Combien coûte vraiment une cyberattaque ?
L'attention se fixe sur la rançon, mais l'addition vient surtout de l'interruption d'activité, de la notification RGPD, de la gestion de crise et de la restauration. Cet outil traduit votre profil en coût direct estimé, et le compare à la prime qui l'aurait couvert.
Ce qui coûte le plus cher n'est pas la rançon
Face à une cyberattaque, l'attention se fixe sur la rançon. Pourtant, l'essentiel de la facture vient d'ailleurs : l'interruption d'activité, la notification RGPD aux personnes concernées, la gestion de crise et la restauration des systèmes. Le coût moyen d'une cyberattaque pour une PME française atteint environ 466 000 €, quand la prime annuelle d'une cyber assurance se situe entre 1 000 et 5 000 € pour une PME.
La durée médiane d'interruption après une attaque est de 8 jours, une période pendant laquelle l'activité ne génère plus de revenu tout en supportant ses charges fixes. À cela s'ajoute un délai moyen de détection de 284 jours en France (IBM Cost of a Data Breach 2025) : une violation peut courir près de dix mois avant d'être repérée.
La notification RGPD et la sanction administrative
L'article 33 du RGPD impose de notifier la CNIL dans les 72 heures suivant la découverte d'une violation de données personnelles. La notification aux personnes concernées coûte de 1 à 5 € par personne, un montant qui grimpe vite lorsque la base compte des dizaines de milliers de contacts. La CNIL a reçu 6 929 notifications de violations sur les neuf premiers mois de 2025, dépassant déjà le total de 2024.
La sanction administrative RGPD peut atteindre 4 % du chiffre d'affaires mondial, plafonnée à 20 millions d'euros (article 83). Les amendes elles-mêmes restent en grande partie non assurables en France, mais l'assurance prend en charge les frais de défense, de notification et de mise en conformité, qui pèsent lourd dans l'addition.
Ce que cet outil ne dit pas : votre contrat exact
Cet outil donne un ordre de grandeur du coût d'un incident, pas un devis. Les plafonds, les franchises, la période d'indemnisation de la perte d'exploitation (1 à 3 ans) et les prérequis techniques (authentification multifacteur, sauvegardes déconnectées, EDR) dépendent de votre profil. Un conseiller cale la garantie sur votre exposition réelle avant tout engagement.