tous les prestataires qualifiés ANSSI (PASSI, PRIS, PDIS, SecNumCloud) basés en métropole peuvent réaliser des missions dans les DOM. La qualification ANSSI couvre l'intervention sur tout le territoire français. Plusieurs cabinets ont des références ou des implantations dédiées : SNS Security dispose par exemple d'une équipe SOC en Guadeloupe en mode « follow the sun ». Les grands groupes (Orange Cyberdefense, Capgemini, Thales, Sopra Steria, Almond, Wavestone) interviennent régulièrement dans les DOM via leurs équipes nationales.
Quel est le calendrier NIS2 applicable aux entités d'Outre-mer ?
Identique à la métropole : la Loi Résilience est attendue T1-T2 2026, les décrets d'application au S2 2026, et les premiers contrôles ANSSI à partir de fin 2026. Aucun délai d'adaptation spécifique n'est prévu pour les DOM. Les entités ultramarines doivent s'enregistrer sur MonEspaceNIS2 (cyber.gouv.fr) et préparer leur conformité Article 21 dans le même calendrier.
Qui régule la cybersécurité des opérateurs télécom dans les DOM ?
L'ARCEP (Autorité de Régulation des Communications Électroniques, des Postes et de la distribution de la presse) régule l'ensemble du marché télécom français, y compris les DOM. Pour la cybersécurité spécifiquement, l'ANSSI est l'autorité de référence sur l'ensemble du territoire national. Les opérateurs télécom mobiles présents dans les Antilles, en Guyane ou à La Réunion (Orange Caraïbe, SFR Caraïbe, Digicel, Free Mobile, etc.) relèvent de l'Annexe I NIS2 — Infrastructure numérique.
Faut-il un prestataire local ou métropolitain pour la mise en conformité NIS2 en Outre-mer ?
Les deux fonctionnent. Un prestataire local (s'il existe et est qualifié ANSSI) apporte la proximité, une connaissance du tissu économique régional et des temps de déplacement réduits. Un prestataire métropolitain apporte généralement une équipe plus étoffée, des références multi-sectorielles et la capacité d'intervenir simultanément sur plusieurs périmètres si l'entité a aussi des sites en métropole. Pour les audits PASSI lourds (architecture, intrusion), l'intervention sur site reste nécessaire — vérifier les frais de déplacement intégrés au devis.
Dernière mise à jour : 12 mai 2026 · Données ANSSI à jour, mise à jour mensuelle. Cadre légal NIS2 : Loi Résilience en cours de transposition.