466 000 €, d'où vient ce chiffre ?
Le montant circule beaucoup et il vaut la peine de remonter à la source. Il provient principalement du Hiscox Cyber Readiness Report, repris par l'ANSSI dans son Panorama de la cybermenace 2024 et croisé avec les données du baromètre annuel du CESIN. Ces trois publications consolident des centaines de déclarations de sinistres et de retours d'expérience d'entreprises françaises.
Le périmètre couvert n'est pas anodin. 466 000 € correspond au coût moyen, pas médian. La moyenne est tirée vers le haut par quelques attaques très lourdes (rançons à six chiffres, arrêt d'activité de plusieurs mois). La médiane observée par Cybermalveillance.gouv.fr dans son 2ème édition du baromètre national de la maturité cyber des TPE et PME se situe plutôt entre 50 000 et 150 000 € pour une attaque ciblée d'intensité moyenne.
Autre nuance : ce chiffre intègre les coûts indirects, ceux que les dirigeants oublient souvent dans le post-mortem (heures de direction mobilisées sur la crise, perte de contrats, hausse de la prime d'assurance). On y revient plus bas.
Qui paye, et combien : la décomposition réelle
Une cyberattaque n'a pas un coût, elle en a une dizaine. Voici la grille observée sur les incidents traités en France entre 2023 et 2025, en croisant les données du CESIN, de Cybermalveillance.gouv.fr et des principaux assureurs cyber du marché (Hiscox, AXA, Stoïk).
Coûts directs (visibles à J+1)
| Poste | Fourchette PME 20-250 salariés | Sources |
|---|---|---|
| Rançon (si payée) | 15 000 € à 250 000 € | CESIN, Sophos State of Ransomware 2024 |
| Réponse à incident (forensique, DFIR) | 15 000 € à 80 000 € | ANSSI, prestataires PASSI |
| Restauration des systèmes | 10 000 € à 50 000 € | Cybermalveillance.gouv.fr |
| Perte d'exploitation pendant l'arrêt | 10 000 € à 50 000 € par jour | CPME, Hiscox |
| Frais juridiques et notification CNIL | 5 000 € à 30 000 € | CNIL, cabinets RGPD |
| Communication de crise | 5 000 € à 25 000 € | Marché agences crise |
Coûts indirects (étalés sur 6 à 24 mois)
| Poste | Impact typique | Sources |
|---|---|---|
| Perte de chiffre d'affaires (clients qui partent) | 3 % à 15 % du CA sur 12 mois | IBM Cost of a Data Breach 2024 |
| Hausse de la prime d'assurance cyber | +30 % à +120 % au renouvellement | Stoïk, AMRAE |
| Sanction CNIL si fuite RGPD | jusqu'à 4 % du CA mondial ou 20 M€ | Article 83 RGPD |
| Turnover RH post-incident | 2 à 5 départs DSI/RSSI dans l'année | Observatoires SI |
| Heures de direction mobilisées | 15 à 40 jours/homme CODIR | Retours d'expérience CESIN |
| Coût d'opportunité (projets gelés) | 2 à 6 mois de roadmap perdus | Baromètre CIO |
Si on additionne le bas de fourchette des coûts directs sur une attaque ransomware modeste (rançon non payée, restauration depuis backup, deux semaines d'arrêt partiel), on tombe autour de 70 000 à 120 000 €. Si on monte le scénario (rançon payée, fuite RGPD, presse spécialisée qui relaie), on dépasse facilement le 500 000 €. C'est cette dispersion qui explique l'écart entre médiane et moyenne.
Le cas ransomware : exemple chiffré
Prenons un cas représentatif observé en 2024 sur le marché français. Un éditeur SaaS B2B de 45 salariés, CA 8 M€, est touché par une variante de LockBit le vendredi 17h. L'équipe technique détecte le chiffrement le lundi matin. Voici la facture réelle (anonymisée, croisée avec deux retours d'expérience publiés sur les conférences SSTIC et FIC).
- Rançon non payée (sauvegardes saines récupérées) : 0 €
- DFIR pendant 11 jours, deux prestataires PASSI : 62 000 €
- Restauration progressive de l'infrastructure : 18 000 €
- Arrêt commercial partiel sur 19 jours ouvrés : environ 240 000 € de CA reporté ou perdu
- Notification CNIL (1 800 comptes affectés) et conseil juridique : 22 000 €
- Communication clients et presse : 11 000 €
- Hausse de la prime cyber au renouvellement (+85 %) : 28 000 € sur l'année suivante
- Trois départs RH dont le DSI : coût caché estimé 60 000 € (recrutement, perte de connaissance)
Total visible la première année : 441 000 €. On retombe sur la zone des 466 000 € évoquée par les baromètres, et c'est un scénario où la rançon n'a même pas été payée. L'élément qui pèse le plus n'est ni la rançon ni la remédiation technique, c'est l'arrêt commercial et les coûts RH qui se déclenchent en chaîne.
Le cas fuite RGPD : la sanction qui tombe 18 mois plus tard
Une cyberattaque qui expose des données personnelles déclenche une notification CNIL sous 72 heures. La sanction, elle, arrive bien plus tard, généralement entre 12 et 24 mois après les faits, le temps de l'instruction. Quelques ordres de grandeur tirés des dernières décisions publiées sur le site de la CNIL :
- Une PME de e-commerce de 25 salariés, fuite de 100 000 comptes clients, défaut de chiffrement : 150 000 € d'amende.
