Catégories : Cyberattaque · Coûts · Risques PME Temps de lecture : 8 min ·
Je vais vous poser une question directe : si votre entreprise subissait une cyberattaque demain matin, combien ça vous coûterait ?
Pas en théorie. Pas “dans le pire des cas”. Concrètement, en euros, sur votre trésorerie, dans les 6 prochains mois.
La plupart des dirigeants que je rencontre n’ont aucune idée de la réponse. Et c’est exactement le problème.
Parce que quand on ne sait pas ce qu’on risque, on ne se protège pas. Et quand on ne se protège pas… 60 % des entreprises victimes d’une cyberattaque ferment dans les 18 mois qui suivent.
Cet article ne contient pas de chiffres inventés pour vous faire peur. Ce sont des données issues de l’ANSSI, du CESIN et des rapports de référence 2025-2026. Mon objectif est simple : que vous terminiez cette lecture en sachant exactement ce que vous risquez — et avec les moyens de l’éviter.
Le chiffre que personne ne veut entendre
Selon l’ANSSI, une cyberattaque coûte en moyenne 466 000 euros à une PME française, soit entre 5 % et 10 % du chiffre d’affaires annuel.
Prenez le temps de relire ce chiffre.
466 000 euros. Pour une PME. En moyenne.
Ce n’est pas le scénario catastrophe d’une multinationale qui se fait pirater ses données clients. C’est la moyenne des PME françaises touchées. Votre voisin de zone industrielle. Le transporteur qui livre vos commandes. Le cabinet comptable du coin de la rue.
Et si 466 000€ représente la moyenne, ça signifie que la moitié des victimes paient encore plus cher.
La facture détaillée : où part vraiment l’argent
Voici ce que les dirigeants ne voient jamais venir : la rançon n’est souvent que la partie émergée de l’iceberg.
50 % du coût total d’une cyberattaque provient des pertes d’exploitation : arrêt de la production, chômage technique, perte de chiffre d’affaires. Pas de la rançon. Pas des frais informatiques. Des jours et semaines où votre entreprise tourne au ralenti ou s’arrête complètement.
Voici la décomposition réelle d’une facture type :
1. Les coûts directs immédiats
Rançon : entre 10 000 et 100 000€ pour une PME de taille moyenne. Les cybercriminels calibrent leurs demandes en fonction de la taille de l’entreprise — ils ont accès à vos données comptables avant même de vous contacter. Restauration des systèmes : faire appel à des experts en réponse à incident coûte entre 5 000 et 50 000€ selon la gravité. Remplacement de matériel compromis : postes de travail, serveurs, équipements réseau — souvent plusieurs dizaines de milliers d’euros.
2. L’interruption d’activité : le vrai gouffre
C’est là que la facture explose. Les coûts liés à l’interruption d’activité représentent en moyenne 7 300€ par jour d’arrêt — mais pour certaines PME industrielles ou de services, ce chiffre est multiplié par 10. Et une restauration complète après ransomware prend en moyenne 21 jours. Faites le calcul.
3. Les coûts juridiques et réglementaires
Notification obligatoire à la CNIL en cas de violation de données personnelles (sous 72h). Frais d’avocat. Et depuis NIS2, les entités concernées doivent notifier l’ANSSI sous 24h — avec des sanctions pouvant atteindre 10 M€ en cas de non-conformité préalable.
4. La perte de clients et l’atteinte à la réputation
47% des PME victimes perdent des prospects et 43% perdent des clients après une attaque. Ce n’est pas dans la facture immédiate. C’est dans votre chiffre d’affaires des 12 mois suivants.
5. L’assurance qui ne paie pas
En 2026, si lors d’une attaque l’expert mandaté par l’assureur découvre que vous n’aviez pas mis en place l’authentification multifacteur (MFA) ou que vos sauvegardes n’étaient pas déconnectées du réseau, l’assurance refusera de vous indemniser.
En France, seules 3,5 % des PME disposent d’une assurance cyber. Et parmi celles qui en ont une, une part croissante se retrouve à ne pas toucher un centime parce qu’elles n’ont pas respecté les clauses de sécurité minimale.
“Mais nous, on est trop petits pour être ciblés”
C’est la phrase que j’entends le plus souvent. Et c’est la plus dangereuse.
