Skip to content
Retour au blog
ransomwarecoûtcybersécuritéFrancePME

Le coût réel du ransomware en France : chiffres, témoignages et réalité terrain

Analyse complète du coût d'une attaque par ransomware en France : coûts directs, opérationnels, juridiques, réputationnels et cachés. Cas Manutan, Sopra Steria, Saint-Gobain, CHSF, Lise Charmel, Clestra.

Thomas Ferreira58 min de lecture

En février 2021, un samedi matin, les 2 400 employés de Manutan arrivent au bureau lundi et découvrent que rien ne fonctionne. Pas d'email, pas d'ERP, pas de prise de commande. Le distributeur de fournitures de bureau et d'équipements industriels vient d'être frappé par le ransomware DarkSide. L'attaque a chiffré les serveurs, paralysé les entrepôts, coupé la téléphonie. Il faudra 10 jours pour rétablir un accès minimal aux commandes. Coût final déclaré par la direction : 20 millions d'euros.

Vingt millions. Pour une entreprise de 800 millions d'euros de chiffre d'affaires, c'est 2,5 % du CA annuel parti en fumée. Et Manutan n'est pas un cas isolé en France. Sopra Steria, Saint-Gobain, le Centre Hospitalier Sud Francilien, Lise Charmel, Clestra : chaque année, des entreprises françaises de toutes tailles tombent sous les coups de ransomwares, avec des factures qui se comptent en millions, parfois en centaines de millions.

Pourtant, quand on parle du coût du ransomware, le débat se focalise presque toujours sur la rançon elle-même. Faut-il payer ? Combien demandent-ils ? C'est passer à côté de l'essentiel. La rançon représente rarement plus de 10 à 15 % du coût total d'une attaque. Le reste, c'est l'interruption d'activité, la reconstruction des systèmes, les frais juridiques, la perte de clients, la hausse des primes d'assurance et l'usure des équipes.

Cet article décortique le coût réel d'un ransomware en France, poste par poste. Avec des données vérifiables (ANSSI, CESIN, IBM, Coveware, Hiscox), des cas concrets d'entreprises françaises, et un regard critique sur ce que les chiffres globaux ne disent pas. Si vous cherchez une analyse plus centrée sur les PME, voir aussi Combien coûte une cyberattaque pour une PME de 50 personnes.

Le ransomware en France en 2025-2026 : état des lieux chiffré

Commençons par les données macro. Le Panorama de la cybermenace 2025 de l'ANSSI place le ransomware comme la menace n°1 pour les organisations françaises, tous secteurs confondus. L'agence a traité plus de 4 386 événements de sécurité en 2024, dont une proportion stable d'attaques par rançongiciel ciblant des collectivités, des établissements de santé et des PME.

Le baromètre CESIN 2025 (OpinionWay, 397 répondants) indique que 40 % des entreprises membres ont subi au moins une attaque réussie en 2024. Le ransomware y figure dans 17 % des incidents déclarés, un chiffre en recul par rapport aux années précédentes mais qui s'explique par la montée en puissance d'autres vecteurs (compromission de comptes, attaques via la supply chain) et non par un recul des rançongiciels eux-mêmes.

À l'international, le rapport Verizon DBIR 2025 confirme que le ransomware reste présent dans 44 % des brèches analysées et dans 88 % des incidents ciblant des PME. Le rapport IBM Cost of a Data Breach 2025 évalue le coût moyen d'un incident impliquant un rançongiciel à 5,08 millions de dollars au niveau mondial.

Ce qui a changé ces dernières années, c'est le modèle économique des attaquants. Le Ransomware-as-a-Service (RaaS) a démocratisé l'accès aux outils d'attaque : des affiliés sans compétences techniques avancées peuvent louer les infrastructures de LockBit, BlackCat ou Cl0p pour lancer leurs propres campagnes, en reversant 20 à 30 % de la rançon collectée aux développeurs. Résultat : le volume d'attaques a augmenté et le ciblage s'est élargi. Les PME françaises ne sont plus des victimes collatérales, elles sont des cibles directes.

La double extorsion est devenue la norme

Depuis 2020, la quasi-totalité des groupes de ransomware pratiquent la double extorsion : chiffrement des données ET vol de données avec menace de publication. Certains groupes (comme Cl0p avec MOVEit en 2023) ont même abandonné le chiffrement pour se concentrer uniquement sur le vol de données et l'extorsion.

Pour une entreprise française, cette évolution change radicalement le calcul. Même si vous avez des sauvegardes fonctionnelles et pouvez restaurer vos systèmes sans payer, il reste la menace de publication de données clients, de données financières, de propriété intellectuelle sur des sites du dark web. Et cette menace, aucune sauvegarde ne peut l'annuler.

Les vecteurs d'entrée : le phishing domine encore

Le vecteur d'entrée initial des ransomwares en France reste remarquablement stable. Selon l'ANSSI, le phishing et le spear phishing représentent le premier vecteur d'accès initial, suivis par l'exploitation de vulnérabilités non corrigées (VPN, serveurs Exchange, appliances réseau) et la compromission d'identifiants via des bases de données volées.

Le CESIN 2025 confirme que le phishing sous toutes ses formes (email, SMS, téléphone) est impliqué dans 55 % des incidents. Pour les PME, la proportion est encore plus élevée : un employé qui clique sur un lien malveillant ou ouvre une pièce jointe piégée reste le scénario le plus fréquent. C'est précisément là qu'un programme de simulation de phishing fait la différence.

Les coûts directs : ce qui apparaît dans les comptes

Les coûts directs sont ceux que les entreprises identifient le plus facilement. Ce sont les factures qui arrivent dans les semaines suivant l'attaque.

Le paiement de la rançon

Commençons par le sujet qui fait les gros titres. Le montant des rançons demandées varie considérablement selon la taille de la cible et le groupe d'attaquants.

Données de référence :

  • Le Verizon DBIR 2025 indique une rançon médiane de 115 000 dollars tous secteurs confondus.
  • Coveware, spécialiste de la négociation de rançons, observe un montant moyen de 402 000 dollars au T4 2024, mais avec une médiane beaucoup plus basse à 180 000 dollars - signe que quelques rançons de plusieurs millions tirent la moyenne vers le haut.
  • Pour les PME, les demandes se situent typiquement entre 10 000 et 500 000 euros, calibrées pour rester dans la zone où l'entreprise est tentée de payer plutôt que de subir des semaines d'arrêt.
  • Pour les grandes entreprises et les ETI, les demandes dépassent régulièrement le million d'euros.

En France, le taux de paiement a baissé. 64 % des victimes de ransomware refusent désormais de payer (Verizon DBIR 2025), contre 50 % deux ans plus tôt. L'ANSSI et Cybermalveillance.gouv.fr ont largement contribué à cette tendance en communiquant activement contre le paiement.

Mais ceux qui paient ne récupèrent pas forcément leurs données. Coveware estime que 20 à 30 % des organisations qui paient ne récupèrent pas l'intégralité de leurs fichiers. L'outil de déchiffrement fourni par les attaquants est souvent lent, bogué, voire incomplet.

L'investigation forensique

Après une attaque par ransomware, l'entreprise doit comprendre ce qui s'est passé. Comment l'attaquant est-il entré ? Depuis combien de temps était-il dans le réseau ? Quelles données ont été exfiltrées ? Cette investigation, dite forensique, est nécessaire pour trois raisons : sécuriser la remédiation (ne pas reconstruire sur une porte dérobée persistante), satisfaire les obligations légales (notification CNIL avec description de la violation) et alimenter un éventuel dépôt de plainte.

Coûts typiques de l'investigation forensique :

PrestationFourchette de prix
Intervention d'urgence CERT (premiers 48-72h)15 000 - 50 000 €
Investigation complète (2-4 semaines)50 000 - 200 000 €
Analyse de l'exfiltration de données20 000 - 80 000 €
Rapport forensique completInclus dans l'investigation

Pour une PME de 50 à 250 salariés, l'investigation forensique coûte en moyenne entre 30 000 et 100 000 euros. Les tarifs journaliers des analystes forensiques se situent entre 1 500 et 2 500 euros, et une investigation mobilise généralement 2 à 5 consultants pendant plusieurs semaines.

