Les chiffres cles du cout des cyberattaques en France
Le cout moyen par incident
| Taille entreprise | Cout moyen par incident | Cout median |
|---|---|---|
| TPE (< 10 salaries) | 15 000 a 30 000 EUR | 8 000 EUR |
| PME (10-250 salaries) | 50 000 a 150 000 EUR | 65 000 EUR |
| ETI (250-5000 salaries) | 500 000 a 2 M EUR | 800 000 EUR |
| Grandes entreprises | 2 M a 10 M+ EUR | 3,5 M EUR |
La tendance : une augmentation constante
Entre 2020 et 2024, le cout moyen des cyberattaques a augmente de 80% pour les PME francaises. Cette hausse s'explique par la sophistication croissante des attaques, l'augmentation des demandes de rancon, et la dependance accrue au numerique.
Anatomie des couts : ce que vous payez vraiment
Les couts directs immediats
1. Frais de reponse a incident
- Equipe forensique : 1 500 a 3 000 EUR par jour et par consultant (5 a 15 jours)
- Experts en restauration : 800 a 2 000 EUR par jour
- Avocats specialises : 300 a 600 EUR de l'heure
2. Couts de restauration technique
Materiel compromis, logiciels, reconstruction des donnees : cout typique pour une PME de 20 000 a 80 000 EUR.
3. Notification RGPD
Pour 10 000 contacts a notifier : environ 15 000 EUR en envoi postal + 5 000 a 15 000 EUR par semaine pour une hotline + 10 000 a 50 000 EUR en communication de crise.
4. Rancon (si payee)
Le montant moyen des rancons demandees aux PME francaises est de 50 000 a 200 000 EUR. Attention : 20% des entreprises ayant paye n'ont jamais recu la cle de decryptage.
Les couts indirects (souvent sous-estimes)
1. Pertes d'exploitation
C'est generalement le poste le plus lourd. Le temps d'arret moyen apres une cyberattaque est de 21 jours pour une PME.
Exemple : PME de 50 salaries avec 5 MEUR de CA annuel, arret de 15 jours = 120 000 EUR de marge perdue + 50 000 a 100 000 EUR de charges fixes.
2. Perte de clients et d'opportunites
Impact estime sur 12 mois : 5 a 15% du CA pour les PME serieusement touchees.
3. Atteinte a la reputation
Certaines etudes estiment l'impact reputation a 2 a 5% de la valorisation de l'entreprise.
4. Amendes reglementaires
En cas de manquement au RGPD : jusqu'a 4% du CA mondial ou 20 MEUR. En pratique, pour les PME : 10 000 a 500 000 EUR.
Etudes de cas reels
Cas n1 : PME industrielle - Ransomware
Profil : 120 salaries, 18 MEUR de CA, secteur metallurgie
Attaque : Ransomware via piece jointe email, chiffrement de 80% des systemes
| Poste de cout | Montant |
|---|---|
| Experts forensics et restauration | 65 000 EUR |
| Materiel remplace | 35 000 EUR |
| Pertes d'exploitation (15 jours a 50%) | 185 000 EUR |
| Notification et communication | 12 000 EUR |
| Penalites clients (retards livraison) | 45 000 EUR |
| TOTAL | 342 000 EUR |
Indemnisation assurance : 280 000 EUR. Reste a charge : 62 000 EUR + impacts business non couverts.
Cas n2 : Cabinet d'expertise comptable - Fuite de donnees
Profil : 25 salaries, 3 MEUR de CA, donnees sensibles de 500 clients
Bilan : 137 000 EUR de couts totaux dont 90 000 EUR de perte de 3 clients majeurs. Sans assurance cyber, ce cabinet a assume l'integralite des couts.
Calculer le ROI de votre assurance cyber
La formule simple
ROI = (Risque evite - Prime annuelle) / Prime annuelle
Exemple de calcul
Pour une PME de 50 salaries :
- Probabilite d'incident significatif sur 1 an : 15%
- Cout moyen en cas d'incident : 100 000 EUR
- Risque statistique = 15% x 100 000 EUR = 15 000 EUR/an
- Prime d'assurance cyber : 3 000 EUR/an
ROI = (15 000 - 3 000) / 3 000 = 400%
Chaque euro investi en assurance cyber vous protege de 4 euros de risque.
Conclusion : le cout de l'inaction
Le vrai chiffre a retenir : 60% des PME victimes d'une cyberattaque majeure deposent le bilan dans les 18 mois.
Face a ce risque, l'investissement dans la prevention et l'assurance n'est pas un cout, c'est une protection de votre capital, de vos emplois et de votre avenir.