Les TPE et PME sont la cible de 75 % des cyberattaques en France. Pas les grands groupes. Pas les banques. Vous.
Pourquoi ? La réponse est purement économique. Pour un cybercriminel, attaquer une grande entreprise bien protégée demande des mois de préparation et des compétences techniques pointues. Attaquer 500 PME avec le même outil automatisé, c’est beaucoup plus rentable. Les PME ne disposent généralement pas d’équipe de cybersécurité, ni même de prestataire externe dédié — et elles ne savent souvent pas ce que leur entreprise rend accessible sur Internet.
C’est ce qu’on appelle le ratio effort/gain. Vous êtes une cible attractive précisément parce que vous semblez peu préparés.
Le nombre d’entreprises de moins de dix salariés ayant subi une cyberattaque a augmenté de plus de 50 % au cours des trois dernières années. La tendance ne s’inverse pas.
Les 3 types d’attaques qui coûtent le plus cher aux PME
Le ransomware : la paralysie totale
C’est l’attaque la plus destructrice financièrement. Vos fichiers sont chiffrés, vos systèmes bloqués, et vous recevez une demande de rançon. L’ANSSI a comptabilisé 144 compromissions par ransomware signalées en 2024, un niveau équivalent à 2023 mais toujours très élevé.
Ce que les dirigeants ignorent : même si vous payez la rançon (ce que l’ANSSI déconseille formellement), vous n’êtes pas sûr de récupérer vos données. Et vous aurez quand même les coûts de restauration et d’arrêt d’activité.
Le phishing : la porte d’entrée numéro 1
91 % des cyberattaques réussies débutent par un email frauduleux. Un clic d’un collaborateur sur une pièce jointe piégée, et c’est terminé. Le phishing ne coûte presque rien aux attaquants — il suffit d’envoyer des millions d’emails en espérant que quelqu’un morde à l’hameçon. 24,8 % des emails reçus en entreprise sont indésirables selon le Baromètre Cyber 2026 de Mailinblack — soit un email sur quatre. Vos collaborateurs nagent dans ce bruit de fond toute la journée.
L’arnaque au président : la discrétion redoutable
Votre comptable reçoit un email de “vous” (ou du directeur financier) lui demandant de réaliser un virement urgent et confidentiel. L’arnaque au président concerne 38 % des entreprises touchées. Le coût moyen d’un virement frauduleux réussi ? Plusieurs dizaines de milliers d’euros — rarement récupérables.
Ce que ça coûte selon la taille de votre entreprise
Les chiffres varient significativement selon la taille de l’entreprise. Voici une grille réaliste basée sur les données disponibles :
TPE (moins de 10 salariés) : entre 15 000 et 80 000€. Souvent fatal pour la trésorerie, car la PME n’a pas de matelas financier pour absorber le choc. C’est dans cette catégorie que le taux de fermeture est le plus élevé.
PME (10 à 250 salariés) : entre 59 000 et 466 000€ selon l’ANSSI. La fourchette est large parce que tout dépend de la durée d’arrêt, du secteur d’activité et du niveau de préparation.
ETI (250 salariés et plus) : le coût moyen d’un ransomware pour les entreprises de plus de 250 salariés atteint 1,2 million d’euros, incluant la rançon si elle est payée, la restauration des systèmes et les pertes d’exploitation.
Un point important : une entreprise sur huit rapporte des coûts dépassant 230 000€, soulignant la gravité des cyberattaques les plus destructrices. La moyenne masque des situations extrêmes dont certaines PME ne se relèvent pas.
Le calcul que tout dirigeant devrait faire
Voici un exercice simple. Prenez votre chiffre d’affaires journalier. Multipliez-le par 21 (durée moyenne de restauration après ransomware). Ajoutez 30 000€ de frais techniques. Ajoutez 15 000€ de frais juridiques. Ajoutez la valeur de la perte de 2 ou 3 gros clients.
C’est votre exposition réelle à une cyberattaque.
Maintenant, comparez ce chiffre au coût annuel d’une protection sérieuse. Pour une PME, un investissement annuel de 10 000 euros en cybersécurité permet statistiquement d’éviter un sinistre à 130 000 euros. Le retour sur investissement est l’un des meilleurs que vous puissiez faire.