Les grands groupes paient beaucoup plus. Sopra Steria a mobilisé des équipes d'Airbus CyberSecurity et de ses propres divisions pendant des semaines après l'attaque Ryuk.

La réponse à incident

Au-delà de l'investigation, la réponse à incident comprend le confinement de l'attaque (isolation des systèmes compromis), l'éradication de la menace (suppression des accès de l'attaquant, nettoyage des systèmes) et le pilotage de la crise (cellule de crise, communication interne et externe).

Coûts typiques :

  • Prestataire de réponse à incident (PRIS qualifié ANSSI) : 2 000 à 3 500 euros/jour par consultant, mobilisation de 3 à 10 jours minimum.
  • Cellule de crise : coordination interne, souvent non facturée mais représentant des dizaines d'heures de direction mobilisée.
  • Communication de crise : agence de communication, communiqués de presse, notification clients - entre 10 000 et 50 000 euros pour une PME, beaucoup plus pour un grand groupe.

Au total, les coûts directs immédiats (hors rançon) s'établissent entre 50 000 et 300 000 euros pour une PME et entre 500 000 et plusieurs millions pour un grand groupe.

Les coûts opérationnels : quand l'entreprise s'arrête

C'est le poste le plus lourd. Et de loin. L'interruption d'activité représente en moyenne 50 à 60 % du coût total d'un ransomware selon le rapport IBM. C'est aussi le poste le plus difficile à chiffrer à l'avance, parce qu'il dépend de la durée d'indisponibilité, du niveau de dépendance au numérique et de la capacité de l'entreprise à fonctionner en mode dégradé.

L'interruption d'activité

Données de référence sur la durée :

  • Coveware (T4 2024) : durée moyenne d'indisponibilité de 23 jours après une attaque par ransomware.
  • ANSSI : pour les cas traités par l'agence, les durées de remise en service varient de 2 semaines à plusieurs mois selon la maturité de l'organisation.
  • IBM Cost of a Data Breach 2025 : le temps moyen pour identifier et contenir une brèche est de 258 jours (identification : 194 jours, confinement : 64 jours).

Pour calculer le coût de l'interruption, la formule est brutale :

Chiffre d'affaires journalier x nombre de jours d'arrêt x pourcentage d'activité impactée

Prenons une PME industrielle qui fait 10 millions d'euros de CA annuel. Son CA journalier est d'environ 40 000 euros. Si elle est à l'arrêt complet pendant 5 jours, puis en mode dégradé (50 % de capacité) pendant 15 jours, la perte de CA s'établit à :

  • 5 jours x 40 000 € = 200 000 € (arrêt complet)
  • 15 jours x 40 000 € x 50 % = 300 000 € (mode dégradé)
  • Total : 500 000 € de perte de CA

Et ce calcul ne prend pas en compte la marge perdue, les pénalités de retard sur les contrats en cours, ni le coût d'acquisition de nouveaux clients pour compenser ceux qui sont partis chez un concurrent pendant l'arrêt.

Le fonctionnement en mode dégradé

Quand les systèmes sont à terre, les employés ne restent pas les bras croisés. Ils basculent sur des procédures manuelles : bons de commande papier, appels téléphoniques au lieu d'emails, tableurs Excel sur des ordinateurs personnels, saisies manuelles dans des systèmes de secours. Ce mode dégradé a un coût.

Au CHSF de Corbeil-Essonnes, les soignants ont dû revenir aux dossiers papier, aux prescriptions manuscrites, aux résultats d'analyses transmis par coursier entre les services. La productivité a chuté de manière drastique pendant des semaines.

Chez Manutan, les équipes commerciales ont pris les commandes par téléphone et les ont saisies manuellement dans des tableurs pendant que l'ERP était reconstruit. Le taux d'erreurs de commande a bondi, entraînant des retours, des litiges et des insatisfactions clients.

Coûts du mode dégradé :

  • Heures supplémentaires : les équipes IT travaillent 12 à 16 heures par jour pendant la crise. Les équipes métier font des heures supplémentaires pour rattraper le retard. Pour une entreprise de 200 salariés, comptez 50 000 à 150 000 euros d'heures supplémentaires sur la période de crise.
  • Erreurs et reprises : les procédures manuelles génèrent des erreurs (commandes mal saisies, factures incorrectes, données perdues). Le coût de correction est difficile à chiffrer mais représente des dizaines d'heures de travail.
  • Personnel intérimaire : certaines entreprises embauchent des intérimaires pour gérer le surplus de travail manuel pendant la crise.

L'effet domino sur la supply chain

Un ransomware ne touche pas qu'une seule entreprise. Si vous êtes fournisseur, vos clients sont impactés. Si vous êtes donneur d'ordre, vos fournisseurs ne peuvent pas vous livrer. Cet effet domino multiplie le coût réel de l'attaque au-delà des murs de l'entreprise victime.

Saint-Gobain l'a vécu avec NotPetya en 2017 : l'attaque a frappé sa filiale ukrainienne, puis s'est propagée au groupe mondial. Les usines de production de verre ont été arrêtées, les commandes n'ont plus pu être traitées, les clients du BTP se sont retrouvés sans approvisionnement. Certains ont basculé chez des concurrents et ne sont jamais revenus.

Les coûts de reconstruction : repartir de zéro

Après le confinement de l'attaque et l'investigation, vient la phase de reconstruction. C'est souvent là que les entreprises découvrent l'ampleur réelle des dégâts.

La reconstruction des systèmes

Un ransomware qui a chiffré l'Active Directory, les serveurs de fichiers, l'ERP et les postes de travail nécessite une reconstruction quasi complète de l'infrastructure. Les entreprises ne se contentent pas de déchiffrer : elles reconstruisent, parce qu'elles ne font plus confiance à l'environnement compromis.

Postes de coût typiques :

PostePME (50-250 salariés)ETI/Grand groupe
Reconstruction serveurs et AD30 000 - 100 000 €200 000 - 1 M€
Réinstallation postes de travail200 - 500 € par posteIdentique
Restauration des données10 000 - 50 000 €50 000 - 500 000 €
Nouveau matériel (si nécessaire)20 000 - 80 000 €100 000 - 500 000 €
Licences logicielles5 000 - 30 000 €50 000 - 300 000 €
Migration vers le cloud (souvent décidée post-incident)30 000 - 150 000 €200 000 - 2 M€

Manutan a reconstruit l'intégralité de son infrastructure IT. L'entreprise a profité de la crise pour migrer une partie de ses systèmes vers le cloud, ce qui a augmenté le coût immédiat mais réduit l'exposition future. Le coût de reconstruction pur (hors perte d'activité) représentait une part substantielle des 20 millions d'euros de coût total.

La restauration des données

La restauration des données est un moment de vérité. C'est là que les entreprises découvrent si leurs sauvegardes fonctionnent vraiment.

Plusieurs scénarios :

  • Sauvegardes intactes et récentes : meilleur cas. La restauration prend quelques jours. Mais il y a presque toujours une perte de données entre la dernière sauvegarde et le moment du chiffrement (le « RPO gap »).
  • Sauvegardes partiellement compromises : les attaquants ciblent de plus en plus les sauvegardes. Si le serveur de sauvegarde était connecté au réseau principal, il est potentiellement chiffré aussi. Selon Veeam, 93 % des attaques par ransomware ciblent les dépôts de sauvegarde, et 75 % de ces attaques réussissent à dégrader au moins partiellement les sauvegardes.
  • Pas de sauvegardes exploitables : scénario catastrophe. L'entreprise a perdu ses données. C'est ce qui est arrivé à Lise Charmel.

