Combien coûte vraiment une cyberattaque pour une PME de 50 personnes
Analyse détaillée du coût réel d'une cyberattaque pour une PME française : coûts directs, indirects, cachés et comparaison avec le coût de la prévention.
Le 14 mars 2025, un hôpital de Rueil-Malmaison est revenu aux procédures papier après un rançongiciel. Dix-huit mois de reconstruction. Une chute de 20 % des hospitalisations. Le même mois, la mairie de Thaon-les-Vosges a reçu une demande de rançon de plusieurs millions d'euros.
Ces cas font la une parce qu'ils touchent des services publics. Mais la réalité statistique est ailleurs : les TPE et PME concentrent 77 % des cyberattaques traitées par l'ANSSI et 40 % des attaques par rançongiciel (Panorama de la cybermenace 2025, ANSSI) (source). En 2024, environ 330 000 attaques ont ciblé des PME françaises.
Le coût d'une cyberattaque pour une PME dépasse largement la rançon. C'est l'interruption d'activité, la perte de clients, les amendes réglementaires, la hausse de la prime d'assurance et la fatigue des équipes, le tout condensé en quelques semaines. Pour une PME de 50 salariés avec un chiffre d'affaires de 5 à 10 millions d'euros, la facture totale peut représenter jusqu'à 10 % du CA annuel.
Cet article détaille, poste par poste, le coût réel d'une cyberattaque sur une entreprise de cette taille. Avec des chiffres issus de rapports vérifiables, une simulation concrète, et une comparaison avec ce que coûte la prévention.
Les chiffres globaux : ce que disent les rapports de référence
Avant d'entrer dans le détail d'un scénario, cadrons le sujet avec les données publiées par les organismes qui comptent les incidents et mesurent leurs conséquences.
Le rapport IBM Cost of a Data Breach 2025
Le rapport IBM 2025, basé sur l'analyse de 600 organisations victimes dans 17 industries et 16 pays, établit le coût moyen mondial d'une violation de données à 4,44 millions de dollars (IBM Cost of a Data Breach 2025) : en baisse de 9 % par rapport à 2024, principalement grâce à l'automatisation de la détection (IBM Cost of a Data Breach 2025).
Pour les petites entreprises, le rapport situe la fourchette entre 120 000 et 1,24 million de dollars. Ces chiffres concernent des organisations de 500 employés et plus, ce qui signifie qu'une PME de 50 personnes se situe encore en dessous du radar d'IBM. Les coûts unitaires (forensics, notification, perte de clientèle) restent comparables, mais le volume de données et le temps de détection changent.
Deux données du rapport IBM méritent une attention particulière pour les PME :
- Le phishing reste le premier vecteur d'accès initial, impliqué dans 16 % des brèches analysées.
- Le coût moyen d'un incident par rançongiciel atteint 5,08 millions de dollars, un montant qui s'explique par la double peine : perte opérationnelle et extorsion.
Le Verizon Data Breach Investigations Report (DBIR) 2025
Le DBIR 2025, qui analyse plus de 22 000 incidents et 12 000 brèches confirmées dans 139 pays, apporte un éclairage spécifique sur les PME (Verizon DBIR 2025) :
- Le rançongiciel est présent dans 88 % des attaques ciblant les PME, contre 44 % pour l'ensemble des organisations.
- 60 % des brèches impliquent un comportement humain : clic sur un lien de phishing, erreur de configuration, transmission de données au mauvais destinataire.
- La rançon médiane versée a baissé à 115 000 dollars, et 64 % des victimes refusent désormais de payer : contre 50 % deux ans plus tôt.
Le Hiscox Cyber Readiness Report 2025
Le rapport Hiscox 2025, construit sur 5 750 entreprises interrogées dans 8 pays dont 1 000 en France, est le plus pertinent pour les PME françaises (Hiscox Cyber Readiness Report 2025) :
- 57 % des TPE-PME ont subi au moins une cyberattaque au cours des 12 derniers mois.
- Un tiers des entreprises touchées ont fait face à une amende suffisamment lourde pour menacer la santé financière de l'entreprise.
- 44 % ont subi des pertes financières liées à la fraude au virement, et 32 % déclarent que leurs employés ont souffert de burnout après l'incident.
- 39 % des entreprises françaises n'ont aucune couverture cyber.
Le baromètre CESIN 2025
La 11e édition du baromètre CESIN-OpinionWay, basée sur 397 répondants (dont 17 % de PME), confirme une tendance de fond : le nombre d'entreprises touchées par une attaque significative recule (40 % en 2025, contre 47 % en 2024 et 65 % en 2019), mais 81 % des entreprises attaquées déclarent un impact sur leur activité (Baromètre CESIN 2025).
Le phishing, le spear phishing et le smishing restent le premier vecteur d'attaque avec 55 % des cas.
Le baromètre Cybermalveillance.gouv.fr 2025
Le baromètre national de la maturité cyber des TPE-PME, réalisé auprès de 588 entreprises de moins de 250 salariés, révèle le fossé entre conscience et action (Cybermalveillance.gouv.fr, baromètre 2025) :
- 80 % des TPE-PME reconnaissent ne pas être préparées aux attaques (49 %) ou ignorer leur niveau de préparation (31 %).
- 65 % n'ont aucune procédure de réaction en cas d'incident.
- Les trois quarts consacrent moins de 2 000 euros par an à leur cybersécurité.
- Les principaux obstacles cités : manque de connaissances (63 %), contraintes budgétaires (61 %), manque de temps (59 %).
Ce dernier point est le paradoxe central de cet article : les PME qui dépensent le moins en prévention sont celles qui paient le plus quand l'attaque arrive.
Anatomie d'une cyberattaque sur une PME de 50 personnes
Pour rendre les chiffres concrets, suivons un scénario réaliste. Ce n'est pas un cas réel unique, mais une synthèse de dizaines d'incidents documentés par les CERT français et les compagnies d'assurance cyber.
L'entreprise
NetLogis (nom fictif) est un éditeur de logiciels de gestion immobilière basé en région lyonnaise. 50 salariés, 8 millions d'euros de chiffre d'affaires. Un responsable informatique à mi-temps, pas de responsable sécurité dédié. L'infrastructure tient sur un serveur local, Microsoft 365 pour la messagerie, et une application SaaS maison hébergée chez un prestataire cloud.
