Combien coûte en moyenne une cyberattaque pour une PME française ?

Selon l'ANSSI et le baromètre Orange Cyberdefense, une cyberattaque coûte en moyenne 466 000€ à une PME française, soit 5 à 10% de son chiffre d'affaires annuel. Ce montant inclut les pertes d'exploitation (50% de la facture), la reconstruction du système informatique, les frais d'experts forensiques, les coûts juridiques, la notification CNIL et les pertes de clients. Le coût de reconstruction d'un SI après attaque est en moyenne dix fois supérieur au coût d'une prévention sérieuse.

Mon assurance cyber couvre-t-elle les dommages en cas de ransomware ?

En 2026, les assureurs imposent des conditions techniques strictes pour indemniser. Si lors de l'expertise post-attaque il est constaté que vous n'aviez pas mis en place l'authentification multifacteur (MFA), que vos sauvegardes n'étaient pas déconnectées du réseau, ou que votre infrastructure présentait des failles connues non corrigées, l'assurance peut refuser d'indemniser. Un audit Pentest préalable constitue une preuve de diligence qui renforce significativement votre dossier auprès de l'assureur.

466 000€ : le coût réel d'une cyberattaque sur une PME — et comment l'éviter pour 190€

Q: Faut-il payer la rançon lors d'une attaque par ransomware ?

Non. L'ANSSI déconseille formellement de payer la rançon pour plusieurs raisons : aucune garantie de récupérer les données, financement de l'écosystème criminel, et statistiquement 50% des entreprises qui paient sont réattaquées dans les 12 mois. La rançon ne représente d'ailleurs qu'une fraction du coût total — 50% de la facture provient des pertes d'exploitation durant l'arrêt des systèmes, indépendamment du paiement.

Coût moyen d'une cyberattaque · PME française · Source ANSSI

466 000 €

soit 5 à 10% du chiffre d'affaires annuel

×10

le coût de reconstruction
vs le coût de la prévention

60 %

des PME victimes ferment
dans les 18 mois

5 jours

d'arrêt complet
en moyenne

La rançon n'est qu'un détail

Quand on parle de ransomware, on pense à la rançon. C'est compréhensible et c'est le chiffre que les pirates vous mettent sous les yeux. Mais c'est une erreur de comptabilité fatale. La rançon représente une fraction minoritaire du coût total d'une cyberattaque.

La vraie facture se compose de cinq lignes, et la rançon n'est souvent pas la plus lourde. Voici l'anatomie réelle des 466 000 € moyens.

50 %

~233 000 €

Pertes d'exploitation

Arrêt de la production, commandes non traitées, rupture de la chaîne logistique, salaires versés à des équipes à l'arrêt. Le compteur tourne dès la première heure, 24h/24, jusqu'au rétablissement complet du SI.

25 %

~115 000 €

Reconstruction du système informatique

Nouveaux serveurs, licences de remplacement, réinstallation de zéro, récupération des données depuis les sauvegardes (si elles existent et ne sont pas chiffrées). C'est le poste le plus long -> des semaines, parfois des mois.

15 %

~70 000 €

Experts forensiques, avocats, communicants de crise

CSIRT mobilisés en 24h/24 pour analyser l'attaque, contenir la propagation et produire un rapport pour l'ANSSI. Avocats pour la notification RGPD et les éventuelles poursuites. Communication de crise pour limiter la perte de confiance clients.

7 %

~33 000 €

Sanctions RGPD & amendes réglementaires

Toute fuite de données personnelles doit être notifiée à la CNIL dans les 72h. En cas de négligence avérée (absence de MFA, données non chiffrées), les sanctions peuvent être considérables et désormais amplifiées par NIS2.

3 %

~15 000 €

La rançon (si payée)

Le montant le plus visible mais rarement le plus élevé. Et l'ANSSI déconseille formellement de payer : aucune garantie de récupérer les données, et 50% des entreprises qui paient sont réattaquées dans les 12 mois.

⚠ Ce que les assureurs ne vous disent pas

En 2026, le marché de l'assurance cyber a radicalement changé. Face à l'explosion des sinistres, les assureurs imposent désormais des conditions techniques draconniennes. Si lors d'une expertise post-attaque l'expert découvre que vous n'aviez pas de MFA activé, que vos sauvegardes étaient connectées au même réseau que vos serveurs, ou que votre infrastructure présentait des failles connues non corrigées l'assurance peut refuser toute indemnisation.

