Le seul infogéreur calédonien à proposer un programme cybersécurité complet : audit ANSSI, EDR managé, SOC supervisé 24/7, formation continue, mise en conformité NIS2.
Si vous êtes dirigeant d’une PME calédonienne en juin 2026, vous êtes peut-être passé à côté d’une révolution silencieuse : la directive européenne NIS2, transposée en droit français en 2024, étend désormais ses obligations à 18 secteurs d’activité et touche directement les entreprises de la Nouvelle-Calédonie qui exportent vers l’UE, travaillent dans la santé, la finance, l’énergie, le transport, l’eau, les services publics, ou qui sont fournisseurs critiques d’une de ces entités. À cela s’ajoutent : la loi du pays NC sur les données personnelles (délibération n°2020-39), le RGPD européen pour toute activité touchant des résidents UE, et la vague de cyberattaques qui touche le Pacifique depuis 2024.
Stratos est, à juin 2026, le seul acteur calédonien à proposer un programme cybersécurité d’entreprise complet : audit ANSSI, EDR managé, SOC supervisé localement, formation continue des collaborateurs, accompagnement à la conformité réglementaire.
L’état des menaces en Nouvelle-Calédonie en 2026
Une cible attractive mal défendue
La Nouvelle-Calédonie est perçue par les attaquants comme une cible relativement vulnérable :
- PME peu matures cybersec : la grande majorité des entreprises NC < 100 collaborateurs n’a pas de RSSI ni de programme structuré.
- Distance géographique : moins de visibilité dans les médias mainstream → discrétion appréciée par les attaquants.
- Tissu économique dense : santé, banque, BTP, hôtellerie, transport — autant de secteurs avec des données monétisables.
En 2024 et 2025, plusieurs entreprises calédoniennes ont subi :
– Ransomwares (chiffrement de tous les serveurs, demande de rançon en cryptomonnaie)
– Phishing ciblé vers les directions financières (fraude au président, faux ordres de virement)
– Compromission de boîtes mails Microsoft 365 (rebond vers fournisseurs et clients)
– Vol de données personnelles clients (avec impact RGPD / loi du pays NC)
Le coût réel d’une cyberattaque pour une PME NC
À partir d’études ANSSI / CCI 2025 / cas clients Stratos :
| Type d’attaque | Coût direct moyen | Coût indirect estimé |
|---|---|---|
| Ransomware (PME 50 collab.) | 30 000-150 000 EUR | + 3-6 mois de désorganisation |
| Phishing / fraude virement | 10 000-200 000 EUR | + perte de confiance fournisseur |
| Compromission M365 | 5 000-50 000 EUR | + obligation déclaration CNIL et clients |
| Fuite données clients | 20 000-100 000 EUR | + impact réputation, jusqu’à 4% CA (sanction RGPD) |
Une cyberattaque représente en moyenne entre 0.5% et 5% du chiffre d’affaires annuel d’une PME — un coût difficilement absorbable, et qui menace parfois la pérennité même de l’entreprise.
NIS2 en Nouvelle-Calédonie : suis-je concerné ?
Les 18 secteurs concernés par NIS2
NIS2 distingue deux catégories :
Entités essentielles (obligations renforcées) :
1. Énergie (électricité, gaz, hydrocarbures)
2. Transport (aérien, ferroviaire, routier, maritime)
3. Banque et marchés financiers
4. Santé (hôpitaux, fabricants dispositifs médicaux, labos)
5. Eau (potable, usées)
6. Infrastructures numériques (datacenters, télécoms)
7. Administration publique
8. Espace
Entités importantes (obligations standard) :
1. Services postaux et expédition
2. Gestion des déchets
3. Industries chimiques
4. Production / transformation / distribution alimentaire
5. Industrie manufacturière (dispositifs médicaux, IT, électroniques, machinerie)
6. Services numériques (moteurs de recherche, places de marché en ligne, réseaux sociaux)
7. Recherche
Et en NC, c’est applicable ?
Oui, dans 3 cas principaux :
- Vous exportez vers l’UE (ou un de vos donneurs d’ordre est une entité NIS2) — vous êtes « fournisseur critique » et soumis aux mêmes obligations
- Vous êtes filiale d’un groupe européen soumis à NIS2
- Vous êtes dans un secteur réglementé localement (eau, santé publique, infrastructures critiques NC) — la transposition locale arrive
Notre audit NIS2 gratuit en 48h vous dit en 1h si vous êtes concerné, et avec quels délais.