L'investissement post-incident en sécurité

Après un ransomware, les entreprises investissent massivement en cybersécurité. C'est compréhensible, mais c'est aussi un coût supplémentaire qui s'ajoute à la facture :

  • EDR (Endpoint Detection and Response) : 3 à 8 euros par poste par mois.
  • SOC externalisé : 3 000 à 15 000 euros par mois pour une PME.
  • Audit de sécurité complet : 15 000 à 50 000 euros.
  • Programme de sensibilisation : 2 à 5 euros par employé par mois. Pour construire l'argumentaire auprès de votre direction : ROI de la sensibilisation cybersécurité : comment convaincre votre direction.
  • Refonte de l'architecture réseau (segmentation, Zero Trust) : 50 000 à 300 000 euros.

Ces dépenses auraient coûté une fraction de ce montant si elles avaient été engagées avant l'attaque. Mais c'est facile à dire après coup.

Les coûts juridiques et réglementaires : un poste en forte croissance

Le volet juridique d'un ransomware est devenu un poste de coût à part entière, sous l'effet conjugué du RGPD, de NIS2 et de la loi LOPMI.

La notification CNIL

Toute violation de données personnelles doit être notifiée à la CNIL dans les 72 heures suivant sa découverte (article 33 du RGPD). Si le risque est élevé pour les personnes concernées, l'entreprise doit également notifier individuellement les personnes impactées (article 34).

Dans le cas d'un ransomware avec exfiltration de données, la notification est quasi systématique. Les coûts associés :

  • Conseil juridique spécialisé : 5 000 à 30 000 euros pour accompagner la notification et la relation avec la CNIL.
  • Identification des données exfiltrées : cette analyse est souvent la plus coûteuse, car elle nécessite de recouper les logs réseau (s'ils existent encore) avec les bases de données impactées.
  • Notification individuelle : courriers, emails, mise en place d'une FAQ, d'un numéro d'appel dédié. Pour une base de données de 10 000 personnes, comptez 15 000 à 40 000 euros.
  • Monitoring de crédit : certaines entreprises proposent aux personnes impactées un service de surveillance de leurs données personnelles. Coût : 5 à 15 euros par personne et par an.

Les amendes potentielles

La CNIL peut infliger des amendes allant jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros (le montant le plus élevé s'applique). En pratique, la CNIL prend en compte le degré de négligence, les mesures de sécurité en place avant l'incident et la coopération de l'entreprise.

Quelques sanctions CNIL liées à des failles de sécurité ayant facilité des cyberattaques :

  • Dedalus Biologie : 1,5 million d'euros (2022) pour des manquements à la sécurité ayant conduit à la fuite de données médicales de 500 000 patients.
  • ChamberSign : 200 000 euros (2023) pour des mesures de sécurité insuffisantes.
  • Numerous CNIL sanctions en 2024-2025 pour défaut de sécurisation des données, avec des montants allant de 50 000 à 800 000 euros.

Avec la directive NIS2, transposée en droit français depuis 2024, les obligations s'étendent. Les « entités essentielles » et « entités importantes » doivent notifier l'ANSSI sous 24 heures (alerte préliminaire) puis fournir un rapport complet sous 72 heures. Les amendes NIS2 peuvent atteindre 10 millions d'euros ou 2 % du CA mondial pour les entités essentielles.

La loi LOPMI et le dépôt de plainte

La loi LOPMI (loi d'orientation et de programmation du ministère de l'Intérieur), entrée en vigueur en avril 2023, conditionne l'indemnisation par l'assureur à un dépôt de plainte dans les 72 heures suivant la connaissance de l'attaque. Cette obligation a des implications concrètes :

  • Elle force les entreprises à reconnaître publiquement l'attaque (un dépôt de plainte est un acte officiel).
  • Elle accélère le calendrier de réponse (72 heures, c'est court quand on gère une crise).
  • Elle peut déclencher une enquête judiciaire qui mobilise du temps de direction.

Le conseil juridique sur la durée

Au-delà de la crise immédiate, les suites juridiques d'un ransomware peuvent durer des mois, voire des années :

  • Actions collectives de personnes concernées : en France, les recours collectifs en matière de données personnelles sont encore rares, mais ils existent (action de groupe CNIL).
  • Litiges avec des partenaires commerciaux : si l'attaque a impacté des données de clients ou de fournisseurs, des réclamations contractuelles peuvent suivre.
  • Contentieux avec l'assureur : des désaccords sur la couverture, les exclusions ou les montants indemnisés donnent lieu à des négociations ou à des procédures.

Un cabinet d'avocats spécialisé en cybersécurité facture entre 300 et 600 euros de l'heure. Sur un dossier de ransomware complexe, les frais juridiques cumulés atteignent facilement 50 000 à 200 000 euros sur deux ans.

Les coûts réputationnels : la facture invisible

C'est le poste le plus difficile à quantifier, mais souvent celui qui fait le plus mal sur le long terme. Une attaque par ransomware, surtout si elle fait l'objet d'une couverture médiatique, laisse des traces durables dans la perception que les clients, les partenaires et les prospects ont de l'entreprise.

La perte de clients

Le rapport IBM chiffre la composante « perte de business » à environ 30 % du coût total d'un incident. Ce chiffre intègre la perte de clients existants (churn), le manque à gagner sur les prospects qui renoncent, et le coût d'acquisition accru pour les nouveaux clients.

Dans le commerce en ligne et le B2B, l'effet est mesurable. Quand un site e-commerce est en panne pendant plusieurs semaines (comme Manutan), les acheteurs professionnels redirigent leurs achats vers des concurrents. Certains reviennent, d'autres pas. Le taux de rétention des clients diminue de 3 à 5 points de pourcentage dans l'année suivant un incident majeur selon les données Ponemon.

Les contrats perdus

De plus en plus de donneurs d'ordre, notamment dans le secteur public et chez les grands groupes, exigent des garanties de cybersécurité dans leurs appels d'offres (certification ISO 27001, conformité NIS2, politique de sécurité documentée). Un incident de ransomware public peut disqualifier une entreprise de ces marchés pendant des années.

C'est un coût d'opportunité impossible à chiffrer précisément, mais que les directions commerciales ressentent concrètement. Un responsable commercial d'une ESN française témoignait dans Le Monde Informatique après l'attaque Sopra Steria : « Pendant six mois, à chaque rendez-vous client, la première question portait sur l'attaque. Ça changeait complètement la dynamique de la relation. »

La couverture médiatique

Les attaques par ransomware font l'objet d'une couverture médiatique croissante en France. Les quotidiens nationaux, les sites spécialisés (Le Mag IT, Le Monde Informatique, ZDNet.fr) et les chaînes d'information continue couvrent régulièrement les incidents. Pour les entreprises cotées en bourse, l'impact sur le cours de l'action est mesurable.

Saint-Gobain a vu son titre baisser de 3 % dans les jours suivant l'annonce de NotPetya, avant de se redresser. Pour une PME non cotée, la couverture médiatique joue sur la confiance des partenaires bancaires et des clients.

Les coûts cachés : ce que personne ne met dans le budget

Au-delà des coûts directs, opérationnels, de reconstruction, juridiques et réputationnels, il existe une catégorie de coûts rarement chiffrés mais bien réels.

Le temps de la direction

Pendant une crise ransomware, le PDG, le DSI, le DAF et le DRH ne font plus leur travail habituel. Ils gèrent la crise. Pendant 2 à 4 semaines minimum, la direction est entièrement mobilisée sur l'incident au lieu de piloter l'entreprise.

Ce coût d'opportunité est rarement chiffré. Pourtant, si vous comptez le salaire chargé d'un comité de direction de PME (PDG, DAF, DSI, directeur commercial, DRH) à environ 2 500 euros/jour en moyenne par personne, et que ces 5 personnes consacrent 50 % de leur temps à la crise pendant 3 semaines, le calcul est simple : 5 x 2 500 x 15 x 50 % = 93 750 euros de temps de direction détourné.