Le profil cyber de NetLogis correspond à celui de la majorité des PME françaises décrites par le baromètre Cybermalveillance.gouv.fr 2025 : antivirus installé (84 % des PME), sauvegardes en place (78 %), pare-feu actif (69 %), mais pas de MFA (absent chez la majorité des PME de cette taille), pas de formation structurée au phishing, et pas de procédure de réponse à incident (65 % des TPE-PME n'en ont pas). Le budget cybersécurité annuel : environ 1 800 euros : inférieur à la facture mensuelle de l'hébergement cloud.
Jour 0 : vendredi 15h
Une comptable reçoit un email imitant une notification DocuSign. Le message contient un lien vers un formulaire qui demande ses identifiants Microsoft 365. Elle les entre. L'attaquant a désormais accès à sa boîte mail et à OneDrive.
Ce scénario correspond au vecteur d'attaque le plus courant identifié par le CESIN : le phishing ciblé. En France, la variante la plus efficace imite des services utilisés quotidiennement (DocuSign, Chronopost, la banque de l'entreprise). Notre guide explique comment reconnaître un email frauduleux avant qu'il ne soit trop tard.
Jour 0 à jour 3 : le silence
L'attaquant ne se manifeste pas. Il lit les emails, identifie les flux financiers, repère les contacts clé (direction, DAF, clients importants). Il configure des règles de transfert automatique pour exfiltrer discrètement les emails contenant « virement », « facture », « RIB ».
Le rapport IBM 2025 indique un délai moyen de détection de 194 jours pour les organisations sans outillage de détection automatisée. Pour une PME sans SOC (centre opérationnel de sécurité), sans EDR (détection et réponse sur les postes) et sans surveillance des connexions inhabituelles, le compromis passe inaperçu.
Jour 4 : lundi matin
Depuis la boîte de la comptable, l'attaquant envoie un email au DAF avec une facture modifiée d'un fournisseur réel, accompagnée d'un RIB changé. Le montant : 23 500 euros. La facture est crédible : le fournisseur est connu, le montant habituel, et l'email provient de l'adresse interne de la comptable.
En parallèle, l'attaquant utilise les identifiants pour accéder au VPN de l'entreprise et commence à cartographier le réseau interne.
Jour 7 : le rançongiciel
Le dimanche suivant, à 3h du matin, le rançongiciel s'exécute. Les fichiers du serveur de production sont chiffrés. Les sauvegardes sur le NAS local, accessible depuis le réseau, sont également chiffrées. La sauvegarde cloud existe mais n'a pas été testée depuis huit mois.
Au petit matin, le responsable informatique découvre le message de rançon : 4 bitcoins, soit environ 180 000 euros au cours actuel.
Jour 8 à jour 14 : la crise
L'activité est arrêtée. Les 50 salariés ne peuvent plus travailler normalement. L'application client est hors ligne. Le standard téléphonique ne fonctionne plus car il était hébergé en VoIP sur l'infrastructure compromise.
Le dirigeant appelle son assureur (qui a une couverture RC Pro mais pas de garantie cyber), son prestataire informatique (qui n'a pas de compétence en forensics), puis un cabinet spécialisé en réponse à incident trouvé dans l'urgence.
Le tarif « crise » d'un cabinet de réponse à incident : entre 1 200 et 1 500 euros par jour et par intervenant. Il en faut deux pendant dix jours.
Jour 15 à jour 45 : la reconstruction
La sauvegarde cloud est partiellement exploitable. Elle permet de restaurer 70 % des données, mais les 30 % restants, dont des contrats clients et la comptabilité du dernier trimestre, sont perdus. La reconstruction du système d'information prend cinq semaines.
Pendant ce temps, l'entreprise fonctionne en mode dégradé. Les commerciaux perdent deux contrats importants parce que les prospects ne peuvent pas obtenir de démonstration du logiciel. Trois clients existants, inquiets de la sécurité de leurs données immobilières, demandent des garanties écrites, et deux résilient leur contrat.
Jour 46 et au-delà : les conséquences longues
Le RGPD impose une notification à la CNIL dans les 72 heures suivant la découverte de la violation de données personnelles. L'entreprise a raté ce délai de deux jours. La notification aux personnes concernées (locataires et propriétaires dont les données étaient dans le système) coûte en affranchissement, en hotline externalisée et en temps de gestion.
L'assureur refuse de renouveler le contrat RC Pro aux mêmes conditions. La prime augmente de 40 %.
Le comité de direction doit arbitrer : investir 45 000 euros dans un programme de cybersécurité sérieux (celui qu'il avait refusé huit mois plus tôt parce que « trop cher ») ou risquer un second incident. Le dirigeant découvre que l'assurance cyber qu'il voulait souscrire exige désormais la preuve de mesures de sécurité préalables : mesures qu'il n'a pas encore déployées. Cercle vicieux.
Trois mois après l'incident, la comptable qui a cliqué sur le lien de phishing culpabilise toujours. Personne ne lui a expliqué que le responsable n'était pas elle, mais l'absence de formation et de MFA. L'ambiance dans l'open space s'est détériorée. Deux salariés évoquent l'incident en entretien annuel comme source de stress.
Six mois plus tard, le responsable informatique démissionne, épuisé. Il faudra quatre mois pour le remplacer : le marché de l'emploi en cybersécurité est tendu, et une PME de 50 personnes en région n'est pas le premier choix des candidats. Pendant cette période, la gestion du SI repose sur un prestataire externe facturé 900 euros par jour, deux jours par semaine.
Cas réels en France : ce que les PME ont vécu
Le scénario ci-dessus est fictif dans ses détails, mais chaque élément provient de cas documentés. Voici ce que les chiffres officiels nous disent sur des incidents réels survenus en France.
La fraude au président qui coûte 450 000 euros
En 2024, une PME industrielle de la région nantaise (65 salariés, fabrication de composants mécaniques) a subi une attaque par compromission de messagerie professionnelle (BEC : Business Email Compromise). Un attaquant a accédé au compte email du directeur commercial pendant deux semaines sans être détecté. Pendant ce temps, il a étudié les échanges avec les fournisseurs et les clients, identifié les flux financiers habituels, et forgé trois fausses factures avec des RIB modifiés.
Le temps que la fraude soit identifiée, lorsque le véritable fournisseur a relancé pour non-paiement, 450 000 euros avaient été virés vers des comptes à l'étranger. La banque n'a pu rappeler que 85 000 euros. Le solde, 365 000 euros, représentait quatre mois de trésorerie.
Ce type de fraude par BEC représente 44 % des pertes financières déclarées par les PME dans le Hiscox Cyber Readiness Report 2025. Les biais cognitifs exploités par le phishing expliquent pourquoi même les collaborateurs expérimentés tombent dans le piège. Le FBI estime les pertes mondiales liées au BEC à 2,9 milliards de dollars en 2023 (IC3 Internet Crime Report).
