Assurances

Le coût réel d'un incident cyber

La rançon n'est qu'une fraction de la note. Interruption d'activité, notification RGPD, gestion de crise et restauration : voyez le coût direct d'une cyberattaque, et le rapport avec la prime qui l'aurait couvert.

Coût moyen PME ~466 000 €Arrêt médian 8 joursSanction RGPD 4 % du CA
Barèmes 2026 officielsChiffres mis à jour : HCSF, droits d'enregistrement, plafonds PTZ, indices INSEE.
Réponse sous 6hUn courtier vous recontacte dans la journée pour transformer l'estimation en offre.
Sans engagementVos coordonnées ne sont utilisées qu'à des fins d'étude de votre dossier.
  1. Exposition
  2. Résultat
  3. Contact

Votre exposition cyber

Chiffre d'affaires, données détenues et durée d'arrêt fixent la facture d'un incident.

1 500 000 €
100 000 €10 000 000 €20 000 000 €

Base de la perte d'exploitation pendant l'arrêt.

20 000 personnes
500250 000500 000

Clients, prospects, salariés : la base à notifier en cas de violation.

8 jours

La durée médiane d'interruption après une attaque est de 8 jours.

Risques cyber

Combien coûte vraiment une cyberattaque ?

L'attention se fixe sur la rançon, mais l'addition vient surtout de l'interruption d'activité, de la notification RGPD, de la gestion de crise et de la restauration. Cet outil traduit votre profil en coût direct estimé, et le compare à la prime qui l'aurait couvert.

Ce qui coûte le plus cher n'est pas la rançon

Face à une cyberattaque, l'attention se fixe sur la rançon. Pourtant, l'essentiel de la facture vient d'ailleurs : l'interruption d'activité, la notification RGPD aux personnes concernées, la gestion de crise et la restauration des systèmes. Le coût moyen d'une cyberattaque pour une PME française atteint environ 466 000 €, quand la prime annuelle d'une cyber assurance se situe entre 1 000 et 5 000 € pour une PME.

La durée médiane d'interruption après une attaque est de 8 jours, une période pendant laquelle l'activité ne génère plus de revenu tout en supportant ses charges fixes. À cela s'ajoute un délai moyen de détection de 284 jours en France (IBM Cost of a Data Breach 2025) : une violation peut courir près de dix mois avant d'être repérée.

La notification RGPD et la sanction administrative

L'article 33 du RGPD impose de notifier la CNIL dans les 72 heures suivant la découverte d'une violation de données personnelles. La notification aux personnes concernées coûte de 1 à 5 € par personne, un montant qui grimpe vite lorsque la base compte des dizaines de milliers de contacts. La CNIL a reçu 6 929 notifications de violations sur les neuf premiers mois de 2025, dépassant déjà le total de 2024.

La sanction administrative RGPD peut atteindre 4 % du chiffre d'affaires mondial, plafonnée à 20 millions d'euros (article 83). Les amendes elles-mêmes restent en grande partie non assurables en France, mais l'assurance prend en charge les frais de défense, de notification et de mise en conformité, qui pèsent lourd dans l'addition.

Ce que cet outil ne dit pas : votre contrat exact

Cet outil donne un ordre de grandeur du coût d'un incident, pas un devis. Les plafonds, les franchises, la période d'indemnisation de la perte d'exploitation (1 à 3 ans) et les prérequis techniques (authentification multifacteur, sauvegardes déconnectées, EDR) dépendent de votre profil. Un conseiller cale la garantie sur votre exposition réelle avant tout engagement.

Questions fréquentes

Combien coûte vraiment une cyberattaque pour une PME ?

En moyenne environ 466 000 € pour une PME française, en additionnant l'interruption d'activité, la notification RGPD, la gestion de crise, la restauration des systèmes et les frais juridiques. Ce montant dépasse de loin la prime annuelle, de 1 000 à 5 000 € pour une PME.

Quelle est la sanction maximale en cas de violation de données ?

Le RGPD prévoit une sanction administrative pouvant atteindre 4 % du chiffre d'affaires mondial, plafonnée à 20 millions d'euros (article 83). La notification à la CNIL est obligatoire dans les 72 heures suivant la découverte de la violation.

L'assurance couvre-t-elle le paiement de la rançon ?

Depuis la loi LOPMI de 2023, l'indemnisation d'une rançon est possible, mais conditionnée au dépôt de plainte dans les 72 heures. L'ANSSI déconseille le paiement. En pratique, l'assureur privilégie la restauration et la gestion de crise, qui constituent l'essentiel de la prise en charge.

Cet outil donne-t-il un rendement ?

Non. Il ne projette ni gain ni rendement. Il rend tangible le coût direct d'un incident cyber et le rapport entre ce coût et la prime qui l'aurait couvert.