Les 72 premières heures d'une cyberattaque : heure par heure

Pour comprendre comment une PME peut engloutir 400 000 € en quelques semaines, voici la chronologie réelle d'une crise cyber, telle qu'elle se déroule dans des centaines d'entreprises françaises chaque année.

J – 14
Infiltration silencieuse. Le pirate entre via une faille (port ouvert, mot de passe recyclé, VPN non patché) et installe discrètement un accès persistant. Il cartographie votre réseau, identifie vos sauvegardes, vos serveurs critiques, vos accès bancaires. Vous ne voyez rien. La durée moyenne entre l'infiltration et la détection est de 14 jours.
Vendredi 23h
Déclenchement. Les attaquants choisissent toujours les moments de vulnérabilité: vendredi soir, nuit, jour férié. Le ransomware se propage sur l'ensemble du réseau en quelques minutes. Vos fichiers sont chiffrés. Vos sauvegardes connectées au réseau aussi.
Lundi 8h
Écrans noirs. Vos équipes arrivent et trouvent des postes bloqués, un message de rançon, aucun accès possible aux fichiers, emails, CRM ou ERP. La production s'arrête net. Le chômage technique commence. Le compteur des pertes tourne.
J + 1 : 24h
Notification ANSSI obligatoire (si vous êtes en périmètre NIS2). Alerte initiale à transmettre dans les 24h. Parallèlement : appel à un CSIRT pour analyser l'attaque, contact avec votre assureur, notification de votre avocat. Les honoraires commencent.
J + 3 : 72h
Notification CNIL obligatoire si des données personnelles ont été compromises. Rapport d'incident détaillé requis. Si des données clients, salariés ou partenaires ont été exposées, c'est une violation RGPD avec les conséquences financières et réputationnelles que cela implique.
J + 5 à J + 30
Reconstruction. Réinstallation de zéro, reconfiguration, test des nouvelles mesures de sécurité. Pendant ces semaines, votre capacité de production est partielle. Certains clients partent. Certains partenaires doutent. La facture continue de monter.

Les 5 groupes de ransomware les plus actifs contre les PME françaises

Le ransomware n'est plus l'œuvre de hackers solitaires. C'est une industrie criminelle organisée, avec des groupes spécialisés, des filiales, un service client et parfois un programme de parrainage. Voici les cinq familles qui concentrent la majorité des attaques contre les entreprises françaises en 2026.

Akira — PME/ETI, VPN non patchés

Spécialisé dans les PME et ETI via des vulnérabilités sur les VPN et équipements réseau. Cible particulièrement les entreprises de services et l'industrie légère.

RansomHub — Tous secteurs, RaaS

Modèle Ransomware-as-a-Service permettant à des filiales d'utiliser leurs outils. Parmi les plus actifs mondialement. Double extorsion : chiffrement + menace de publication des données.

Qilin — Santé, collectivités

Cible préférentiellement le secteur santé et les collectivités locales. Particulièrement agressif sur la divulgation publique des données pour maximiser la pression.

Medusa — Santé, industrie

Utilisé notamment par le groupe Lazarus (mars 2026). Triple extorsion : chiffrement + exfiltration + attaque DDoS simultanée. Délais très courts avant publication.

Donnée clé : selon le baromètre Mailinblack 2026, 26% des dirigeants tombent dans le panneau des ransomwares, le taux le plus élevé de tous les profils testés. Les attaques les ciblent entre 20h et 22h, hors des heures de bureau où la vigilance est réduite.

Audit Cybersécurité · Pentest IA

466 000 € de risque. 190 € de prévention.

Notre agent IA simule une cyberattaque complète sur votre infrastructure et identifie chaque porte d'entrée avant que les pirates ne le fassent. Rapport détaillé avec plan d'action priorisé en 24h, pour 190 €.

Lancer mon Audit Pentest 190 € · Rapport sous 24h

L'assurance cyber : ce qu'elle couvre vraiment en 2026

68% des PME investissent moins de 2 000 € par an en cybersécurité en pensant que leur assurance compensera le reste. C'est un calcul risqué et de plus en plus souvent faux.