Notre programme cybersécurité d’entreprise
Niveau 1 — Audit cybersécurité ANSSI (point de départ obligatoire)
Notre audit cybersécurité conforme PSSI ANSSI couvre les 15 contrôles critiques identifiés par l’agence nationale comme prioritaires pour les PME :
- Cartographie du SI (inventaire matériel + logiciel + services)
- Politique de mots de passe et MFA (authentification multifacteur)
- Gestion des accès (qui a quel droit, sur quoi, depuis quand)
- Sauvegarde et test de restauration (stratégie 3-2-1)
- Patch management (OS, applications, firmware réseau)
- Configuration sécurité Microsoft 365 / Google Workspace
- Détection des intrusions (EDR, NDR, antimalware)
- Filtrage web et messagerie (anti-phishing, sandboxing)
- Sécurité physique (datacenter, locaux IT, mobilité)
- Sécurité applicative (web apps, ERP, CRM)
- Plan de réponse aux incidents
- Sensibilisation et formation des collaborateurs
- Conformité réglementaire (RGPD, NIS2, loi du pays)
- Sauvegarde et restauration testées
- Plan de continuité d’activité (PCA / PRA)
Livrables :
– Rapport d’audit complet (50-100 pages)
– Cotation de chaque contrôle (rouge/orange/vert)
– Plan d’action priorisé sur 12 mois
– Estimation budget par axe
– Présentation orale au COMEX (2h)
Tarif : à partir de 5 000 EUR (PME 20 collaborateurs), à devis pour ETI.
Niveau 2 — Mise en conformité (12-24 mois)
Sur la base de l’audit, nous accompagnons la remédiation : politique d’entreprise, architecture technique, outils, formation.
Niveau 3 — EDR managé (protection en continu)
Une fois sécurisée, votre infrastructure doit être protégée en temps réel. Nous déployons et opérons un EDR (Endpoint Detection & Response) sur tous vos postes et serveurs :
- Détection comportementale (au-delà de la signature antivirus classique)
- Isolation automatique d’un poste compromis
- Investigation forensique post-incident
- Reporting mensuel (incidents détectés, menaces bloquées, recommandations)
Solutions déployées par Stratos : Microsoft Defender for Endpoint, SentinelOne, CrowdStrike Falcon, Sophos Intercept X (selon contexte et budget).
Niveau 4 — SOC managé (supervision humaine 24/7)
Pour les organisations à plus forts enjeux (santé, finance, marchés publics), nous opérons un SOC (Security Operations Center) managé depuis notre NOC à Nouméa :
- Supervision 24/7/365 par des analystes francophones
- Corrélation des alertes EDR / firewall / cloud / identités
- Investigation et qualification des incidents (vrai positif vs faux positif)
- Réponse à incident dans les SLA contractuels (15 min P1, 1h P2, 4h P3)
- Reporting mensuel et revue trimestrielle exécutive
Niveau 5 — Formation et sensibilisation continue
80% des cyberattaques réussies passent par un facteur humain : phishing, clic malveillant, partage de mot de passe, USB infectée.
Notre programme de sensibilisation :
– Campagne de phishing simulée trimestrielle (mesure le taux de clic réel)
– Microlearning mensuel (modules de 5-10 min envoyés par email)
– Atelier annuel présentiel 2h pour chaque équipe
– Formation dirigeants dédiée (fraude au président, sécurité des voyages)
– Onboarding nouveaux collaborateurs automatisé (intégré à votre process RH)
Stratos vs autres acteurs cybersécurité NC
| Critère | Stratos | Concurrents NC (IT généralistes) | Cabinets conseil métropole |
|---|---|---|---|
| Présence locale | ✅ Équipe Nouméa | ✅ | ❌ |
| Audit ANSSI structuré | ✅ Méthodologie | ⚠️ Variable | ✅ |
| EDR managé | ✅ Bundle | ⚠️ Revente sans expertise | ❌ |
| SOC 24/7 francophone | ✅ Local NC | ❌ | ⚠️ Délocalisé Inde/Maghreb |
| Conformité NIS2 | ✅ Spécialisation 2025 | ⚠️ | ✅ |
| Formation collaborateurs | ✅ Programme complet | ⚠️ Ad hoc | ⚠️ One-shot |
| Tarification PME | ✅ Forfaits accessibles | ✅ | ❌ (cher) |
Cas client : compromission Microsoft 365 chez un cabinet d’avocats NC
Contexte : un cabinet d’avocats de 12 collaborateurs à Nouméa nous appelle un lundi matin. Plusieurs clients signalent avoir reçu des emails étranges depuis l’adresse de la secrétaire administrative.
Notre réponse en 4h :
- 00:00 (réception alerte) : isolation immédiate du compte compromis (revocation tokens, change password forcé)
- 00:30 : investigation forensique des logs M365 — identification de l’attaque (phishing 4 jours plus tôt, capture du mot de passe via faux portail Microsoft)
- 01:00 : revue de TOUS les emails sortants envoyés depuis le compte compromis (12 emails identifiés)
- 02:00 : alerte aux 12 destinataires par téléphone (depuis le cabinet) + email officiel
- 03:00 : audit des permissions M365 globales du cabinet, identification de 3 partages SharePoint trop ouverts → corrigés
- 04:00 : briefing à Maître X et plan d’action sur 48h (formation flash phishing pour toute l’équipe, mise en place de Conditional Access + MFA obligatoire)
Résultat : aucune fuite documentaire (les attaquants n’ont eu le temps que d’envoyer des spams), pas de déclaration CNIL à faire (pas de données personnelles compromises), confiance restaurée auprès des 12 clients prévenus.
