59 000 euros — c'est le coût moyen d'une cyberattaque pour une PME française en 2026. Un chiffre qui a progressé de 23 % en deux ans, selon les données compilées par l'ANSSI et plusieurs acteurs de l'assurance cyber. Pour beaucoup de dirigeants, cette somme est suffisante pour fragiliser durablement une entreprise, voire la mettre en péril. Et pourtant, la majorité des PME françaises restent sous-équipées face à la menace. Comprendre ce que représente réellement ce coût — et ce qu'il cache — est la première étape pour agir. Pour approfondir, consultez notre article sur Attaques DDoS : comprendre, prévenir et réagir. Pour approfondir, consultez notre article sur Authentification à deux facteurs : pourquoi et comment la mettre en place. Pour approfondir, consultez notre article sur Comparatif des meilleurs antivirus pour entreprise en 2026.
Le coût d'une cyberattaque selon la taille de l'entreprise
Toutes les entreprises ne sont pas logées à la même enseigne. La taille de la structure détermine largement l'ampleur des dégâts financiers — et paradoxalement, les plus petites ne sont pas celles qui s'en sortent le mieux proportionnellement.
TPE (moins de 10 salariés)
Les très petites entreprises subissent des attaques moins sophistiquées, mais leur absence quasi totale de ressources informatiques internes rend la remédiation plus longue et plus coûteuse en proportion. Le coût moyen d'un incident cyber pour une TPE se situe entre 8 000 et 18 000 euros. Une somme qui, ramenée à leur trésorerie, représente souvent plusieurs mois de marge. Près de 30 % des TPE touchées déposent le bilan dans les 18 mois suivant l'attaque, faute de capacité de rebond.
PME (10 à 249 salariés)
C'est la catégorie la plus ciblée et la plus documentée. Le coût moyen s'établit à 59 000 euros en 2026, contre 48 000 euros en 2024. Cette augmentation s'explique principalement par la montée en puissance des ransomwares à double extorsion — où les attaquants chiffrent les données ET menacent de les publier — et par la généralisation des attaques sur la chaîne d'approvisionnement logicielle. Les PME du BTP, de la santé et de la distribution sont les plus exposées.
ETI (250 à 4 999 salariés)
Pour les entreprises de taille intermédiaire, la facture grimpe à une moyenne de 380 000 euros par incident. Les ETI disposent généralement d'une DSI interne, ce qui accélère la détection, mais la surface d'attaque est aussi beaucoup plus large. Les pertes d'exploitation pendant la phase de remédiation constituent le poste de coût dominant à cette échelle.
Grandes entreprises et groupes (5 000 salariés et plus)
À ce niveau, on parle de millions. Le coût moyen d'un incident majeur pour un grand groupe français dépasse désormais 4,5 millions d'euros. Les attaques récentes contre des acteurs du CAC 40 ou des établissements de santé de grande taille ont montré que même les structures les mieux dotées pouvaient être paralysées plusieurs semaines. Sans compter l'impact boursier, qui peut représenter à lui seul plusieurs dizaines de millions de perte de capitalisation.
- Estimer votre exposition financière en cas de cyberattaque
- Calculer le coût d'une heure d'indisponibilité de vos systèmes
- Évaluer les coûts indirects : perte de confiance clients, impact réputation
- Souscrire une cyberassurance adaptée à votre profil de risque
- Investir dans la prévention : le ratio coût prévention vs coût incident est de 1 pour 10
La ventilation détaillée des coûts
Quand on évoque le coût d'une cyberattaque, la plupart des dirigeants pensent en premier lieu à la rançon. C'est une erreur d'analyse — et elle peut être fatale à la planification budgétaire de la sécurité.
