Un lundi matin ordinaire. Fabrice, dirigeant d’une PME de menuiserie industrielle en région lyonnaise, allume son ordinateur. Rien ne s’affiche. Les serveurs sont chiffrés, les fichiers clients inaccessibles, la chaîne de production à l’arrêt. Un message s’affiche : « Payez 45 000 € en bitcoin sous 72 heures. » Trois semaines plus tard, l’entreprise rouvrira — après avoir perdu 320 000 € au total. La rançon ne représentera que 14 % de la facture finale.
Cette histoire n’est pas exceptionnelle et à Sécurité Off nous l’avons déjà vécue. Elle se reproduit chaque semaine en France, dans des entreprises de toutes tailles, dans tous les secteurs. Et pourtant, quand le sujet de la cybersécurité arrive en réunion de direction, la réaction est souvent la même : « On verra ça l’année prochaine. On n’a pas le budget. » Ce réflexe est compréhensible. Il est aussi, chiffres à l’appui, l’une des décisions les plus coûteuses qu’un dirigeant puisse prendre.
Le coût visible n’est que la partie émergée
Quand on pense au coût d’une cyberattaque, on pense à la rançon. C’est une erreur de cadrage. Dans la quasi-totalité des cas documentés, la rançon — quand elle est payée — représente moins de 20 % du coût total de l’incident. Le vrai gouffre financier est ailleurs, et il est largement invisible au moment où on signe le chèque aux hackeurs.
Commençons par l’arrêt d’activité. Une entreprise industrielle de 80 personnes génère en moyenne 15 000 à 40 000 € de chiffre d’affaires par jour. Chaque jour de paralysie informatique, c’est autant de perdu — parfois définitivement, si les clients trouvent un autre fournisseur pendant la crise. Les études menées sur les PME françaises attaquées entre 2021 et 2024 montrent une durée moyenne d’interruption de 18 à 23 jours. Faites le calcul.
Viennent ensuite les coûts de reconstruction : remplacement du matériel compromis, intervention de prestataires spécialisés en réponse à incident (facturés entre 1 500 et 4 000 € par jour d’expert), restauration des données, remise en conformité des systèmes. Une facture qui dépasse rarement les 30 000 € dans les scénarios optimistes, mais qui peut atteindre 150 000 € pour une structure de taille intermédiaire.
Les coûts cachés qui ruinent en silence
Il existe une troisième catégorie de coûts, encore plus difficile à quantifier mais souvent dévastatrice sur le long terme : les coûts de réputation et les coûts légaux.
Depuis l’entrée en vigueur du RGPD, toute entreprise victime d’une violation de données personnelles a l’obligation de le notifier à la CNIL dans les 72 heures. En cas de manquement, les sanctions peuvent atteindre 4 % du chiffre d’affaires mondial. Mais au-delà des amendes, c’est la relation client qui est en jeu. Selon une étude du cabinet PwC, 87 % des consommateurs déclarent qu’ils cesseraient de travailler avec une entreprise si celle-ci ne protégeait pas correctement leurs données. Pour une PME B2B dont la réputation repose sur la confiance, la perte d’un ou deux grands comptes suffit à fragiliser l’équilibre financier.
Ajoutez à cela les primes d’assurance cyber qui s’envolent après un sinistre (certains assureurs refusent même de renouveler les contrats), les coûts RH liés à la gestion de crise, et la baisse de productivité des équipes pendant les semaines de reconstruction. Le tout forme un tableau que peu de dirigeants ont réellement chiffré avant de déclarer qu’ils « n’ont pas le budget » pour se protéger.
Ce qu’une PME peut mettre en place pour 5 000 € par an
La bonne nouvelle, c’est que la protection de base n’exige pas des investissements pharaoniques. Pour une PME de 20 à 100 personnes, un socle sérieux peut être constitué autour de quatre piliers essentiels.
La sauvegarde isolée des données d’abord. Règle du 3-2-1 : trois copies, sur deux supports différents, dont une hors ligne. Coût : quelques centaines d’euros par an. C’est la mesure numéro un qui détermine si vous payez une rançon ou si vous redémarrez proprement.
La gestion des mots de passe et l’authentification à deux facteurs ensuite. Un gestionnaire de mots de passe d’entreprise et l’activation de la double authentification sur tous les comptes critiques (messagerie, outils cloud, accès comptable) coûtent moins de 500 € par an et neutralisent une part massive des tentatives d’intrusion.
La formation des collaborateurs, troisième pilier. Une demi-journée de sensibilisation par an, complétée par des simulations de phishing, suffit à multiplier par trois la capacité d’une équipe à détecter une tentative de manipulation.
Un audit de sécurité annuel enfin, pour identifier les failles avant les attaquants. Des prestataires spécialisés proposent des diagnostics adaptés aux PME pour 1 500 à 3 000 €.
Total : moins de 5 000 € par an pour une couverture réelle des risques les plus fréquents. À comparer au coût moyen d’un incident — estimé par l’ANSSI à 190 000 € pour une PME en 2023.
La cybersécurité n’est plus un coût IT
C’est là que réside le changement de paradigme nécessaire pour tout dirigeant. La cybersécurité n’est pas une dépense informatique. C’est une assurance sur la continuité de votre activité, sur votre réputation, sur la confiance que vous accordent vos clients et vos partenaires.
Aucun chef d’entreprise sensé ne roulerait sans assurance automobile au prétexte que « les accidents, ça n’arrive qu’aux autres ». Pourtant, c’est exactement ce que font encore aujourd’hui la moitié des PME françaises en matière de cybersécurité.
La question n’est plus « est-ce qu’on peut se faire attaquer ? ». La question est : « quand ça arrivera, est-ce que mon entreprise survivra ? »