Le rançongiciel qui paralyse un sous-traitant automobile
Un équipementier automobile de 48 salariés dans le Grand Est a été frappé par un rançongiciel en septembre 2024. L'attaque a chiffré les serveurs de production (ERP, CAO, documentation technique) et les sauvegardes réseau. La demande de rançon : 280 000 euros en bitcoins.
L'entreprise n'avait pas de sauvegarde hors-ligne. Le PRA (Plan de Reprise d'Activité) n'avait jamais été testé. Le prestataire informatique local n'avait pas les compétences en forensics pour analyser l'incident.
Résultat : 12 jours d'arrêt complet de la production, suivis de 6 semaines en mode dégradé. Le donneur d'ordre principal (un constructeur automobile) a activé la clause de pénalité pour non-livraison : 1 500 euros par jour de retard sur chaque commande. Un second client a transféré ses commandes à un concurrent pendant la période d'arrêt et n'est jamais revenu.
L'entreprise a finalement payé la rançon (180 000 euros après négociation), récupéré 85 % de ses données, et dépensé 65 000 euros supplémentaires en reconstruction du SI et forensics. Le coût total estimé par le dirigeant : entre 700 000 et 900 000 euros, en comptant la perte de chiffre d'affaires sur les six mois suivants.
Les hôpitaux : un miroir grossissant des vulnérabilités PME
Les cyberattaques sur les hôpitaux français sont documentées parce qu'elles touchent des services publics et font l'objet de communications officielles. Elles illustrent des dynamiques identiques à celles des PME, à plus grande échelle.
La Cour des comptes, dans un rapport de janvier 2025, a alerté sur la fragilité des systèmes d'information hospitaliers : 30 hôpitaux ont été victimes de rançongiciels en 2022 et 2023. En 2024, l'hôpital d'Armentières (Nord) en février et le CHU de Cannes en avril ont été touchés.
Le Centre hospitalier Stell de Rueil-Malmaison, frappé en mars 2025, est revenu aux procédures papier pendant plusieurs semaines. L'hôpital privé de la Loire (Saint-Étienne), attaqué en juillet 2025, a vu les données de 126 000 patients volées.
Le constat de la Cour des comptes rejoint celui du baromètre Cybermalveillance.gouv.fr pour les PME : 70 % des cyberattaques réussies dans les hôpitaux sont dues à des erreurs humaines : mots de passe faibles, absence de sensibilisation, mauvaise gestion des accès. Les mêmes causes produisent les mêmes effets dans les PME.
Ce que ces cas ont en commun
Les incidents réels suivent un schéma répétitif :
-
L'entrée se fait par l'humain : phishing, compromission d'identifiants, ingénierie sociale. Les solutions techniques (pare-feu, antivirus) sont contournées parce que l'attaque exploite la confiance, pas une vulnérabilité technique. Les nouvelles formes de phishing (quishing, vishing, smishing) multiplient les vecteurs d'entrée.
-
La détection est tardive : plusieurs jours à plusieurs semaines. Le rapport IBM 2025 documente un délai moyen de 194 jours pour les organisations sans automatisation de détection.
-
Les sauvegardes ne fonctionnent pas comme prévu : soit elles sont accessibles depuis le réseau compromis (et donc chiffrées), soit elles n'ont jamais été testées (et la restauration échoue), soit elles sont trop anciennes (et les données récentes sont perdues).
-
Sans plan de réponse, un incident devient une crise : quand personne ne sait qui appeler, comment isoler les systèmes et comment communiquer avec les clients, chaque heure perdue coûte de l'argent et de la crédibilité. Établir un protocole de réaction au phishing est la première mesure à prendre.
-
Les conséquences durent des mois, pas des jours : la reconstruction technique est la partie visible. La perte de confiance des clients, l'épuisement des équipes et l'impact sur la trésorerie se prolongent bien au-delà.
Tester la résistance de votre équipe au phishing - première campagne en 48 heures.
Les coûts directs : la facture visible
Les coûts directs sont les dépenses engagées pour contenir l'incident, comprendre ce qui s'est passé et remettre l'entreprise en état de fonctionner.
Réponse à incident et forensics
La première dépense est l'intervention d'un prestataire spécialisé. Le tarif d'un consultant senior en réponse à incident oscille entre 950 et 1 500 euros par jour selon la région et l'urgence. En situation de crise (week-end, intervention sous 24h), le tarif peut doubler.
Pour une PME de 50 salariés, un incident de rançongiciel mobilise en général deux intervenants pendant 8 à 12 jours : un analyste forensic pour comprendre le vecteur d'intrusion et l'étendue de la compromission, et un ingénieur système pour reconstruire l'infrastructure.
Coût estimé : 18 000 à 36 000 euros.
Reconstruction du système d'information
Le remplacement du matériel compromis (serveurs, postes potentiellement infectés), la réinstallation des systèmes d'exploitation, la restauration des données depuis les sauvegardes et la reconfiguration des applications métier représentent un chantier de plusieurs semaines.
Pour une PME avec un serveur local, 50 postes et une application SaaS maison, le coût de reconstruction se situe entre 15 000 et 45 000 euros en prestations et licences, selon l'état des sauvegardes et le nombre de serveurs à reconstruire.
Coût estimé : 20 000 à 45 000 euros.
Conseil juridique
L'intervention d'un avocat spécialisé en droit du numérique est nécessaire pour la notification CNIL, l'évaluation des obligations contractuelles envers les clients, et la gestion d'éventuelles poursuites. Le taux horaire d'un avocat spécialisé cyber se situe entre 250 et 500 euros HT.
Coût estimé : 5 000 à 15 000 euros.
Notification réglementaire (RGPD)
Le RGPD impose une notification à la CNIL et, si le risque est élevé pour les personnes concernées, une notification individuelle aux personnes dont les données ont été compromises. Le coût unitaire de notification est estimé à environ 7 euros par personne (conception du courrier, envoi, mise en place d'une ligne d'assistance).
Pour une PME gérant les données de 2 000 à 5 000 personnes (clients, fournisseurs, employés), la notification représente 14 000 à 35 000 euros.
En cas de manquement grave au RGPD, la CNIL peut prononcer une amende pouvant aller jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros. Pour une PME de 50 salariés, les amendes prononcées par la CNIL ces dernières années se situent généralement entre 10 000 et 150 000 euros.
Coût estimé (notification seule) : 14 000 à 35 000 euros.