Et pourtant : 68 % des PME investissent moins de 2 000 euros annuels en cybersécurité, alors que l’ANSSI recommande 15 % du budget IT.
Les coûts cachés dont personne ne parle
Au-delà de la facture immédiate, il y a des coûts que les études ne mesurent pas toujours — mais que les dirigeants qui ont vécu une attaque connaissent bien.
Le coût humain. Vos équipes passent des semaines dans la gestion de crise plutôt que dans leur travail normal. Le stress, la pression, parfois la culpabilité d’un collaborateur dont le clic a tout déclenché. Des départs. Une ambiance dégradée pour des mois.
Le coût commercial. Vos concurrents n’ont pas eu de cyberattaque cette semaine. Pendant que vous gérez la crise, ils prospectent vos clients. 47 % des PME victimes perdent des prospects dans les mois qui suivent. Ces opportunités ne reviennent pas.
Le coût de la confiance. Un client grand compte qui apprend que ses données ont peut-être été compromises via vous ne vous le pardonnera pas facilement. Et avec NIS2, il a désormais des obligations contractuelles qui lui interdisent de travailler avec des fournisseurs insuffisamment sécurisés.
Le coût psychologique du dirigeant. On en parle peu, mais les dirigeants de PME qui ont traversé une cyberattaque sérieuse décrivent souvent l’expérience comme l’une des plus éprouvantes de leur vie professionnelle. La sensation de perte de contrôle, de violation, de vulnérabilité. Ce n’est pas dans les bilans comptables — mais c’est réel.
Ce que coûte la protection (pour mettre les choses en perspective)
La protection n’est pas gratuite. Mais comparée au risque, elle est remarquablement abordable.
Voici ce que coûtent les mesures de base pour une PME de 20 personnes :
Activation du MFA sur Microsoft 365 ou Google Workspace : 0€ (inclus dans vos abonnements actuels — il suffit de l’activer). Solution de sauvegarde externe automatisée : entre 500 et 2 000€ par an. Formation anti-phishing des équipes : entre 1 000 et 3 000€ par an. Audit de cybersécurité complet : entre 3 000 et 20 000€ selon la taille. Assurance cyber de base : entre 2 000 et 8 000€ par an selon le secteur.
Total pour une protection sérieuse : entre 7 000 et 30 000€ par an selon votre taille. Face à une exposition moyenne de 59 000 à 466 000€.
Penser être “trop petit pour être une cible” est l’erreur la plus dangereuse qu’un dirigeant puisse faire en 2026.
Connaître votre niveau de risque avant qu’il soit trop tard
Le problème avec les cyberattaques, c’est qu’on n’en parle qu’après. Le dirigeant qui aurait bien voulu investir 10 000€ dans la cybersécurité est celui qui signe aujourd’hui un chèque de 200 000€ à un cabinet de gestion de crise.
La première étape, c’est de savoir où vous en êtes. Pas besoin d’un audit à 15 000€ pour ça. Notre outil de diagnostic sur cyberdiagnostic.fr analyse votre niveau de protection sur les 5 piliers essentiels — accès, sauvegardes, gestion des incidents, conformité réglementaire et sensibilisation des équipes — en 10 minutes chrono.
Résultat immédiat. Recommandations personnalisées. 9,99€. Parce que savoir où vous en êtes ne devrait pas coûter une fortune.
En résumé : les chiffres à retenir
Pour partager cet article ou en parler en réunion de direction, voici les données clés :
466 000€ : coût moyen d’une cyberattaque pour une PME française selon l’ANSSI.
60 % : part des PME victimes qui ferment dans les 18 mois suivant une attaque.
75 % : part des cyberattaques en France qui ciblent les TPE et PME.
91 % : part des cyberattaques réussies qui débutent par un email frauduleux.
68 % : part des PME qui investissent moins de 2 000€/an en cybersécurité — alors que l’ANSSI recommande 15 % du budget IT.
3,5 % : part des PME couvertes par une assurance cyber.
Article rédigé par l’équipe CyberDiagnostic.fr — Nous aidons les dirigeants de PME à comprendre et améliorer leur niveau de cybersécurité, sans jargon et sans budget de grand groupe.