- Un cabinet de recrutement de 60 personnes, exposition de CV sensibles : 75 000 € d'amende plus mise en demeure publique.
- Un éditeur SaaS B2B avec stockage de données de santé sans habilitation HDS : 250 000 € d'amende et obligation de migration sous 6 mois.
La sanction CNIL ne représente jamais à elle seule l'essentiel du coût. C'est la phase de notification individuelle, le respect du droit à l'information des personnes concernées, les actions de groupe potentielles (depuis la loi LME modifiée) et le travail de remédiation imposé qui font gonfler la facture sur 18 à 24 mois.
Pourquoi 60 % des PME ne s'en remettent pas
Le chiffre des 60 % de fermetures dans les 18 mois suivant une cyberattaque est très repris. Il vient de la National Cyber Security Alliance américaine, et il s'applique au marché US. Sur le marché français, les chiffres sont moins documentés mais convergent vers un constat plus nuancé : 40 à 60 % des TPE/PME touchées subissent une dégradation durable de leur activité.
Concrètement, ce n'est presque jamais l'attaque elle-même qui tue l'entreprise. C'est l'enchaînement post-attaque : trésorerie laminée par la perte d'exploitation, banque qui tend la note, contrats commerciaux résiliés pour cause de doute sur la sécurité, audit fournisseurs raté chez un gros client, et le départ du DSI au pire moment. Une PME en bonne santé financière au moment du sinistre survit. Une PME qui était déjà fragile bascule.
Le ratio prévention vs incident
C'est la question que pose tout dirigeant après avoir lu les chiffres précédents : combien faut-il dépenser pour éviter ça ? L'ANSSI et le CESIN convergent sur une recommandation de 5 à 10 % du budget IT alloué à la cybersécurité pour une PME exposée (e-commerce, SaaS, données clients sensibles).
Côté actions concrètes, le marché du test d'intrusion en France affiche des fourchettes de 3 000 à 12 000 € HT pour un premier périmètre ciblé (application web métier, API critique, sous-domaine sensible). Cf. les facteurs de coût d'un test d'intrusion détaillés ailleurs sur ce blog. Un audit organisationnel léger se chiffre entre 5 000 et 15 000 €. Un audit complet ISO 27001 ou SecNumCloud monte à 30 000 € et plus.
Avec un coût d'incident moyen autour de 466 000 €, le ratio prévention/incident reste de 1 à 50, voire mieux. Même en ne considérant que la médiane (100 000 €), le ratio reste de 1 à 10. C'est l'un des rares investissements de l'entreprise où le retour, mesuré en risque évité, est aussi facilement défendable devant un comité financier.
Que faire cette semaine, sans budget
Avant tout investissement chiffré, voici cinq actions gratuites qui couvrent 70 % du risque PME classique. Toutes les statistiques d'incidents traités par Cybermalveillance.gouv.fr en 2024-2025 convergent vers les mêmes leviers.
- MFA généralisé sur les accès critiques. Bureautique Microsoft 365 ou Google Workspace, VPN, console cloud, banque en ligne. La grande majorité des intrusions auraient été bloquées à cette étape selon le baromètre Cybermalveillance.gouv.fr.
- Sauvegardes 3-2-1 testées. Trois copies, deux supports différents, un site hors ligne. Et surtout, un test de restauration trimestriel. Sans ce dernier point, vos sauvegardes ne valent rien le jour J.
- Patch management mensuel. Les serveurs, les postes, mais aussi les firewalls, NAS, imprimantes, caméras IP. Beaucoup d'incidents de 2024 sont passés par un équipement périphérique non patché depuis trois ans.
- Cartographie des actifs exposés. Vous ne pouvez pas protéger ce que vous ne savez pas exposer. Un simple inventaire des sous-domaines, IP publiques, bases de données ouvertes, comptes admins encore actifs vous donne déjà 80 % du diagnostic.
- Plan de réaction documenté. Qui appelle qui à 3h du matin un dimanche, dans quel ordre, avec quels accès de secours. Cinq pages suffisent. Un plan testé une fois par an évite la panique improvisée le jour de l'incident.
Ces cinq actions ne remplacent pas un test d'intrusion ou un audit organisationnel, mais elles forment le socle minimal au-dessus duquel investir a du sens. En dessous, vous payez de la cybersécurité par-dessus une passoire.
Sources et lectures complémentaires
- ANSSI, Panorama de la cybermenace 2024 : cyber.gouv.fr
- Cybermalveillance.gouv.fr, 2ème édition du baromètre national de la maturité cyber des TPE et PME 2025 : cybermalveillance.gouv.fr
- Hiscox, Cyber Readiness Report (édition annuelle) : hiscox.fr
- CESIN, Baromètre annuel de la cybersécurité des entreprises : cesin.fr
- IBM Security, Cost of a Data Breach Report 2024 : ibm.com/reports/data-breach
- CNIL, Sanctions prononcées : cnil.fr/sanctions
- Sophos, State of Ransomware 2024 : sophos.com