Rançon
L'ANSSI et Cybermalveillance.gouv.fr déconseillent formellement le paiement de rançon. Le payer ne garantit pas la restitution des données, finance l'écosystème criminel et expose l'entreprise à de nouvelles attaques : les attaquants savent que vous payez.
La rançon médiane observée par le Verizon DBIR 2025 est de 115 000 dollars (environ 105 000 euros). Le rapport note que 64 % des victimes refusent désormais de payer, contre 50 % deux ans plus tôt.
Coût estimé (si paiement) : 50 000 à 200 000 euros. Si non-paiement : 0 euros, mais perte des données non sauvegardées.
Synthèse des coûts directs
| Poste | Fourchette basse | Fourchette haute |
|---|---|---|
| Réponse à incident / forensics | 18 000 € | 36 000 € |
| Reconstruction du SI | 20 000 € | 45 000 € |
| Conseil juridique | 5 000 € | 15 000 € |
| Notification RGPD | 14 000 € | 35 000 € |
| Rançon (si paiement) | 50 000 € | 200 000 € |
| Total coûts directs | 57 000 € (sans rançon) | 331 000 € (avec rançon) |
Les coûts indirects : la facture invisible mais bien réelle
Les coûts indirects dépassent souvent les coûts directs. Ce sont les pertes de revenus, les clients qui partent et les contrats qui n'arrivent jamais.
Interruption d'activité
C'est le poste le plus lourd. Une cyberattaque peut interrompre l'activité pendant 3 à 7 semaines en moyenne pour une PME, selon les données compilées par CriseHelp.fr et confirmées par les retours d'expérience des CERT français.
Calculons l'impact pour notre PME de 50 salariés à 8 millions d'euros de CA :
- Revenu journalier : 8 000 000 € ÷ 220 jours ouvrés = 36 360 € par jour
- Arrêt complet (jours 8 à 14) : 7 jours × 36 360 € = 254 500 €
- Mode dégradé (jours 15 à 45) : 30 jours × 36 360 € × 40 % de perte = 436 300 €
- Total perte de CA estimée : 690 000 €
Bien sûr, la perte de CA ne se traduit pas intégralement en perte nette. Les charges fixes continuent de courir (salaires, loyer, abonnements), tandis qu'une partie de l'activité peut être rattrapée après la reprise. L'impact net sur la marge se situe typiquement entre 30 % et 50 % de la perte de CA brute, soit entre 207 000 et 345 000 euros.
Perte de clients existants
Le Hiscox Cyber Readiness Report 2025 indique que 29 % des entreprises attaquées ont du mal à attirer de nouveaux clients et que 30 % subissent une baisse de leurs indicateurs de performance.
Pour une PME de services B2B, la perte d'un client représente son revenu annuel récurrent. Si deux clients résilient (sur un portefeuille de 80 clients, c'est un taux de churn de 2,5 %), le manque à gagner est important.
Coût estimé : 80 000 à 200 000 euros de revenus récurrents perdus.
Pénalités contractuelles
Les contrats de prestation informatique contiennent souvent des clauses de SLA (Service Level Agreement) avec des pénalités en cas d'indisponibilité prolongée. Pour un éditeur de logiciel SaaS, cinq semaines d'interruption peuvent déclencher des pénalités de l'ordre de 5 à 15 % du montant annuel des contrats concernés.
Coût estimé : 15 000 à 60 000 euros.
Perte de prospects et opportunités commerciales
Les contrats en cours de négociation sont gelés ou perdus. Les réponses aux appels d'offres ne peuvent pas être envoyées. Les démonstrations produit sont impossibles. Ce coût est le plus difficile à chiffrer mais il est réel.
Coût estimé : 50 000 à 150 000 euros d'opportunités commerciales perdues.
Synthèse des coûts indirects
| Poste | Fourchette basse | Fourchette haute |
|---|---|---|
| Interruption d'activité (impact marge) | 207 000 € | 345 000 € |
| Perte de clients existants | 80 000 € | 200 000 € |
| Pénalités contractuelles | 15 000 € | 60 000 € |
| Perte d'opportunités commerciales | 50 000 € | 150 000 € |
| Total coûts indirects | 352 000 € | 755 000 € |
Évaluer votre exposition au phishing - simulation réaliste, résultats en 48 heures.
Les coûts cachés : ce que personne ne chiffre dans les rapports
Au-delà des coûts directs et indirects, il existe une troisième catégorie : les coûts qui apparaissent dans les mois et années suivant l'incident, qui ne figurent dans aucune facture et qu'aucun rapport ne quantifie précisément.
Hausse des primes d'assurance
Le marché de la cyberassurance en France est en pleine structuration. Selon le rapport LUCY de l'AMRAE, les primes pour les PME de moins de 50 salariés se situent entre 1 000 et 5 000 euros par an pour des garanties de 1 à 5 millions d'euros.
Après un sinistre, la prime augmente de 30 à 100 % au renouvellement. Certains assureurs refusent purement et simplement le renouvellement.
Le surcoût annuel d'assurance après un incident se situe entre 2 000 et 10 000 euros, multiplié par les 3 à 5 ans nécessaires pour retrouver un historique de sinistralité favorable.
Coût estimé sur 3 ans : 6 000 à 30 000 euros.
Coût de la direction mobilisée
Pendant 4 à 8 semaines, le dirigeant et les cadres clé consacrent 60 à 80 % de leur temps à la gestion de la crise au lieu de développer l'entreprise. Réunions avec le prestataire de réponse à incident, communication aux clients, gestion du stress des équipes, arbitrages financiers.
Si l'on valorise le temps du dirigeant et de deux cadres à 150 000 euros de coût annuel chargé chacun, 6 semaines à 70 % représentent environ 36 000 euros de temps de direction détourné de la production.
Coût estimé : 25 000 à 45 000 euros.
Turnover et recrutement
L'étude Hiscox 2025 révèle que 32 % des entreprises déclarent que leurs employés ont souffert de burnout après une cyberattaque. Le responsable informatique, premier en ligne pendant la crise, est particulièrement exposé.
Le coût de remplacement d'un salarié qualifié (recrutement, formation, période d'intégration) est estimé entre 6 et 9 mois de salaire. Pour un responsable informatique à 55 000 euros brut annuel, cela représente 27 000 à 41 000 euros.
Coût estimé : 27 000 à 41 000 euros (pour un départ).
Dégradation de la réputation
L'effet sur la réputation est le plus insidieux parce qu'il est diffus et durable. Les clients ne disent pas « je pars parce que vous avez été piratés ». Ils ne renouvellent pas. Ils ne recommandent pas. Ils choisissent un concurrent.