« Un dimanche soir, on aurait coulé. La réactivité de Stratos a sauvé notre cabinet. Le lundi suivant, nous avons signé un contrat de SOC managé 24/7. »
— Associé fondateur, cabinet d’avocats à Nouméa
Conformité RGPD + Loi du pays NC : ce qu’il faut savoir
RGPD : qui est concerné en NC ?
- Toute entreprise NC traitant des données personnelles de résidents UE
- Toute filiale NC d’un groupe européen
- Toute entreprise NC ayant des donneurs d’ordre européens exigeant la conformité chaîne fournisseur
Loi du pays NC sur les données personnelles
La délibération n°2020-39 du Congrès NC encadre le traitement des données personnelles des résidents calédoniens. Obligations principales :
– Registre des traitements
– Information des personnes concernées
– Sécurisation des données
– Notification des violations
Stratos accompagne la mise en conformité
- Cartographie des traitements (registre RGPD + loi du pays)
- Politique de confidentialité site web et entreprise
- DPIA (Data Protection Impact Assessment) sur les traitements à risque
- DPO externalisé (Data Protection Officer) en mode fractionné
- Notification d’incidents (en lien avec la CNIL ou l’autorité NC compétente)
FAQ — Cybersécurité entreprise Nouvelle-Calédonie
En tant que PME calédonienne, suis-je vraiment une cible ?
Oui, plus que vous ne le pensez. Les attaquants ne ciblent pas spécifiquement les PME NC, mais leurs robots d’attaque scannent l’internet 24/7 à la recherche de SI vulnérables. Si vos comptes M365 n’ont pas de MFA, si votre site WordPress est obsolète, si vos sauvegardes ne sont pas testées, vous êtes un fruit mûr.
Faut-il être ISO 27001 pour faire des affaires en NC ?
Non, ISO 27001 n’est pas obligatoire. C’est une certification volontaire qui rassure vos donneurs d’ordre (notamment grands comptes et secteur public). En revanche, NIS2 est obligatoire pour les secteurs concernés à partir d’octobre 2024.
Quel est l’impact concret de NIS2 pour une PME NC fournisseur d’une entité NIS2 ?
Votre donneur d’ordre va exiger contractuellement :
– Un audit cybersécurité annuel
– Un plan de gestion d’incident documenté
– Des mesures de protection (EDR, MFA, sauvegarde 3-2-1, etc.)
– Des clauses de notification en cas d’incident
– Des droits d’audit par l’entité NIS2
Le non-respect = perte du contrat + responsabilité civile potentielle.
Quelle est la différence entre EDR et antivirus classique ?
L’antivirus détecte les menaces connues par signature. L’EDR détecte les comportements suspects (mouvement latéral, escalade de privilèges, exfiltration anormale) même sans signature. En 2026, l’EDR est devenu le standard minimum pour une entreprise sérieuse.
Un SOC managé, c’est combien par mois pour une PME de 30 collaborateurs ?
Forfait indicatif Stratos : à partir de 1 500 EUR/mois HT pour 30 collaborateurs (SOC + EDR + supervision + reporting). Inclut typiquement : 30 endpoints, 5-10 serveurs, M365, 2 firewalls. Devis personnalisé selon votre périmètre exact.
Mes sauvegardes existantes me protègent-elles d’un ransomware ?
Pas forcément. La majorité des ransomwares modernes recherchent et chiffrent aussi vos sauvegardes s’ils y ont accès réseau. La règle ANSSI 3-2-1 impose au moins un support hors-ligne ou immuable (snapshot non modifiable). Voir notre page sauvegarde 3-2-1.
Faites-vous des audits « à blanc » / des pentests ?
Oui, nous proposons :
– Audit boîte blanche : avec accès complet à votre SI, pour exhaustivité maximale
– Audit boîte noire : sans accès, simulation d’un attaquant externe
– Pentest applicatif : sur vos sites web, applications métier, APIs
– Audit Active Directory : très demandé, révèle souvent des configurations dangereuses anciennes
Que faire si je suis attaqué maintenant ?
Composez immédiatement le (+687) 303 303 — notre astreinte cybersécurité est joignable 24/7. En parallèle :
1. Débranchez physiquement les machines suspectées (Ethernet + WiFi)
2. Ne payez surtout pas la rançon avant d’avoir consulté un expert
3. Documentez ce que vous voyez (captures d’écran horodatées)
4. Prévenez la gendarmerie (cellule Cybercriminalité) si nécessaire
Êtes-vous certifiés PASSI (label ANSSI) ?
PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) est un label délivré par l’ANSSI en France métropolitaine. La certification n’est pas applicable telle quelle en NC, mais notre méthodologie d’audit est alignée sur le référentiel PASSI. Nos consultants ont reçu des formations spécialisées (OSCP, CEH, CISM selon profil).
Sécurisez votre entreprise calédonienne dès aujourd’hui
📞 (+687) 303 303 — astreinte cybersécurité 24/7
✉️ contact@stratos.nc
🗓️ Audit cybersécurité gratuit sous 48h — 1h sur site pour vous dire où vous en êtes et ce qui doit être traité en priorité