Quand on parle du coût d'une cyberattaque, on pense rançon. C'est l'arbre qui cache la forêt : dans la majorité des dossiers PME, la rançon ne représente que 10 à 20 % de la facture totale. Le reste se répartit entre arrêt d'activité, frais d'experts, frais juridiques, notification clients et perte commerciale durable.
Poste 1 — La perte d'exploitation
C'est le poste numéro un, et de loin. Une PME qui perd l'accès à son ERP, sa messagerie ou son site e-commerce pendant 8 à 21 jours subit un manque à gagner direct. Pour une entreprise de 5 M€ de CA, cela représente entre 110 000 et 290 000 € de chiffre d'affaires non réalisé. À cela s'ajoutent les charges fixes qui continuent de courir : salaires, loyers, leasings, abonnements.
Poste 2 — Les frais de réponse à incident
Forensic numérique : 800 à 1 800 €/jour par expert, comptez 3 à 8 jours selon la complexité. Restauration des systèmes : 5 000 à 25 000 €. Avocat spécialisé RGPD/cyber : 250 à 400 € de l'heure, généralement 20 à 60 heures sur le dossier complet. Communication de crise : 8 000 à 30 000 € si sinistre médiatisé. Sur un dossier moyen, ces postes cumulés représentent 25 000 à 80 000 €.
Poste 3 — La rançon (quand elle est payée)
La rançon médiane demandée à une PME française en 2025 était de 180 000 €. Après négociation, le montant effectivement payé tombe à 35 000–60 000 €. Mais attention : seules 30 à 35 % des entreprises paient. Les autres restaurent depuis sauvegardes (quand elles existent), acceptent la perte de données, ou rebâtissent. Payer ne garantit pas la récupération : 8 % des entreprises qui paient ne récupèrent jamais les données. La position de l'ANSSI reste de ne pas payer.
Poste 4 — La RC cyber et les recours de tiers
Si des données clients ont fuité, attendez-vous à des recours. Action de groupe RGPD, demandes individuelles de dommages-intérêts, ruptures contractuelles de gros clients invoquant la perte de confiance. Sur le marché français, on observe des règlements transactionnels entre 20 000 et 200 000 € pour des PME. À cela peut s'ajouter une amende CNIL — non assurable — pouvant atteindre 4 % du CA.
Poste 5 — La perte commerciale durable
Ce poste est rarement chiffré mais bien réel : 12 à 18 mois après l'attaque, on observe en moyenne 5 à 12 % de baisse de CA sur les segments B2B sensibles à la sécurité. Les appels d'offres exigent désormais des certifications cyber, des historiques d'incidents, des références d'assurance. Une PME ayant subi un sinistre déclaré perd des contrats au profit de concurrents jugés plus sûrs.
Total et prise en charge par l'assurance
Cumul moyen sur un sinistre PME complet : 95 000 à 250 000 € selon la sévérité. Une assurance cyber bien dimensionnée prend en charge l'intégralité des postes 1 à 4, avec une franchise généralement comprise entre 2 500 et 10 000 €. Le poste 5 (perte commerciale durable) reste à la charge de l'entreprise : aucune assurance ne couvre la perte de réputation à long terme. D'où l'importance d'agir vite et bien sur la gestion de crise — c'est là que le contrat prouve sa valeur, bien au-delà du chèque d'indemnisation.