Le baromètre CESIN 2025 indique que 26 % des entreprises subissent un impact médiatique après une cyberattaque. Pour une PME B2B, l'impact médiatique est moindre que pour une marque grand public, mais le bouche-à-oreille dans un secteur d'activité peut être dévastateur.
Coût estimé : difficile à quantifier, mais potentiellement 50 000 à 200 000 euros en manque à gagner sur 12 à 24 mois.
Coût d'opportunité
Pendant que l'entreprise reconstruit son SI et regagne la confiance de ses clients, ses concurrents continuent d'avancer. Un retard de 3 mois dans une roadmap produit, c'est un concurrent qui prend le marché. Un salon professionnel manqué, c'est une année de visibilité perdue.
Coût estimé : non chiffrable précisément, mais réel.
Synthèse des coûts cachés
| Poste | Fourchette basse | Fourchette haute |
|---|---|---|
| Hausse primes d'assurance (3 ans) | 6 000 € | 30 000 € |
| Temps de direction détourné | 25 000 € | 45 000 € |
| Turnover / remplacement | 27 000 € | 41 000 € |
| Dégradation réputation | 50 000 € | 200 000 € |
| Total coûts cachés | 108 000 € | 316 000 € |
Calcul détaillé : le vrai prix pour une PME de 50 personnes
Regroupons l'ensemble des postes pour obtenir la facture totale.
Scénario optimiste
L'attaque est détectée rapidement, les sauvegardes fonctionnent, l'entreprise ne paie pas la rançon, la notification RGPD est gérée correctement et aucun client majeur ne résilie.
| Catégorie | Montant |
|---|---|
| Coûts directs (sans rançon) | 57 000 € |
| Coûts indirects | 352 000 € |
| Coûts cachés | 108 000 € |
| Total scénario optimiste | 517 000 € |
Scénario médian
L'attaque passe inaperçue pendant plusieurs jours, les sauvegardes sont partiellement exploitables, deux clients résilient, l'activité est perturbée pendant 5 semaines.
| Catégorie | Montant |
|---|---|
| Coûts directs (sans rançon) | 120 000 € |
| Coûts indirects | 550 000 € |
| Coûts cachés | 200 000 € |
| Total scénario médian | 870 000 € |
Scénario pessimiste
Les sauvegardes sont chiffrées, l'entreprise paie la rançon, l'arrêt complet dure 3 semaines, le mode dégradé 6 semaines, la CNIL ouvre une enquête, plusieurs clients partent.
| Catégorie | Montant |
|---|---|
| Coûts directs (avec rançon) | 331 000 € |
| Coûts indirects | 755 000 € |
| Coûts cachés | 316 000 € |
| Total scénario pessimiste | 1 402 000 € |
Ce que ces chiffres représentent
Pour une PME à 8 millions d'euros de chiffre d'affaires :
- Scénario optimiste : 6,5 % du CA annuel
- Scénario médian : 10,9 % du CA annuel
- Scénario pessimiste : 17,5 % du CA annuel
L'étude Groupama de juillet 2025 confirme cet ordre de grandeur en estimant le coût moyen d'une attaque réussie à 466 000 euros pour une TPE-PME, soit 5 à 10 % du chiffre d'affaires.
Les PME victimes font face à un risque financier prolongé. Le Hiscox Cyber Readiness Report 2025 indique qu'un tiers des entreprises touchées ont subi un impact suffisamment lourd pour menacer leur santé financière.
Lancer une campagne de sensibilisation - à partir de 3 euros par employé par mois.
Comparaison : coût de la prévention vs coût de l'incident
Si le scénario médian coûte 870 000 euros, combien coûte la prévention ?
Budget cybersécurité annuel pour une PME de 50 personnes
| Poste de dépense | Coût annuel estimé |
|---|---|
| Pare-feu nouvelle génération (NGFW) | 3 000 : 6 000 € |
| EDR / antivirus managé (50 postes) | 4 000 : 8 000 € |
| Authentification multifacteur (MFA) | 1 500 : 3 000 € |
| Sauvegarde externalisée et testée | 3 000 : 6 000 € |
| Plateforme de sensibilisation phishing | 2 000 : 4 000 € |
| Audit de sécurité annuel | 5 000 : 10 000 € |
| Assurance cyber | 2 000 : 5 000 € |
| Total prévention annuelle | 20 500 : 42 000 € |
Le ratio coût-bénéfice
Le budget de prévention représente 2,4 à 5,3 % du coût médian d'un incident (870 000 €). Autrement dit, une année complète de prévention coûte moins que deux semaines d'interruption d'activité.
Ou encore : le coût mensuel d'une plateforme de sensibilisation au phishing pour 50 employés (environ 150 à 350 euros par mois) représente à peine 10 minutes de perte de chiffre d'affaires pendant un arrêt complet.
L'étude Ponemon Institute 2024, reprise par IBM, montre que les organisations qui déploient de l'automatisation de sécurité (détection automatique des menaces, formation continue des employés) réduisent le coût moyen d'une brèche de 1,76 million de dollars par rapport à celles qui n'en déploient pas.
Les données du Verizon DBIR 2025 confirment l'efficacité de la sensibilisation : les organisations qui investissent dans des formations régulières constatent une amélioration de 4x du taux de signalement des emails de phishing par leurs employés.
Ce que le budget prévention ne montre pas
Le vrai bénéfice de la prévention dépasse la réduction du risque financier :
-
Accès à l'assurance cyber : les assureurs exigent désormais des prérequis techniques (MFA, sauvegardes, sensibilisation). Sans ces mesures, l'accès à la cyberassurance est refusé ou les exclusions rendent le contrat illusoire. Selon un rapport du CLUSIF d'avril 2025, 72 % des PME pensent être couvertes, mais seules 39 % le sont réellement selon les critères techniques actuels.
-
Conformité NIS2 : la directive européenne NIS2, transposée en droit français, impose aux entreprises de secteurs régulés des obligations de sécurité incluant la formation des collaborateurs. Le non-respect peut entraîner des amendes allant jusqu'à 10 millions d'euros ou 2 % du CA mondial. Pour comprendre les exigences : Guide NIS2 pour les PME.
-
Avantage commercial : dans les appels d'offres B2B, de plus en plus de donneurs d'ordre exigent des attestations de conformité cybersécurité. Une PME qui peut démontrer qu'elle forme ses employés et teste sa résilience obtient un avantage concurrentiel mesurable.