Pour un grand groupe, ce chiffre explose. Sopra Steria a mobilisé son comité exécutif pendant plusieurs semaines, avec des réunions quotidiennes de crise et une communication constante avec les clients et les régulateurs.

La hausse des primes d'assurance

Après un sinistre cyber, l'assureur réévalue le risque. Les conséquences :

  • Hausse de la prime de 30 à 100 % au renouvellement suivant.
  • Augmentation de la franchise (la part que l'entreprise paie de sa poche avant que l'assurance n'intervienne).
  • Réduction des garanties (plafonds plus bas, exclusions supplémentaires).
  • Dans les cas les plus graves, refus de renouvellement, ce qui oblige l'entreprise à chercher un nouvel assureur sur un marché où le sinistre est connu.

Selon les données de l'AMRAE (LUCY 2025), les primes cyber ont globalement baissé en 2024 (soft market), mais les entreprises ayant déclaré un sinistre subissent des hausses significatives à contre-courant du marché. Pour plus de détails sur le marché de l'assurance cyber en France : Votre assurance cyber vous demande une preuve de formation ?.

L'épuisement des équipes

Le coût humain est le grand absent des analyses financières. Et pourtant, il est bien réel.

Après un ransomware, les équipes IT travaillent des semaines d'affilée, souvent 60 à 80 heures par semaine, sous pression permanente. Le Hiscox Cyber Readiness Report 2025 indique que 32 % des employés des entreprises victimes d'une cyberattaque déclarent avoir souffert de burnout. Le turnover dans les équipes IT augmente dans les 6 à 12 mois suivant un incident majeur.

Le coût de remplacement d'un ingénieur système ou d'un administrateur réseau (recrutement, formation, montée en compétence) représente entre 6 et 12 mois de salaire. Si une entreprise perd 2 ou 3 membres de son équipe IT après un incident, le coût se chiffre en dizaines de milliers d'euros.

Au-delà de l'IT, le stress se diffuse dans toute l'entreprise. Les commerciaux doivent rassurer des clients inquiets. Les comptables doivent reconstituer des données perdues. Les managers doivent maintenir la motivation d'équipes épuisées. L'impact sur la productivité globale peut persister pendant 6 à 12 mois après l'incident.

La dette technique accumulée

Pendant la crise et la reconstruction, l'entreprise fait des choix d'urgence. Des systèmes sont remontés rapidement avec des configurations « temporaires » qui deviennent permanentes. Des mises à jour sont reportées. Des projets informatiques sont gelés. Cette dette technique a un coût qui se matérialisera dans les mois et les années suivantes, sous forme de maintenance accrue, de performances dégradées et de vulnérabilités non corrigées.

Six cas français qui illustrent l'ampleur des dégâts

Passons des chiffres abstraits aux cas concrets. Voici six attaques par ransomware ayant touché des organisations françaises, avec les données disponibles sur l'impact financier.

Manutan : 20 millions d'euros de coût total

Date : février 2021 Ransomware : DarkSide Vecteur d'entrée : compromission d'un compte via un accès VPN (identifiants probablement volés)

Manutan, leader européen de la distribution de fournitures de bureau et industrielles (800 millions d'euros de CA, 2 400 employés), a été frappé un week-end. Le ransomware a chiffré une grande partie des serveurs, paralysant l'ERP, la messagerie, la téléphonie IP et le système de gestion des entrepôts.

Chronologie de la crise :

  • J+0 à J+3 : confinement total, aucune commande traitée.
  • J+3 à J+10 : mise en place de solutions de contournement, prises de commandes par téléphone.
  • J+10 : remise en service partielle de la prise de commande en ligne.
  • Plusieurs mois : reconstruction complète de l'infrastructure, migration partielle vers le cloud.

Coût déclaré : 20 millions d'euros, comprenant la perte d'activité, les coûts de reconstruction, l'investigation forensique et le renforcement de la sécurité. La direction a indiqué ne pas avoir payé la rançon.

L'entreprise a tiré les conséquences de l'attaque en investissant massivement dans la cybersécurité post-crise : SOC externalisé, segmentation réseau, programme de sensibilisation des employés, sauvegardes hors ligne. Des investissements qui auraient coûté une fraction des 20 millions s'ils avaient été faits avant.

Sopra Steria : 50 millions d'euros d'impact

Date : octobre 2020 Ransomware : Ryuk Vecteur d'entrée : email de phishing suivi d'une latéralisation via Cobalt Strike et BazarLoader

Sopra Steria, ESN française de 46 000 salariés et 4,3 milliards d'euros de CA, a été frappée par Ryuk le 20 octobre 2020. L'attaque a touché plusieurs milliers de postes de travail et une partie de l'infrastructure serveur.

L'entreprise a détecté l'attaque relativement vite et a pris des mesures de confinement radicales : isolation de la quasi-totalité du SI, coupure des accès VPN clients, arrêt des interconnexions. Cette réaction rapide a limité l'étendue du chiffrement, mais l'impact opérationnel a été considérable.

Coût déclaré : dans son rapport annuel 2020, Sopra Steria a estimé l'impact financier à environ 50 millions d'euros, comprenant la remédiation, la perte d'activité (certains projets clients ont été retardés ou suspendus) et le renforcement de la sécurité. L'assurance cyber a couvert une partie du sinistre (environ 30 millions d'euros selon les analyses), laissant un impact résiduel net d'environ 20 millions d'euros.

Ce qui rend le cas Sopra Steria instructif, c'est que l'entreprise est elle-même un acteur de la cybersécurité. Son équipe de réponse à incident était parmi les meilleures du marché français. Malgré cela, un seul email de phishing a suffi à déclencher une crise de plusieurs semaines et un impact de 50 millions d'euros. La preuve que la prévention du facteur humain (sensibilisation, simulation) est au moins aussi importante que la technologie de détection.

Saint-Gobain et NotPetya : 220 millions d'euros de perte de CA

Date : juin 2017 Malware : NotPetya (wiper déguisé en ransomware) Vecteur d'entrée : mise à jour du logiciel de comptabilité ukrainien M.E.Doc, puis propagation via EternalBlue

L'attaque NotPetya est un cas à part : il ne s'agissait pas d'un ransomware classique avec demande de rançon, mais d'un wiper destructif attribué au GRU russe, utilisant un logiciel de comptabilité ukrainien comme vecteur de distribution initiale. Mais l'impact sur les entreprises françaises a été identique à celui d'un ransomware : systèmes chiffrés, activité arrêtée, reconstruction nécessaire.

Saint-Gobain a été l'une des entreprises françaises les plus touchées. Le groupe a déclaré un impact de 220 millions d'euros sur son chiffre d'affaires et de 80 millions d'euros sur le résultat d'exploitation au premier semestre 2017. Les usines de production de verre plat et d'isolation ont été arrêtées pendant plusieurs jours. La logistique a été paralysée. L'entreprise a mis plusieurs semaines à retrouver un fonctionnement normal.

Renault a également été touché par NotPetya (via la variante WannaCry, quelques semaines plus tôt), avec un arrêt de production dans plusieurs usines.

Ce cas démontre que même les très grands groupes, avec des budgets IT de centaines de millions d'euros, ne sont pas à l'abri. Et que l'impact financier d'un ransomware sur un groupe industriel peut atteindre des montants qui dépassent le budget cybersécurité de n'importe quelle PME.

CHSF de Corbeil-Essonnes : le coût humain du ransomware

Date : août 2022 Ransomware : LockBit 3.0 Rançon demandée : 10 millions de dollars (réduite à 1 million)

Le Centre Hospitalier Sud Francilien (CHSF), hôpital de 1 000 lits situé à Corbeil-Essonnes, a été frappé en plein mois d'août. L'attaque a paralysé les systèmes d'information de l'hôpital : dossier patient informatisé, imagerie médicale, pharmacie, laboratoire.

