Les PME sont-elles vraiment ciblees par les cybercriminels ?

Oui. 43% des cyberattaques ciblent des PME selon les etudes Verizon DBIR. Les PME sont perçues comme des cibles plus faciles que les grands groupes (moins de ressources securite) tout en etant suffisamment rentables. Elles servent aussi de point d'entree vers leurs clients grands comptes.

Une assurance cyber suffit-elle a se proteger contre une cyberattaque ?

Non. L'assurance indemnise apres sinistre, elle ne protege pas. De plus, les assureurs exigent desormais un niveau minimum de securite pour couvrir : MFA deploye, sauvegardes testees, patch management actif. Sans ces mesures, vous risquez une exclusion de garantie au moment ou vous en avez le plus besoin.

Comment convaincre la direction d'investir en cybersecurite ?

Presentez le ROI : le cout moyen d'une cyberattaque (225 000 EUR) represente 6 a 12 ans de budget securite pour une PME de 50 personnes. Ajoutez le risque de liquidation (60% des PME victimes font faillite dans les 18 mois) et la responsabilite personnelle des dirigeants introduite par NIS2.

Quelle est la depense minimale utile pour une PME de 20 personnes ?

Le triptyque fondamental : MFA sur tous les comptes (50 a 100 EUR/mois), EDR sur tous les postes (100 a 200 EUR/mois) et sauvegardes immutables testees mensuellement (100 a 300 EUR/mois). Ces 3 mesures eliminent la grande majorite des vecteurs d'attaque courants pour moins de 600 EUR/mois.

Chiffres sourcés IBM & ANSSI

225 000 € en moyenne. C'est ce qu'une cyberattaque coûte réellement à une PME française.

Pas la rançon seule. Le coût total - la partie émergée et l'immense partie immergée de l'iceberg que les assureurs et les DSI ne détaillent jamais assez.

Sources : IBM Cost of Data Breach Report 2024, ANSSI/Cybermalveillance, Hiscox Cyber Readiness Report. Tous les chiffres cités sont issus d'études publiées et vérifiables.

Audit cybersécurité gratuit Calculer mon exposition

Le coût en un coup d'oeil

Coûts directs (rançon, IT, forensique) 15 000 - 580 000 €

Pertes d'exploitation (21 jours moy.) Variable selon CA

Frais juridiques et RGPD 5 000 - 100 000 €

Atteinte réputation & perte clients Non assurable

TOTAL moyen PME française 225 000 €

Les coûts directs

Ce que vous voyez immédiatement - mais souvent sous-estimé dans l'urgence.

Rançon

0 - 500 000 €

Très variable selon la taille de la cible et la souche. Les groupes modernes pratiquent la "double extorsion" : ils chiffrent ET exfiltrent les données pour menacer de les publier même si vous payez.

Réponse à incident forensique

5 000 - 30 000 €

Un prestataire spécialisé PRIS (référencé ANSSI) est indispensable pour analyser le vecteur d'attaque, préserver les preuves et guider la reconstruction. Ce coût est non-négociable pour une reconstruction sûre.

Reconstruction IT

10 000 - 50 000 €

Matériel remplacé, licences réinstallées, configurations reconstruites, heures techniques. Pour un parc de 30 postes avec 2 serveurs, comptez 3 à 6 semaines de travail technique.

Données définitivement perdues

Inestimable

Historique clients, comptabilité, propriété intellectuelle, R&D. La valeur de certaines données perdues peut dépasser de très loin tous les autres coûts réunis - et ne peut pas être chiffrée a priori.

Les coûts indirects

Souvent 3 fois supérieurs aux coûts directs. Rarement couverts par l'assurance. Jamais anticipés.

IBM mesure en moyenne 21 jours d'arrêt complet ou partiel après une cyberattaque significative. Pour une PME réalisant 3 M€ de CA, cela représente 175 000 € de chiffre d'affaires non réalisé - sans compter les clients perdus définitivement.

Jours d'arrêt × CA journalier

21 jours d'arrêt en moyenne selon IBM. Multipliez par votre CA journalier moyen. Pour une PME à 2M€/an : environ 115 000 € de manque à gagner sur cette seule ligne.

Perte de clients et résiliation contrats

Les clients apprennent l'incident et certains partent. Les prospects en discussion abandonnent. Les contrats avec clauses de sécurité peuvent être résiliés avec pénalités.

Atteinte à la réputation

La confiance est longue à construire et rapide à perdre. Appels d'offres refusés, partenariats bloqués, couverture médiatique négative - difficile à quantifier, impossible à assurer.

Turnover des collaborateurs

Les salariés quittent une entreprise fragilisée. Recruter et former des remplaçants dans un contexte de crise coûte 1,5 à 2 fois le salaire annuel par départ.

Les coûts légaux et réglementaires

Un volet souvent découvert dans l'urgence - avec des délais légaux très courts.

Notification CNIL (72h)

Si des données personnelles ont été exposées, vous avez 72 heures pour notifier la CNIL. Les frais de conseil juridique pour gérer cette notification varient de 5 000 à 20 000 €.

Amendes RGPD

En cas de manquements aux obligations de sécurité du RGPD, les amendes peuvent atteindre 4% du CA mondial. La CNIL a infligé plusieurs amendes significatives à des PME ces dernières années.