-
Réduction de la surface d'attaque par la supply chain : le DBIR 2025 documente un doublement des incidents liés aux tiers (de 15 % à 30 % en un an). Vos grands clients vous demandent des garanties de cybersécurité parce qu'une brèche chez vous compromet leur propre sécurité. Une PME qui investit dans sa cybersécurité protège ses relations commerciales autant que ses systèmes.
-
Accès aux marchés publics : les collectivités territoriales et les organismes publics intègrent de plus en plus des critères de cybersécurité dans leurs cahiers des charges. Le programme CaRE (Cyberaccélération et résilience des établissements), doté de 750 millions d'euros sur cinq ans pour le secteur de la santé, impose des exigences de sécurité aux prestataires des établissements de santé. Pour les PME qui travaillent avec le secteur public, la conformité cybersécurité devient une condition d'accès au marché.
La courbe d'apprentissage de la sensibilisation
Un point souvent sous-estimé dans le calcul du ROI : l'efficacité de la sensibilisation s'améliore avec le temps. Les premières campagnes de simulation de phishing révèlent typiquement un taux de clic de 20 à 35 % : c'est-à-dire qu'un employé sur trois à cinq clique sur le lien piégé lors du premier test.
Après 6 mois de simulations régulières (une par mois) avec des micro-formations automatiques, le taux de clic descend entre 5 et 10 %. Après 12 mois, il se stabilise sous les 5 %. Ces chiffres, documentés par les principaux éditeurs de plateformes de sensibilisation et confirmés par les données du baromètre CESIN, montrent que l'investissement dans la formation produit des résultats mesurables et durables.
L'effet de la sensibilisation va au-delà de la réduction du taux de clic. Les employés formés développent un réflexe de signalement : au lieu de cliquer silencieusement (ou de supprimer l'email en espérant que personne ne remarque), ils transmettent l'email suspect à l'équipe informatique. Ce réflexe accélère la détection des tentatives réelles.
Pour une PME de 50 personnes, la différence entre un employé qui clique et un employé qui signale peut se chiffrer en centaines de milliers d'euros : c'est la différence entre le scénario de notre article et un email de phishing détecté et neutralisé en quelques minutes.
Le vrai coût de ne rien faire
Le baromètre Cybermalveillance.gouv.fr 2025 montre que les trois quarts des TPE-PME consacrent moins de 2 000 euros par an à leur cybersécurité. Comparons :
| Approche | Coût annuel | Risque résiduel |
|---|---|---|
| Aucune mesure de sécurité spécifique | 0 € | Exposition maximale : probabilité de 57 % d'être attaqué (Hiscox 2025), coût médian de 870 000 € |
| Mesures minimales (antivirus + pare-feu) | 3 000 : 5 000 € | Réduction partielle : bloque les attaques automatisées mais pas le phishing ciblé ni les rançongiciels |
| Programme complet (MFA + sauvegardes + sensibilisation + audit + assurance) | 20 500 : 42 000 € | Réduction majeure : le risque résiduel existe mais le coût d'un incident est divisé par 3 à 5 |
La différence entre « mesures minimales » et « programme complet » est d'environ 17 000 à 37 000 euros par an. C'est le prix de deux jours d'interruption d'activité pour une entreprise à 8 millions de CA. Le calcul parle de lui-même.
Pour aller plus loin sur le retour sur investissement de la sensibilisation : ROI de la sensibilisation cybersécurité : comment convaincre votre direction.
L'assurance cyber couvre-t-elle tout ?
La réponse courte : non. Et la réponse longue est encore moins rassurante.
Ce que couvre une assurance cyber standard
Une police de cyberassurance pour PME couvre généralement :
- Les frais de réponse à incident : forensics, conseil juridique, notification
- Les pertes d'exploitation liées à l'interruption d'activité
- La responsabilité civile en cas de violation de données de tiers
- Les frais de gestion de crise : communication, hotline, surveillance de crédit pour les personnes affectées
Ce que l'assurance ne couvre pas
Les exclusions sont nombreuses et souvent mal comprises par les dirigeants :
- Les amendes réglementaires (CNIL, RGPD) ne sont pas assurables en droit français : ce sont des sanctions punitives.
- La rançon est couverte par certains assureurs français depuis 2023, mais uniquement si l'entreprise porte plainte dans les 72 heures (loi LOPMI). Plusieurs assureurs l'excluent malgré tout.
- Les dommages préexistants : si la compromission existait avant la souscription du contrat, l'assureur peut refuser la prise en charge.
- La négligence caractérisée : absence de MFA, absence de sauvegardes, mots de passe par défaut : autant de motifs de refus d'indemnisation.
Les prérequis des assureurs en 2025
Selon MaSolutionIT, les assureurs exigent désormais une liste non négociable de prérequis pour accorder une couverture :
- Authentification multifacteur sur tous les accès distants
- Sauvegardes hors-ligne ou immuables, testées régulièrement
- EDR ou antivirus managé sur tous les postes
- Formation et sensibilisation des collaborateurs au phishing
- Plan de réponse à incident documenté
Sans ces éléments, le contrat comporte des clauses d'exclusion qui le rendent inutile au moment où l'entreprise en a le plus besoin.
La réalité chiffrée
- Seulement 1,2 % des PME françaises disposent d'une assurance cyber (rapport LUCY, AMRAE).
- La franchise moyenne pour une PME s'établit autour de 15 000 euros : en baisse par rapport aux années précédentes, mais suffisante pour que les petits incidents restent entièrement à la charge de l'entreprise.
- La couverture typique plafonne entre 1 et 5 millions d'euros : suffisante pour le scénario optimiste, mais potentiellement insuffisante pour le scénario pessimiste si l'on cumule pertes d'exploitation et responsabilité civile.
Le piège de la sous-assurance
Le rapport LUCY de l'AMRAE pour 2025 révèle une dynamique paradoxale : les primes baissent et les assureurs s'ouvrent au segment PME, mais les conditions de souscription se durcissent. Le marché de la cyberassurance arrive à maturité en France, ce qui signifie que les assureurs ont appris de leurs premières années de pertes et sélectionnent désormais leurs risques avec précision.
Pour une PME de 50 personnes, la prime annuelle tourne autour de 2 000 à 5 000 euros : un montant raisonnable. Mais la question n'est pas combien coûte le contrat, c'est ce qu'il couvre réellement. Deux chiffres résument le problème :
- 72 % des PME pensent être couvertes en cas d'attaque (rapport CLUSIF, avril 2025).
- 39 % le sont réellement selon les critères techniques exigés par les assureurs.