Impact opérationnel :

  • Transfert de patients vers d'autres établissements.
  • Retour aux procédures papier pour les prescriptions, les résultats d'analyses et les comptes-rendus.
  • Déprogrammation d'interventions chirurgicales non urgentes.
  • Fonctionnement en mode dégradé pendant plusieurs mois.

L'hôpital n'a pas payé la rançon. Le groupe LockBit a mis ses menaces à exécution en publiant des données de patients sur le dark web, déclenchant une crise de confiance et des obligations de notification CNIL.

Le coût financier précis n'a pas été rendu public, mais les estimations des experts du secteur situent l'impact entre 7 et 10 millions d'euros (surcoûts de fonctionnement, remédiation, perte d'activité facturée à l'Assurance Maladie, investissements en sécurité). Le vrai coût, impossible à chiffrer, est le coût humain : retards de prise en charge, stress des soignants, perte de confiance des patients.

Le cas du CHSF a provoqué un électrochoc en France. L'État a annoncé un plan de 250 millions d'euros pour la cybersécurité des hôpitaux, et l'ANSSI a été mandatée pour accompagner les 135 groupements hospitaliers de territoire (GHT).

Lise Charmel : de l'attaque à la liquidation judiciaire

Date : novembre 2019 Ransomware : non identifié publiquement Impact : mise en liquidation judiciaire en février 2020

Lise Charmel, maison de lingerie lyonnaise créée en 1950, avec environ 1 100 salariés et un chiffre d'affaires de 60 millions d'euros, a été victime d'un ransomware en novembre 2019. L'attaque a chiffré l'ensemble du système d'information : ERP, messagerie, fichiers de production, historique de commandes.

L'entreprise n'avait pas de sauvegardes exploitables. Elle n'a pas payé la rançon. La reconstruction du SI a pris des mois, pendant lesquels l'activité commerciale était quasiment à l'arrêt. La trésorerie, déjà tendue, n'a pas résisté.

En février 2020, le tribunal de commerce de Lyon a placé Lise Charmel en liquidation judiciaire avec maintien d'activité. L'entreprise a finalement été reprise (une partie des activités a survécu), mais l'épisode reste un cas d'école : une cyberattaque peut tuer une entreprise de taille intermédiaire.

Les causes de la vulnérabilité de Lise Charmel étaient connues : absence de sauvegardes déconnectées, pas de plan de reprise d'activité, budget cybersécurité minimal. Des investissements de quelques dizaines de milliers d'euros auraient pu empêcher la faillite.

Clestra Hauserman : le coup de grâce

Date : mai 2022 Ransomware : non identifié publiquement Impact : redressement judiciaire en septembre 2022

Clestra Hauserman, fabricant alsacien de cloisons amovibles, avait déjà une situation financière fragile quand un ransomware a frappé en mai 2022. L'attaque a paralysé la production et les systèmes administratifs pendant plusieurs semaines.

L'entreprise, qui employait environ 400 salariés et réalisait 50 millions d'euros de CA, n'a pas pu absorber le choc. En septembre 2022, elle a été placée en redressement judiciaire. L'entreprise a finalement été reprise par Financière CEL, avec une réduction significative des effectifs.

Le PDG de Clestra a déclaré publiquement que la cyberattaque avait été « le coup de grâce » pour une entreprise déjà affaiblie par le Covid et la hausse des matières premières. Le coût de la cyberattaque (estimé à plusieurs millions d'euros) a précipité une situation déjà critique.

Ce cas illustre un point que les statistiques générales ne montrent pas : le ransomware tue les entreprises fragiles. Une PME en bonne santé financière peut absorber un choc de 200 000 à 500 000 euros. Une PME avec une trésorerie tendue ne le peut pas.

Le grand débat : payer ou ne pas payer la rançon

C'est la question qui divise. Et la réponse dépend de la perspective adoptée.

La position officielle française

L'ANSSI est claire : ne payez pas. L'agence avance plusieurs arguments :

  1. Payer ne garantit pas la récupération des données. L'outil de déchiffrement fourni par les attaquants est souvent défaillant.
  2. Payer finance le crime organisé. Chaque rançon payée finance la prochaine attaque.
  3. Payer vous désigne comme cible. Les groupes criminels revendent les listes de « bons payeurs » à d'autres groupes.
  4. Payer n'empêche pas la publication des données volées. Plusieurs groupes ont publié les données même après paiement.

Cybermalveillance.gouv.fr relaye la même position et propose un guide de conduite à tenir en cas de rançongiciel, disponible gratuitement sur son site.

La réalité des entreprises

Dans les faits, la décision est plus complexe. Quand une PME industrielle est à l'arrêt total, que la rançon demandée est de 100 000 euros et que le coût de la reconstruction est estimé à 500 000 euros plus 4 semaines d'arrêt, le calcul économique pur plaide pour le paiement.

C'est d'ailleurs ce que reconnaît implicitement la loi LOPMI : en conditionnant l'indemnisation d'assurance au dépôt de plainte (et non en interdisant le paiement), le législateur a choisi de ne pas prohiber le paiement, tout en le rendant traçable.

Les assureurs ont eu une position fluctuante. AXA France avait annoncé en 2022 qu'elle ne couvrirait plus le paiement des rançons, avant de revenir partiellement sur cette position. Aujourd'hui, certains contrats d'assurance cyber couvrent le paiement de la rançon (sous condition de dépôt de plainte), d'autres l'excluent explicitement.

Mon avis

En tant que consultant CISSP ayant accompagné des entreprises dans cette situation, je pense que le débat « payer ou pas » est souvent un faux débat. Le vrai sujet, c'est la préparation.

Si vous avez des sauvegardes déconnectées, testées, et un plan de reprise d'activité qui a été répété, la question du paiement ne se pose pas : vous restaurez. Le temps de restauration est de quelques jours, pas de quelques semaines. Le coût total est une fraction de ce qu'il serait sans préparation.

Si vous n'avez pas de sauvegardes, pas de plan, pas de segmentation réseau, la question du paiement devient un dilemme insoluble. Vous êtes dans la position de Lise Charmel, et aucune bonne réponse n'existe.

La seule recommandation qui tient la route : investir avant l'attaque pour que le dilemme ne se pose jamais. Ce qui nous amène à la question du coût de la prévention.

L'assurance cyber : ce qu'elle couvre vraiment

Le marché de l'assurance cyber en France a atteint 317 millions d'euros de primes collectées en 2024 (AMRAE LUCY 2025). Mais que couvre réellement une police d'assurance cyber en cas de ransomware ?

Ce qui est généralement couvert

  • Frais de réponse à incident : investigation forensique, prestataire de gestion de crise, conseil juridique.
  • Frais de notification : notification CNIL, notification des personnes concernées, mise en place d'un numéro d'appel.
  • Perte d'exploitation : indemnisation de la marge brute perdue pendant la période d'interruption, avec une franchise (nombre de jours non indemnisés) et un plafond.
  • Frais de restauration des données et des systèmes : dans certaines limites.
  • Rançon : couverte par certains contrats (sous condition de dépôt de plainte LOPMI), exclue par d'autres.

Ce qui n'est jamais couvert

  • Amendes CNIL : en droit français, les amendes administratives ne sont pas assurables (principe de non-assurabilité des peines).
  • Perte de propriété intellectuelle : si vos plans, brevets ou secrets commerciaux sont publiés, aucune assurance ne compense la perte de valeur.
  • Atteinte réputationnelle à long terme : les assureurs ne couvrent que les frais de communication de crise immédiate, pas la perte de clients sur 12 à 24 mois.
  • Négligence caractérisée : si l'assureur démontre que l'entreprise n'avait pas mis en place les mesures de sécurité minimales (MFA, sauvegardes, mises à jour), il peut refuser l'indemnisation.

La réalité des franchises et des plafonds

Pour une PME, les contrats d'assurance cyber typiques comportent :

  • Franchise : 15 000 à 100 000 euros (la part que l'entreprise paie de sa poche).
  • Plafond de garantie : 500 000 à 5 millions d'euros.
  • Franchise perte d'exploitation : 3 à 10 jours (la perte des premiers jours n'est pas indemnisée).

