Avoir des sauvegardes opérationnelles est indispensable. Mais le backup ne couvre qu'une partie du coût d'un sinistre cyber — et certains des coûts les plus élevés ne sont pas du tout liés à la restauration des données. Voici ce que le backup laisse à votre charge.
Ce que le backup résout
Un backup propre et testé permet de reconstruire les systèmes après chiffrement, sans payer la rançon. C'est essentiel : sans sauvegardes, vous êtes pieds et poings liés. Les sauvegardes 3-2-1 immuables (3 copies, 2 supports, 1 hors ligne immuable) résistent à 95 % des ransomwares modernes. Le backup est la pierre angulaire de toute défense.
Ce que le backup ne résout pas
La perte d'exploitation pendant la restauration : 5 à 21 jours en moyenne pour une PME, soit 60 000 à 280 000 € de CA non réalisé. Les frais d'experts forensicpour identifier la brèche et nettoyer : 25 000 à 80 000 €. L'obligation RGPDde notifier la CNIL et les personnes concernées si données fuitées : 30 000 à 150 000 €.
Les recours des clients dont les données ont été exfiltrées (la double extorsion moderne consiste à exfiltrer avant de chiffrer) : 50 000 à 500 000 €. Les amendes CNILsi négligence prouvée : non assurables, mais elles existent. La perte commerciale durableà 12-18 mois : 5 à 12 % de baisse de CA.
Le piège du « on a des sauvegardes »
Trois pièges classiques. Sauvegardes contaminées : l'attaquant est dans le système depuis 30 jours et a chiffré ou détruit les sauvegardes avant le déclenchement final. Sauvegardes non testées : 38 % des PME ne testent jamais leur restauration. Le jour J, on découvre que les fichiers sont incomplets ou corrompus. Sauvegardes en ligne sans immutabilité : un attaquant ayant les droits admin les supprime ou les chiffre comme le reste.
L'exemple chiffré
PME industrielle, 35 salariés, 7 M€ de CA. Ransomware avec exfiltration. Sauvegardes propres testées toutes les semaines : restauration possible en 8 jours. Coût intégral : perte d'exploitation 215 000 €, forensic 38 000 €, avocat RGPD 22 000 €, notification 80 000 clients 95 000 €, recours clients négocié à 120 000 €. Total : 490 000 €. Sans assurance, entièrement à la charge de l'entreprise. Avec assurance à 4 200 €/an : 5 000 € de franchise, le reste est pris en charge.
La logique économique
Le backup est un investissement de prévention : il évite la rançon et accélère la restauration. L'assurance est un outil de financement du risque résiduel : elle paie les coûts non couverts par la prévention. Les deux ne se substituent pas — ils s'empilent. Une PME mature en 2026 dispose des deux : sauvegardes 3-2-1 immuables (1 500 à 8 000 €/an selon volume) ET assurance cyber (1 500 à 5 000 €/an pour PME standard).
Ce qu'exige l'assureur
Les contrats cyber 2026 imposent généralement des sauvegardes immuables ou hors ligne, testées au moins une fois par an. Sans cela, l'assurance peut refuser ou réduire l'indemnisation. C'est cohérent : l'assureur veut éviter de payer sur des dossiers où la prévention a été négligée. La conséquence positive : souscrire pousse à mettre en place les bonnes pratiques. Avoir une assurance, c'est aussi se discipliner.