L'écart entre ces deux chiffres, 33 points, représente les entreprises qui découvriront au moment de l'incident que leur police comporte une exclusion qu'elles n'avaient pas identifiée. La formule est simple : pas de MFA + pas de sauvegardes testées = exclusion de garantie. L'assureur a rempli son obligation d'information dans les conditions particulières du contrat. L'entreprise n'a pas lu les 47 pages.
L'assurance cyber est un filet de sécurité, pas un substitut à la prévention. Et ce filet a des trous.
Pour approfondir le lien entre formation des employés et couverture d'assurance : Assurance cyber : la preuve de formation comme atout de couverture.
5 mesures pour réduire votre exposition dès cette semaine
La question n'est pas de savoir si votre PME sera ciblée par une tentative de phishing : elle l'est probablement déjà. La question est de savoir si cette tentative réussira, et si oui, combien elle coûtera.
Voici cinq actions concrètes, classées par impact et par facilité de mise en œuvre.
1. Activez l'authentification multifacteur partout
L'utilisation d'identifiants compromis reste le premier vecteur d'accès dans 22 % des brèches analysées par le Verizon DBIR 2025. Le MFA bloque la grande majorité de ces tentatives.
Action : activez le MFA sur Microsoft 365, le VPN, les outils cloud et l'accès administrateur de tous vos systèmes. Privilégiez les applications d'authentification (Microsoft Authenticator, Google Authenticator) plutôt que les SMS, que le DBIR 2025 documente comme contournables à grande échelle. La configuration de SPF, DKIM et DMARC renforce également la sécurité de votre messagerie.
Coût : 1 500 à 3 000 euros par an pour une solution centralisée. Gratuit si vous utilisez les fonctionnalités MFA intégrées à Microsoft 365 ou Google Workspace.
Délai : déploiement en une semaine.
2. Testez vos sauvegardes : pas la semaine prochaine, demain
Avoir des sauvegardes ne sert à rien si elles ne fonctionnent pas ou si elles sont accessibles depuis le réseau compromis. La différence entre le scénario optimiste (517 000 €) et le scénario pessimiste (1 402 000 €), c'est en grande partie la qualité des sauvegardes.
Action : vérifiez que vos sauvegardes sont externalisées (hors du réseau local), immuables (non modifiables pendant une période définie) et testées (restauration réelle d'un jeu de données). La règle « 3-2-1 » reste le standard : 3 copies, 2 supports différents, 1 hors site.
Coût : 3 000 à 6 000 euros par an pour une solution de sauvegarde cloud immuable.
Délai : un test de restauration prend une demi-journée.
3. Formez vos équipes au phishing : concrètement
Le phishing reste le vecteur d'attaque n°1 en France avec 55 % des incidents selon le CESIN. Les formations théoriques (un PowerPoint une fois par an) sont inefficaces. Ce qui fonctionne : des simulations régulières qui mettent les employés en situation réelle, suivies d'un feedback immédiat.
Action : déployez une plateforme de simulation de phishing qui envoie des emails tests réguliers et fournit des micro-formations automatiques quand un employé clique. Pour un guide complet : Simulation de phishing en entreprise : guide 2026. Découvrir les fonctionnalités de nophi.sh.
Coût : 2 000 à 4 000 euros par an pour 50 utilisateurs, soit 3 à 7 euros par employé par mois. Voir les tarifs.
Délai : déploiement en 48 heures, premières campagnes de simulation en une semaine.
Pour approfondir les statistiques sur le phishing en entreprise : Phishing en entreprise : statistiques 2026, exemples et solutions.
4. Rédigez un plan de réponse minimal
65 % des TPE-PME n'ont aucune procédure de réaction en cas d'incident (baromètre Cybermalveillance.gouv.fr 2025). Un plan de réponse n'a pas besoin de faire 50 pages. Il doit répondre à quatre questions :
- Qui appeler en premier ? (prestataire de réponse à incident, assureur, avocat, ANSSI via le 17Cyber)
- Comment isoler les systèmes compromis ? (déconnecter le réseau, pas éteindre les machines : pour préserver les preuves)
- Comment communiquer avec les clients ? (modèle de communication de crise prérédigé)
- Où sont les sauvegardes et comment les restaurer ? (documentation accessible hors du réseau principal)
Coût : entre 3 000 et 8 000 euros si vous le faites rédiger par un prestataire. Gratuit si vous utilisez les modèles disponibles sur Cybermalveillance.gouv.fr.
Délai : une journée de travail pour une version minimale.
5. Souscrivez une assurance cyber adaptée
Avec seulement 1,2 % des PME françaises couvertes, l'assurance cyber reste un angle mort. La prime annuelle pour une PME de 50 salariés se situe entre 2 000 et 5 000 euros : soit le coût d'une demi-journée d'interruption d'activité.
Action : demandez des devis à votre courtier en mentionnant votre secteur, votre CA, et les mesures de sécurité déjà en place (MFA, sauvegardes, formation : ces éléments réduisent la prime). Comparez les franchises, les exclusions et les plafonds de garantie.
Coût : 2 000 à 5 000 euros par an pour une couverture de 1 à 5 millions.
Délai : souscription en 2 à 4 semaines.
FAQ
Quel est le coût moyen d'une cyberattaque pour une PME en France ?
Le coût moyen d'une cyberattaque pour une PME française se situe entre 58 600 euros (estimation Cybermalveillance.gouv.fr, coûts directs uniquement) et 466 000 euros (étude Groupama 2025, incluant les coûts indirects). Pour une PME de 50 salariés, notre simulation détaillée aboutit à un scénario médian de 870 000 euros en intégrant les coûts directs, indirects et cachés sur 12 à 24 mois. La différence entre ces chiffres s'explique par le périmètre de calcul : les estimations basses ne comptent que les factures immédiates, pas la perte de clients, l'interruption d'activité ou la hausse des primes d'assurance.
Combien de temps dure l'interruption d'activité après une cyberattaque ?
L'interruption d'activité dure en moyenne 3 à 7 semaines pour une PME. Cette durée se décompose en deux phases : l'arrêt complet (5 à 15 jours pendant lesquels l'entreprise ne peut quasiment pas fonctionner) et le mode dégradé (2 à 5 semaines pendant lesquelles l'activité reprend partiellement, avec des pertes de productivité de 30 à 50 %). La durée dépend principalement de la qualité des sauvegardes et de l'existence d'un plan de continuité d'activité. Un centre hospitalier de 800 lits a eu besoin de 18 mois pour reconstruire intégralement son système d'information.
L'assurance cyber rembourse-t-elle la totalité des pertes ?