Notification aux personnes concernées

Si le risque est élevé pour les personnes dont les données ont été exposées, vous devez les informer individuellement. Coût de communication + sous-traitant spécialisé + permanence téléphonique.

Défense en cas d'action en responsabilité

Vos clients, partenaires ou employés peuvent engager votre responsabilité civile ou pénale si l'incident résulte de négligences de sécurité avérées. Les frais de défense juridique sont substantiels.

Coût estimé par taille de PME

Estimations basées sur les données ANSSI, Hiscox et IBM Cost of Data Breach 2024.

Taille PME	Fourchette basse	Fourchette haute	Budget protection Evoir / mois
10 salariés	50 000 €	150 000 €	dès 500 €/mois
50 salariés	150 000 €	500 000 €	1 500 - 2 500 €/mois
150 salariés	500 000 €	2 000 000 €	3 000 - 6 000 €/mois

60% des PME victimes font faillite dans les 18 mois suivant une cyberattaque majeure (source : ANSSI / Cybermalveillance.gouv.fr).

Le ROI de la cybersécurité

Protéger votre PME n'est pas un coût - c'est le meilleur investissement possible rapporté au risque qu'il couvre.

6 - 12 ans

de budget sécurité couvert par une seule attaque évitée

Budget protection PME 50 salariés (Evoir)

1 500 - 2 500 €/mois

Coût moyen d'une cyberattaque

225 000 €

Coût annuel budget sécurité

18 000 - 30 000 €

Nombre d'années couvertes par 1 attaque évitée

7 à 12 ans

Ce que l'assurance cyber couvre - et ne couvre pas

L'assurance est complémentaire à la sécurité, pas un substitut. Voici ce que cachent les conditions générales.

Généralement couvert

Rançon (avec franchise)

Frais de réponse à incident et forensique

Pertes d'exploitation (avec délai de carence)

Frais de notification CNIL et communication

Frais de défense juridique

Généralement exclu

Amendes RGPD (non assurables en France)

Atteinte à la réputation

Données perdues définitivement

Incidents si MFA non déployé (clause de sécurité)

Incidents si correctifs non appliqués depuis plus de 90 jours

Point critique : les assureurs exigent désormais un niveau minimum de sécurité avant de couvrir. Un audit préalable - comme celui proposé par Evoir - vous permet de valider votre conformité aux exigences de couverture et d'éviter une mauvaise surprise lors d'un sinistre.

Questions fréquentes

Les PME sont-elles vraiment ciblées par les cybercriminels ?

Oui. 43% des cyberattaques ciblent des PME (Verizon DBIR). Les PME sont perçues comme des cibles faciles avec des ressources sécurité limitées, et servent souvent de point d'entrée vers leurs clients grands comptes.

Une assurance cyber suffit-elle à se protéger ?

Non. L'assurance indemnise après sinistre - elle ne protège pas. Les assureurs exigent désormais un niveau minimum de sécurité : MFA, sauvegardes testées, patch management. Sans ces mesures, vous risquez une exclusion de garantie.

Comment convaincre la direction d'investir en cybersécurité ?

Le ROI est imparable : 225 000 € de coût moyen incident vs 18 000 à 30 000 € de budget annuel sécurité. Sans oublier le risque de liquidation (60% de faillite à 18 mois) et la responsabilité personnelle des dirigeants introduite par NIS2.

Quelle dépense minimale pour une PME de 20 personnes ?

Le triptyque fondamental : MFA sur tous les comptes (~100 €/mois), EDR sur tous les postes (~150 €/mois) et sauvegardes immutables testées (~200 €/mois). Ces 3 mesures éliminent la majorité des vecteurs d'attaque courants pour moins de 500 €/mois.

Connaissez-vous réellement votre exposition aux risques cyber ?

Evoir réalise un audit cybersécurité complet pour les PME parisiennes. En 2 heures, vous savez exactement où vous en êtes - et ce que vous risquez de perdre.

Audit cybersécurité gratuit 01 84 16 30 16

225 000 € en moyenne. C'est ce qu'une cyberattaque coûte réellement à une PME française.

Le coût en un coup d'oeil

Les coûts directs

Rançon

Réponse à incident forensique

Reconstruction IT

Données définitivement perdues

Les coûts indirects

Jours d'arrêt × CA journalier

Perte de clients et résiliation contrats

Atteinte à la réputation

Turnover des collaborateurs

Les coûts légaux et réglementaires

Notification CNIL (72h)

Amendes RGPD

Notification aux personnes concernées

Défense en cas d'action en responsabilité

Coût estimé par taille de PME

Le ROI de la cybersécurité

Ce que l'assurance cyber couvre - et ne couvre pas

Généralement couvert

Généralement exclu

Questions fréquentes

Les PME sont-elles vraiment ciblées par les cybercriminels ?

Une assurance cyber suffit-elle à se protéger ?

Comment convaincre la direction d'investir en cybersécurité ?

Quelle dépense minimale pour une PME de 20 personnes ?

Connaissez-vous réellement votre exposition aux risques cyber ?

Ce que disent nos clients

Pages utiles pour passer du sujet à l’action

Articles liés

Services Evoir