Coût d’une cyberattaque : 466 000 € pour une PME, 13 M€ pour une ETI… qui assume vraiment ?

Le coût d’une cyberattaque n’est plus un sujet “IT”. C’est un choc business : arrêt d’activité, pertes d’exploitation, mobilisation de prestataires externes, remise en état du SI, tensions clients… et parfois un impact durable sur la confiance.

Coût d’une cyberattaque : les chiffres qui font basculer une discussion COMEX

On peut connaître ces ordres de grandeur… et pourtant, quand on les remet sur la table, ça recadre tout :

  • 466 000 € : coût moyen d’un incident cyber majeur pour une TPE / PME

  • 13 M€ : coût moyen pour une ETI

Ce qui compte ici, ce n’est pas le chiffre “pour faire peur”. C’est ce qu’il impose comme question de gouvernance : êtes-vous capables d’encaisser ce choc sans mettre l’entreprise à genoux ?

Répartition du coût d’une cyberattaque : pourquoi ce n’est pas la rançon le sujet

Quand on regarde la structure du coût d’une cyberattaque, on comprend vite : la rançon n’est qu’une ligne parmi d’autres.

  • 50 % : pertes d’exploitation (activité à l’arrêt)

  • 20 % : prestations externes (forensic, juridique, communication de crise…)

  • 20 % : remise en état (SI, outils, durcissement post-crise)

  • 10 % : impact réputationnel

Le vrai coût, c’est surtout :

  • du chiffre d’affaires perdu,

  • des semaines de désorganisation,

  • des décisions sous stress,

  • des échanges tendus avec clients, assureurs, partenaires, parfois régulateurs.

Coût d’une cyberattaque : la question simple que le COMEX doit trancher

La question n’est plus seulement : « Sommes-nous bien protégés ? »
Mais : « Sommes-nous prêts ? »

Voici le test le plus concret :

Combien coûte 5 jours d’arrêt réel chez vous ?

Pas un “arrêt théorique”. Un arrêt facturation / production / logistique / support.

  • Quel est le coût d’arrêt par jour ?

  • Quelles activités doivent redémarrer en premier ?

  • Qui décide quand l’information est incomplète ?

  • Quels sont les arbitrages acceptables (service minimal, contournements, priorités clients) ?

5 questions COMEX pour piloter le coût d’une cyberattaque (et pas seulement la technique)

  1. Quel est notre coût d’arrêt par jour (CA, pénalités, retards, surcoûts) ?

  2. Quel scénario nous met à l’arrêt le plus vite (AD, ERP, messagerie, IT/OT…) ?

  3. Qui est “owner” de la décision quand ça devient business (DG/DAF/DO/RSSI) ?

  4. Quels prestataires sont prêts (forensic, avocat, communication) avant la crise ?

  5. A-t-on déjà fait un exercice “pour de vrai” avec le COMEX ?

Conclusion : remettre le coût d’une cyberattaque au bon endroit (la gouvernance)

Rappeler le coût d’une cyberattaque ne sert pas à dramatiser. Ça sert à ramener la cyber là où elle est devenue incontournable : le pilotage du risque business.

Question directe : votre COMEX sait-il chiffrer noir sur blanc le coût d’une semaine d’arrêt… ou on préfère ne pas regarder ?