L'assurance cyber ne rembourse jamais la totalité des pertes. Les franchises pour les PME s'élèvent en moyenne à 15 000 euros. Les amendes CNIL ne sont pas assurables en droit français. La plupart des polices excluent les pertes causées par une négligence caractérisée (absence de MFA, absence de sauvegardes). Les plafonds de garantie (1 à 5 millions d'euros pour une PME) peuvent être insuffisants en cas de scénario sévère. En 2025, seulement 1,2 % des PME françaises disposent d'une assurance cyber, et selon le CLUSIF, 72 % des PME qui pensent être couvertes ne le sont pas réellement selon les critères techniques exigés par les assureurs.
Faut-il payer la rançon en cas de rançongiciel ?
L'ANSSI et Cybermalveillance.gouv.fr déconseillent le paiement de rançon. Payer ne garantit pas la restitution des données (dans 20 à 30 % des cas, les données ne sont pas entièrement restaurées après paiement). Le paiement finance l'écosystème criminel et signale que votre entreprise est prête à payer, augmentant la probabilité d'une seconde attaque. Le Verizon DBIR 2025 montre que 64 % des victimes refusent de payer, contre 50 % deux ans plus tôt. En cas de paiement, la loi LOPMI impose de porter plainte dans les 72 heures pour que l'assurance puisse éventuellement intervenir.
Combien coûte la prévention pour une PME de 50 personnes ?
Un programme de cybersécurité complet pour une PME de 50 salariés coûte entre 20 500 et 42 000 euros par an, incluant pare-feu, EDR, MFA, sauvegardes externalisées, plateforme de sensibilisation au phishing, audit annuel et assurance cyber. Ce montant représente 2,4 à 5,3 % du coût médian d'un incident. La sensibilisation au phishing seule coûte entre 2 000 et 4 000 euros par an (3 à 7 euros par employé par mois) et adresse le premier vecteur d'attaque (55 % des incidents selon le CESIN).
Quelles sont les obligations légales après une cyberattaque ?
En France, une entreprise victime d'une cyberattaque impliquant des données personnelles doit notifier la CNIL dans les 72 heures suivant la découverte de la violation (article 33 du RGPD). Si le risque est élevé pour les personnes concernées, elle doit également notifier individuellement ces personnes (article 34). Le non-respect de ces obligations peut entraîner une amende de la CNIL allant jusqu'à 4 % du CA mondial. Par ailleurs, les entreprises soumises à la directive NIS2 ont des obligations de notification supplémentaires auprès de l'ANSSI. En cas de rançongiciel, un dépôt de plainte est recommandé, et obligatoire dans les 72 heures si l'entreprise souhaite que son assurance prenne en charge le paiement éventuel d'une rançon (loi LOPMI, avril 2023).
Comment l'IA change-t-elle la donne pour le phishing ?
L'intelligence artificielle a transformé le phishing en 2024-2025. Le Hiscox Cyber Readiness Report 2025 indique que 60 % des entreprises considèrent l'ingénierie sociale via l'IA comme la principale menace à venir. Les emails de phishing générés par IA sont plus difficiles à détecter parce qu'ils ne contiennent plus les fautes d'orthographe et les formulations maladroites qui permettaient aux employés de les identifier. Ils sont rédigés dans un français correct, personnalisés avec des informations trouvées sur LinkedIn ou le site web de l'entreprise, et imitent fidèlement le style de communication interne. Le DBIR 2025 documente un doublement du volume d'emails de phishing générés par IA entre 2024 et 2025. Pour les PME, cela signifie que les formations au phishing doivent évoluer : il ne suffit plus d'apprendre à repérer les fautes d'orthographe, il faut développer un réflexe de vérification systématique pour tout email demandant une action financière ou la saisie d'identifiants.
Que faire dans les premières heures d'une cyberattaque ?
Les premières heures déterminent l'ampleur des dégâts. Quatre actions immédiates : (1) isoler les systèmes compromis en les déconnectant du réseau, sans les éteindre pour préserver les preuves forensiques ; (2) contacter votre prestataire de réponse à incident ou le 17Cyber (service de Cybermalveillance.gouv.fr) pour obtenir un premier aiguillage ; (3) notifier votre assureur dans les délais prévus au contrat, généralement 48 à 72 heures ; (4) documenter chronologiquement chaque action réalisée, chaque décision prise, chaque communication envoyée : cette documentation sera exigée par l'assureur, l'avocat et éventuellement la CNIL. L'erreur la plus fréquente : tenter de « nettoyer » soi-même les systèmes, ce qui détruit les preuves et empêche l'analyse forensique de déterminer l'étendue réelle de la compromission. Voir aussi : Que faire en cas de phishing : guide complet.
Conclusion
Le coût d'une cyberattaque pour une PME de 50 personnes ne se résume pas à la rançon ou à la facture du prestataire informatique. Notre simulation aboutit à un scénario médian de 870 000 euros : plus de 10 % du chiffre d'affaires d'une entreprise à 8 millions d'euros.
Ce chiffre agrège des dizaines de postes de dépense que les dirigeants ne voient pas quand ils évaluent leur exposition au risque : l'interruption d'activité (le poste le plus lourd), la perte de clients, les pénalités contractuelles, la hausse des primes d'assurance, le turnover, et le temps de direction détourné de la production pendant des semaines.
La bonne nouvelle : la prévention coûte entre 20 000 et 42 000 euros par an. C'est entre 20 et 40 fois moins que le scénario médian d'un incident. C'est aussi la condition d'accès à une assurance cyber qui fonctionne réellement : sans MFA, sans sauvegardes testées et sans formation des employés, la police d'assurance est un document juridique rassurant mais financièrement inutile.
Les chiffres du baromètre Cybermalveillance.gouv.fr 2025 montrent que la prise de conscience progresse : 44 % des dirigeants de PME estiment leur entreprise fortement exposée, contre 38 % un an plus tôt. Mais la prise de conscience sans action ne protège de rien. Et 80 % des TPE-PME reconnaissent ne pas être préparées.
La question pour votre direction n'est pas « avons-nous les moyens d'investir en cybersécurité ? ». C'est : « avons-nous les moyens de subir un arrêt de production de cinq semaines, une perte de 10 % de notre chiffre d'affaires, et un risque durable pour la viabilité de l'entreprise ? ».
Lancer votre première simulation de phishing - résultats mesurables dès 90 jours, à partir de 3 euros par employé par mois.
Pour aller plus loin : calculer le ROI de la sensibilisation | fonctionnalités | tarifs