En pratique, une PME qui subit un ransomware coûtant 400 000 euros avec une franchise de 30 000 euros et un plafond de 500 000 euros sera couverte pour une bonne partie. Mais si le coût dépasse le plafond (ce qui arrive dans les cas graves), la différence reste à sa charge.

Le cercle vicieux post-sinistre

Après un sinistre ransomware, l'entreprise fait face à un cercle vicieux :

  1. Elle a besoin de son assurance pour absorber le choc financier.
  2. L'assureur augmente la prime (voire refuse le renouvellement).
  3. L'entreprise doit investir massivement en sécurité pour obtenir un nouveau contrat à des conditions acceptables.
  4. Ces investissements s'ajoutent à la facture de l'incident.

C'est pourquoi les assureurs exigent de plus en plus des preuves de prévention avant l'incident, et pas seulement des mesures correctives après. Un programme de sensibilisation au phishing documenté, avec des résultats mesurables, fait partie des critères de souscription de la plupart des assureurs français.

Prévention vs. coût d'une attaque : les chiffres parlent d'eux-mêmes

Mettons les chiffres côte à côte. Pour une PME de 100 salariés avec un CA de 15 millions d'euros.

Coût d'un programme de prévention annuel

MesureCoût annuel
Sauvegardes déconnectées (règle 3-2-1)3 000 - 8 000 €
EDR sur tous les postes4 000 - 10 000 €
MFA sur tous les accès2 000 - 5 000 €
Pare-feu nouvelle génération3 000 - 8 000 €
Sensibilisation phishing (plateforme + simulations)2 400 - 6 000 €
Audit de sécurité annuel8 000 - 20 000 €
Assurance cyber3 000 - 8 000 €
Plan de reprise d'activité (mise en place + test annuel)5 000 - 15 000 €
Total30 400 - 80 000 €

Coût d'une attaque ransomware (scénario médian)

PosteCoût estimé
Investigation forensique50 000 - 120 000 €
Réponse à incident30 000 - 80 000 €
Interruption d'activité (15 jours)300 000 - 600 000 €
Reconstruction des systèmes80 000 - 200 000 €
Frais juridiques (notification CNIL, conseil)20 000 - 60 000 €
Communication de crise10 000 - 30 000 €
Perte de clients (12 mois)50 000 - 200 000 €
Hausse prime d'assurance (3 ans)15 000 - 50 000 €
Investissements sécurité post-incident80 000 - 200 000 €
Total635 000 - 1 540 000 €

Le ratio est limpide : le coût de la prévention représente 2 à 12 % du coût d'une attaque. Même en prenant les hypothèses les plus favorables pour l'attaque et les plus défavorables pour la prévention, investir dans la sécurité coûte entre 5 et 20 fois moins cher que subir un ransomware.

Et ce calcul ne prend pas en compte le coût d'une faillite (Lise Charmel, Clestra), qui rend le ratio tout simplement infini.

L'anatomie financière d'une attaque : où va l'argent

Pour comprendre pourquoi les chiffres sont si élevés, il faut regarder comment une attaque par ransomware se déroule et à quel moment chaque poste de coût se matérialise.

Phase 1 : L'intrusion (J-30 à J-0)

L'attaquant est souvent présent dans le réseau depuis plusieurs semaines avant de déclencher le chiffrement. Pendant cette phase de « dwell time » (temps de présence silencieuse), il cartographie le réseau, élève ses privilèges, identifie les sauvegardes (pour les supprimer), exfiltre des données et prépare le déploiement du ransomware.

Coût à ce stade : 0 euro pour l'entreprise (elle ne sait pas encore qu'elle est compromise). Mais c'est pendant cette phase que les dégâts à venir se préparent. Un EDR correctement configuré ou un SOC attentif aurait pu détecter l'intrusion et l'arrêter avant le chiffrement.

Phase 2 : Le déclenchement (J+0)

Le ransomware est déclenché, souvent un vendredi soir ou un week-end pour maximiser la fenêtre d'action avant détection. En quelques heures, des centaines ou des milliers de machines sont chiffrées. Le message de rançon s'affiche.

Coûts immédiats : astreinte IT d'urgence, mobilisation de la direction, appel à un prestataire de réponse à incident. Les premières 48 heures coûtent entre 20 000 et 80 000 euros en prestations d'urgence.

Phase 3 : Le confinement (J+1 à J+5)

L'entreprise isole les systèmes compromis, coupe les accès réseau, active (si elle en a un) son plan de continuité d'activité. L'activité commerciale est à l'arrêt ou très fortement réduite.

Coûts : perte d'exploitation à pleine puissance (CA journalier x nombre de jours), heures supplémentaires IT, premiers frais de prestataires.

Phase 4 : L'investigation (J+5 à J+20)

L'investigation forensique établit le vecteur d'entrée, l'étendue de la compromission et le volume de données exfiltrées. C'est aussi la phase de notification CNIL (72 heures après la « découverte de la violation »).

Coûts : forensics (30 000 - 150 000 euros), conseil juridique, notification CNIL, premiers contacts avec les personnes concernées.

Phase 5 : La reconstruction (J+10 à J+60)

La reconstruction du SI démarre en parallèle de l'investigation. Nouveaux serveurs, nouvelle Active Directory, réinstallation des postes, restauration des données depuis les sauvegardes (si elles sont disponibles).

Coûts : matériel, licences, prestataires de reconstruction, heures supplémentaires IT. C'est la phase la plus longue et la plus coûteuse en main-d'oeuvre.

Phase 6 : Le retour à la normale (J+30 à J+180)

L'entreprise reprend progressivement son activité normale, mais les séquelles persistent : données perdues, clients à reconquérir, primes d'assurance à renégocier, investissements en sécurité à réaliser.

Coûts : perte de clients, hausse des primes, investissements sécurité, coûts juridiques en cours, impact sur la productivité.

Le facteur humain : premier vecteur, meilleure défense

Plus de 55 % des attaques par ransomware commencent par un email de phishing (CESIN 2025). Un employé clique sur un lien, ouvre une pièce jointe, saisit ses identifiants sur un faux site. À partir de là, l'attaquant a un pied dans le réseau.

C'est à la fois la mauvaise nouvelle et la bonne nouvelle. La mauvaise : votre sécurité dépend du comportement de chaque employé, chaque jour. La bonne : c'est le vecteur sur lequel vous avez le plus de contrôle avec le meilleur rapport coût-efficacité.

Ce que disent les données sur la sensibilisation

Le Hiscox Cyber Readiness Report 2025 indique que les entreprises avec un programme de sensibilisation documenté subissent 32 % d'incidents en moins que celles sans programme. Le rapport note aussi que les entreprises classées « expertes » en cybersécurité dépensent en moyenne 24 % de leur budget IT en sécurité, contre 14 % pour les entreprises classées « novices ».

Les données de KnowBe4 (Phishing Industry Benchmarking Report 2025) montrent que le taux de clic moyen sur des simulations de phishing passe de 34 % avant formation à 4,6 % après 12 mois de programme - une réduction de 86 %. Pour consulter les benchmarks par secteur : Taux de clic phishing : benchmarks par secteur d'activité.

Le coût de la sensibilisation : dérisoire comparé au risque

Une plateforme de simulation de phishing coûte entre 2 et 5 euros par employé par mois. Pour une entreprise de 100 salariés, cela représente 2 400 à 6 000 euros par an.

Comparons avec le coût du vecteur d'attaque que cette mesure contribue à bloquer : un ransomware qui entre par phishing coûte entre 250 000 et plusieurs millions d'euros. Le rapport est de 1 à 100 au minimum.

Les chiffres de la sensibilisation ne rendent pas l'entreprise invulnérable. Aucune mesure de sécurité ne le fait. Mais réduire le taux de clic de 34 % à 5 % divise par 7 la probabilité qu'un email de phishing aboutisse à une compromission. C'est la mesure avec le meilleur ratio coût/réduction du risque disponible sur le marché.