Le marché de l'assurance cyber a profondément muté en 2025-2026. Face à l'explosion des sinistres, les assureurs ont durci massivement leurs conditions d'indemnisation. Les clauses d'exclusion se multiplient. Voici les conditions que les principales compagnies exigent désormais systématiquement :

✓
MFA activé sur tous les comptes email et accès critiques. C'est devenu le prérequis absolu numéro un. Sans MFA documenté, la plupart des assureurs appliquent une franchise majorée ou refusent l'indemnisation.
✓
Sauvegardes hors ligne et testées régulièrement. Une sauvegarde connectée au réseau est chiffrée en même temps que vos données. L'assureur exige une sauvegarde déconnectée (règle 3-2-1) et la preuve de tests de restauration récents.
✓
Absence de failles critiques connues et non corrigées. Si votre infrastructure présente des CVE (failles publiques) non patchées au moment de l'attaque, l'assureur peut invoquer la négligence. Un rapport d'audit Pentest récent est une preuve de diligence qui protège votre dossier.
✓
Plan de continuité documenté (PCA/PRA). L'assureur vérifie que vous aviez anticipé la crise. Un plan de reprise documenté réduit également considérablement la durée de l'arrêt et donc la facture finale.

"Le coût de reconstruction d'un SI après une attaque est en moyenne dix fois supérieur au coût de prévention. Ce n'est pas un argument de vendeur de sécurité, c'est la réalité documentée par l'ANSSI et Orange Cyberdefense sur des milliers de cas réels."

L'équation que tout dirigeant devrait faire

Sans prévention

466 000 €

coût moyen d'une attaque réussie

+ 5 jours d'arrêt minimum
+ Données clients exposées
+ Amende CNIL/NIS2 possible
+ Assurance peut refuser
+ 60% de risque de faillite

Avec audit préventif

190 €

audit Pentest complet sous 24h

✓ Failles identifiées avant les pirates
✓ Plan d'action priorisé fourni
✓ Preuve de diligence pour l'assureur
✓ Premier document de conformité NIS2
✓ Rapport sous 24h par email

Ce tableau ne vend pas la sécurité à 100% car aucun système n'est inviolable. Il montre que l'audit identifie les failles les plus exploitables et vous permet de les corriger avant qu'elles ne coûtent 466 000 €. C'est l'investissement avec le meilleur rapport risque/rendement qui existe pour une PME en 2026.

Ce qu'un audit Pentest détecte et que vous ne voyez pas

Les failles les plus exploitées ne sont pas spectaculaires. Ce sont des erreurs de configuration silencieuses, invisibles de l'intérieur, et détectées en quelques secondes par les robots des pirates.

→
Ports réseau exposés (MySQL 3306, SSH 22, RDP 3389 accessibles depuis l'extérieur) — une porte grande ouverte sur votre base de données ou vos postes de travail.
→
Fichiers sensibles accessibles publiquement (.env, backup.sql, config.php.bak) — vos identifiants de base de données, vos clés API, vos mots de passe en clair.
→
CMS et plugins obsolètes avec des CVE publiées — les failles connues que les scanners automatiques des pirates exploitent en priorité.
→
En-têtes de sécurité manquants (HSTS, CSP, X-Frame-Options) — des protections basiques contre le clickjacking et les injections de contenu malveillant.
→
Interfaces d'administration exposées (phpMyAdmin, Webmin, dashboards sans restriction IP) — un accès direct à vos systèmes pour quiconque connaît l'URL.

466 000 € vs 190 €

La décision la plus rentable
que vous prendrez cette semaine.

Notre agent IA simule une cyberattaque complète sur votre infrastructure. Chaque faille est identifiée, classée par criticité, avec le correctif précis à appliquer. Rapport par email sous 24h. Pas d'abonnement. Pas de jargon.

Commander mon Audit Pentest (190 €) Voir un exemple de rapport

Rapport sous 24h · Conforme RGPD · Aucune donnée stockée · Preuve de diligence pour votre assureur

Êtes-vous dans le périmètre NIS2 ? Lire notre guide NIS2 →