Les recommandations de l'ANSSI pour se protéger du ransomware

L'ANSSI publie un guide de bonnes pratiques spécifiquement dédié aux rançongiciels, disponible sur cyber.gouv.fr. Voici les mesures prioritaires, avec leur coût approximatif pour une PME.

Les 10 mesures prioritaires

  1. Sauvegardes hors ligne testées : la règle 3-2-1 (3 copies, 2 supports, 1 hors site). Testez la restauration au moins une fois par trimestre. Coût : 3 000 - 8 000 €/an.

  2. Mises à jour de sécurité sous 72h pour les vulnérabilités critiques. Les ransomwares exploitent des failles connues et corrigées. La fenêtre entre la publication du correctif et l'exploitation est de plus en plus courte (parfois 48 heures). Coût : temps interne.

  3. Authentification multifacteur sur tous les accès distants (VPN, messagerie web, applications cloud). Le MFA bloque plus de 99 % des attaques par compromission d'identifiants. Coût : 2 000 - 5 000 €/an.

  4. Segmentation réseau : séparer les différents environnements (production, bureautique, sauvegardes) pour limiter la propagation latérale. Coût : 10 000 - 50 000 € (mise en place) + maintenance.

  5. EDR sur tous les postes : un antivirus classique ne suffit plus. L'EDR détecte les comportements suspects, pas seulement les signatures connues. Coût : 4 000 - 10 000 €/an pour 100 postes.

  6. Sensibilisation des employés : simulations de phishing régulières, micro-formations, procédures de signalement. Coût : 2 400 - 6 000 €/an pour 100 employés.

  7. Plan de réponse à incident documenté : qui fait quoi, quand, comment. Testé au moins une fois par an via un exercice de simulation. Coût : 5 000 - 15 000 € (rédaction + test annuel).

  8. Gestion des accès privilégiés : limiter le nombre de comptes administrateurs, sécuriser les accès admin avec des comptes dédiés et du MFA renforcé. Coût : 5 000 - 20 000 €/an.

  9. Filtrage des emails : solution anti-spam et anti-phishing sur la messagerie. Coût : 2 - 5 €/utilisateur/mois.

  10. Veille sur les vulnérabilités : s'abonner aux bulletins de l'ANSSI (CERT-FR) pour être informé des nouvelles menaces. Coût : gratuit.

Le coût total de la prévention

En cumulant ces 10 mesures, le budget annuel de prévention pour une PME de 100 salariés se situe entre 40 000 et 120 000 euros la première année (avec les investissements de mise en place) et entre 25 000 et 70 000 euros les années suivantes (récurrence).

C'est entre 3 et 8 % du coût médian d'une attaque par ransomware. Ou entre 0,2 et 0,8 % du CA pour une PME de 15 millions d'euros. Un investissement que n'importe quel DAF devrait considérer comme raisonnable au regard du risque. Pour construire l'argumentaire chiffré : ROI de la sensibilisation cybersécurité : comment convaincre votre direction.

Les secteurs les plus ciblés en France

Tous les secteurs sont touchés par le ransomware, mais certains sont surreprésentés dans les statistiques françaises.

Santé

Le secteur de la santé concentre une part disproportionnée des attaques par ransomware en France. L'ANSSI a recensé 10 établissements de santé majeurs victimes de rançongiciels en 2022 (contre 3 en 2020). Le CHSF de Corbeil-Essonnes, le CHU de Versailles, l'hôpital de Dax, le CH de Villefranche-sur-Saône : la liste est longue.

Les raisons : systèmes d'information vieillissants, budgets IT limités (1 à 2 % du budget global, contre 5 à 8 % dans le secteur privé), criticité de l'activité (un hôpital ne peut pas « fermer » pendant la crise), données de santé à forte valeur sur le marché noir.

Collectivités territoriales

Les collectivités sont la deuxième cible principale. La ville d'Angers, la ville de Chalon-sur-Saône, la communauté d'agglomération de Castres-Mazamet, le conseil départemental de la Sarthe : chaque année, des collectivités françaises sont frappées.

Les mêmes facteurs de vulnérabilité que dans la santé : systèmes hétérogènes, budgets contraints, personnel peu sensibilisé, surface d'attaque étendue (sites web publics, téléservices).

PME industrielles

Les PME industrielles sont ciblées pour deux raisons : elles dépendent fortement de leur système d'information (ERP, GPAO, supervision industrielle) et elles disposent rarement d'une équipe cybersécurité dédiée. L'arrêt de la production a un impact financier immédiat et mesurable.

Services financiers et juridiques

Les cabinets comptables, les cabinets d'avocats et les sociétés de gestion manipulent des données financières et personnelles à forte valeur. Un ransomware avec exfiltration de données dans ces secteurs peut avoir des conséquences réglementaires et réputationnelles dramatiques.

Construire un budget cybersécurité réaliste

Les chiffres présentés dans cet article permettent de construire un argumentaire solide pour un budget cybersécurité. Voici comment structurer la demande.

Le cadre de référence

  • Budget cybersécurité recommandé : 5 à 10 % du budget IT (source : Gartner). Pour une PME dont le budget IT représente 3 à 5 % du CA, cela signifie 0,15 à 0,5 % du CA.
  • Budget cybersécurité médian en France : 6,1 % du budget IT d'après le CESIN 2025. Les entreprises classées « expertes » par Hiscox y consacrent 24 %.
  • Coût moyen d'un ransomware : entre 250 000 et 4,7 millions d'euros selon la taille de l'entreprise et la gravité de l'attaque.

La matrice de priorisation

Toutes les mesures n'ont pas le même rapport coût/efficacité. Voici comment prioriser, en fonction du budget disponible.

Budget minimal (20 000 - 30 000 €/an) :

  • Sauvegardes hors ligne testées
  • MFA sur tous les accès distants
  • Mises à jour de sécurité sous 72h
  • Sensibilisation de base au phishing

Budget intermédiaire (40 000 - 80 000 €/an) :

  • Tout le budget minimal, plus :
  • EDR sur tous les postes
  • Assurance cyber
  • Audit de sécurité annuel
  • Simulations de phishing mensuelles

Budget complet (80 000 - 150 000 €/an) :

  • Tout le budget intermédiaire, plus :
  • SOC externalisé ou service de détection managé
  • Segmentation réseau
  • Plan de reprise d'activité testé
  • Exercice de crise annuel

L'argument qui fonctionne en comité de direction

Ne présentez pas la cybersécurité comme un coût. Présentez-la comme une assurance avec des données. Montrez le coût moyen d'un ransomware pour une entreprise de votre taille. Montrez la probabilité d'être touché (57 % des PME dans les 12 mois selon Hiscox 2025). Multipliez les deux. Comparez avec le budget demandé.

Si votre PME fait 15 millions de CA, que la probabilité d'attaque est de 57 % et que le coût médian est de 400 000 euros, l'espérance de perte est de 228 000 euros par an. Un budget de prévention de 50 000 euros pour réduire cette probabilité de 60 % (via des mesures concrètes) a un ROI de 174 %. Pas besoin d'arrondir les chiffres pour que ça tienne.

Ce que le ransomware a coûté à la France : tentative de chiffrage global

Personne ne connaît le coût total du ransomware pour l'économie française. L'ANSSI ne publie pas de chiffrage global. Le CESIN interroge ses membres mais ne peut pas extrapoler au tissu économique entier. Les assureurs ne communiquent que les sinistres déclarés (et beaucoup d'entreprises ne sont pas assurées).

Quelques éléments de cadrage :

  • 330 000 attaques ont ciblé des PME françaises en 2024 (estimation Cybermalveillance.gouv.fr).
  • Si 10 % de ces attaques impliquent un ransomware (proportion du CESIN), cela fait 33 000 incidents ransomware par an.
  • Avec un coût médian de 250 000 euros par incident pour une PME, le coût total serait de l'ordre de 8 milliards d'euros par an.

Ce chiffre est une estimation grossière, mais il donne un ordre de grandeur. À titre de comparaison, le marché français de la cybersécurité (produits et services vendus) représente environ 5 milliards d'euros en 2025. L'économie française dépense potentiellement plus à subir les attaques qu'à s'en protéger.

Ce qui change en 2026 : NIS2, DORA et le durcissement réglementaire

Le cadre réglementaire se durcit, ce qui va mécaniquement augmenter les coûts pour les entreprises non conformes qui subissent un ransomware.

NIS2

La directive NIS2, transposée en droit français, étend les obligations de cybersécurité à un nombre beaucoup plus large d'entreprises. Les « entités essentielles » et « entités importantes » (définies par secteur et par taille) doivent :

  • Mettre en place des mesures de gestion des risques de cybersécurité.
  • Notifier les incidents à l'ANSSI sous 24h (alerte) et 72h (rapport).
  • Assurer la sécurité de leur chaîne d'approvisionnement.
  • Former leur personnel.

Les sanctions pour non-conformité peuvent atteindre 10 millions d'euros ou 2 % du CA mondial pour les entités essentielles, et 7 millions d'euros ou 1,4 % du CA pour les entités importantes.

Pour une entreprise victime de ransomware qui n'avait pas mis en place les mesures NIS2, les sanctions réglementaires s'ajoutent aux coûts de l'incident. Le cumul RGPD + NIS2 peut représenter un montant supérieur à celui de l'attaque elle-même.

DORA

Le règlement DORA (Digital Operational Resilience Act), applicable depuis janvier 2025, impose des obligations de résilience numérique au secteur financier. Les banques, assureurs, sociétés de gestion et leurs prestataires IT critiques doivent tester leur capacité à résister aux cyberattaques (y compris via des tests de pénétration avancés).

Pour les PME prestataires du secteur financier, DORA signifie des exigences de sécurité renforcées imposées par leurs clients. Ne pas y répondre, c'est perdre des contrats.

FAQ

Quel est le coût moyen d'une attaque par ransomware en France ?

Le coût moyen se situe entre 250 000 et 4,7 millions d'euros selon la taille de l'entreprise. Pour une PME de 50 à 250 salariés, la fourchette typique est de 250 000 à 800 000 euros en incluant l'interruption d'activité, les frais forensiques, la restauration et les conséquences juridiques. Le rapport IBM Cost of a Data Breach 2025 évalue le coût moyen mondial d'un incident ransomware à 5,08 millions de dollars. Les cas français publiés vont de 7-10 millions pour le CHSF à 220 millions pour Saint-Gobain.

Faut-il payer la rançon lors d'une attaque par ransomware ?

L'ANSSI déconseille formellement le paiement. Selon Coveware, 20 à 30 % des entreprises qui paient ne récupèrent pas l'intégralité de leurs données. Le Verizon DBIR 2025 indique que 64 % des victimes refusent désormais de payer. Le paiement finance les groupes criminels et vous signale comme cible disposée à payer. La loi LOPMI n'interdit pas le paiement mais le conditionne à un dépôt de plainte sous 72 heures. La meilleure position est d'investir dans des sauvegardes déconnectées et testées pour que la question ne se pose pas.

Combien de temps dure la remise en service après un ransomware ?

La durée moyenne de remise en service est de 23 jours selon Coveware, mais les disparités sont énormes. Manutan a mis 10 jours pour un accès minimal aux commandes et plusieurs mois pour une reconstruction complète. Le CHSF de Corbeil-Essonnes a fonctionné en mode dégradé pendant plusieurs mois. Pour les PME avec un plan de reprise testé et des sauvegardes déconnectées, la durée peut se réduire à 3-5 jours. Sans préparation, comptez 4 à 8 semaines.

L'assurance cyber couvre-t-elle les attaques par ransomware ?

Partiellement. Les frais de réponse à incident, de notification et de restauration sont généralement couverts, avec des franchises de 15 000 à 100 000 euros pour les PME. La couverture du paiement de rançon dépend du contrat (certains l'incluent sous condition LOPMI, d'autres l'excluent). Les amendes CNIL ne sont jamais assurables. La négligence caractérisée (absence de MFA, sauvegardes non testées) peut entraîner un refus d'indemnisation. Le marché français représente 317 millions d'euros de primes en 2024 (AMRAE LUCY 2025).

Comment réduire le risque de ransomware dans une PME ?

Cinq mesures prioritaires : (1) sauvegardes déconnectées testées trimestriellement, (2) MFA sur tous les accès distants, (3) mises à jour de sécurité sous 72h pour les failles critiques, (4) sensibilisation au phishing avec simulations régulières (le phishing est le vecteur initial dans plus de 55 % des cas), (5) plan de réponse à incident testé. Le budget total pour ces 5 mesures se situe entre 20 000 et 50 000 euros par an pour une PME de 100 salariés, soit 3 à 8 % du coût médian d'un ransomware.

Quelles entreprises françaises ont été touchées par un ransomware ?

Les cas publics les plus documentés en France : Saint-Gobain (220 M€ de perte de CA avec NotPetya, 2017), Sopra Steria (50 M€ d'impact avec Ryuk, 2020), Manutan (20 M€ de coût total avec DarkSide, 2021), CHSF de Corbeil-Essonnes (mois de fonctionnement dégradé, LockBit, 2022), Lise Charmel (liquidation judiciaire suite à l'attaque, 2019-2020), Clestra Hauserman (redressement judiciaire, 2022). À cela s'ajoutent des centaines de PME dont les cas ne sont pas rendus publics.

Conclusion : le coût de l'inaction dépasse toujours le coût de la prévention

Les chiffres présentés dans cet article convergent vers une réalité simple : le coût d'un ransomware se mesure en centaines de milliers d'euros pour une PME et en dizaines de millions pour un grand groupe. La rançon elle-même n'est que la partie visible. L'interruption d'activité, la reconstruction des systèmes, les frais juridiques, la perte de clients et l'usure des équipes composent l'essentiel de la facture.

Les cas de Lise Charmel et Clestra montrent que le ransomware peut tuer une entreprise. Pas parce que la rançon était trop élevée, mais parce que l'entreprise n'avait pas les moyens de tenir pendant les semaines de reconstruction. Des sauvegardes testées, un plan de reprise, un programme de sensibilisation : ces mesures auraient coûté une fraction du coût final.

Le calcul est posé. Un programme de prévention complet coûte entre 30 000 et 80 000 euros par an pour une PME de 100 salariés. Un ransomware coûte entre 250 000 et 1,5 million d'euros. Le ratio est de 1 à 5 au minimum, de 1 à 50 dans les cas graves.

Ce n'est pas une question de budget. C'est une question de priorité. Et les entreprises françaises qui survivent aux ransomwares sont celles qui avaient investi avant l'attaque, pas celles qui dépensent après.

Pour commencer par la mesure ayant le meilleur rapport coût/efficacité, évaluez votre exposition au phishing avec une première campagne de simulation. C'est le vecteur d'entrée n°1 des ransomwares, et c'est le facteur sur lequel vous avez le plus de contrôle.

Articles similaires

10 PME françaises piratées : des histoires vraies qui font froid dans le dos

Lise Charmel, Clestra, Camaïeu, Manutan... 10 cas réels de PME et ETI françaises victimes de cyberattaques. Ransomware, phishing, redressement judiciaire : ce qui s'est passé, combien ça a coûté, et ce qu'elles auraient dû faire.

Combien coûte vraiment une cyberattaque pour une PME de 50 personnes

Analyse détaillée du coût réel d'une cyberattaque pour une PME française : coûts directs, indirects, cachés et comparaison avec le coût de la prévention.

Les 50 plus grandes fuites de données en France (2020-2026)

De France Travail (43M) à Viamedis (33M), recensement complet des 50 fuites de données les plus massives en France. Chronologie, chiffres, secteurs touchés et leçons à tirer pour votre entreprise.