La rançon : un coût visible mais minoritaire
Dans les cas de ransomware, la rançon représente en moyenne 18 à 25 % du coût total de l'incident. En 2026, la rançon médiane demandée aux PME françaises est de 35 000 euros. Certains groupes cybercriminels ont adopté une logique de pricing dynamique, ajustant leur demande en fonction du chiffre d'affaires de la victime, de son secteur et de sa couverture d'assurance (informations souvent obtenues avant l'attaque elle-même). Il convient de noter que payer la rançon ne garantit pas la restitution des données : environ 40 % des entreprises qui paient ne récupèrent pas l'intégralité de leurs fichiers.
Les pertes d'exploitation : le coût le plus lourd
C'est systématiquement le poste le plus important. Une attaque par ransomware met en moyenne une PME française hors ligne pendant 22 jours ouvrés en 2026. Sur cette période, les pertes de chiffre d'affaires, l'impossibilité de facturer, les commandes perdues et les pénalités contractuelles s'accumulent. Pour une PME réalisant 3 millions d'euros de CA annuel, chaque jour d'arrêt représente environ 12 000 euros de chiffre d'affaires non réalisé. Les pertes d'exploitation constituent en moyenne 40 à 50 % du coût total d'un incident.
La remédiation technique
Restaurer un système d'information après une attaque majeure est un travail de fond. Cela comprend : la mise en place d'une cellule de crise, l'intervention de spécialistes en réponse à incident (DFIR), la restauration des sauvegardes, la reconstruction des postes compromis, le renforcement de l'infrastructure et les audits post-incident. Pour une PME sans expertise interne, le recours à des prestataires externes est inévitable. Le coût moyen de la remédiation technique est de 12 000 à 25 000 euros pour une PME, et peut dépasser 200 000 euros pour une ETI.
Les coûts juridiques et de conformité
Depuis l'entrée en vigueur du RGPD et les obligations de notification à la CNIL, une violation de données implique systématiquement des frais juridiques. La notification aux personnes concernées, la documentation de l'incident, les éventuels honoraires d'avocat en cas de mise en cause et les amendes potentielles forment un poste qui oscille entre 5 000 et 30 000 euros selon la gravité de la fuite. Les entreprises opérant dans des secteurs régulés (santé, finance) s'exposent à des contrôles renforcés dans les mois suivant l'incident.
Le coût réputationnel : le plus difficile à chiffrer
C'est le coût fantôme de toute cyberattaque. La perte de confiance des clients, la couverture médiatique négative (particulièrement pour les entreprises B2C), le départ de collaborateurs clés et la dégradation des relations avec les partenaires et fournisseurs sont des dommages durables. Selon plusieurs études sectorielles, une PME victime d'une violation de données perd en moyenne 15 à 22 % de sa base client dans les 12 mois suivants, sans action correctrice proactive. Sur 3 ans, l'impact réputationnel peut représenter plus que tous les autres coûts réunis.
L'évolution des coûts sur les dernières années
La trajectoire est sans ambiguïté. Le coût moyen d'une cyberattaque en France a augmenté de 68 % entre 2021 et 2026. Plusieurs facteurs expliquent cette inflation.
Premièrement, la professionnalisation des groupes cybercriminels. Le modèle du Ransomware-as-a-Service (RaaS) a démocratisé les attaques sophistiquées : des individus sans compétence technique peuvent désormais louer une infrastructure d'attaque clé en main. Cela a multiplié le nombre d'incidents enregistrés sur le territoire français (+41 % entre 2023 et 2025 selon l'ANSSI).
Deuxièmement, la complexification des systèmes d'information. La généralisation du cloud hybride, du télétravail et des intégrations API a élargi la surface d'attaque de chaque entreprise, rendant la remédiation plus longue et plus complexe.
Troisièmement, l'inflation des coûts de prestation. Les experts en cybersécurité sont en pénurie chronique. En France, on estime à 15 000 le nombre de postes non pourvus dans le secteur. Cette raréfaction tire les tarifs vers le haut, ce qui alourdit mécaniquement le coût de remédiation.
Les secteurs les plus touchés en France
Toutes les industries ne sont pas exposées de la même façon. Certains secteurs concentrent une part disproportionnée des incidents.
Le secteur de la santé
Hôpitaux, cliniques, cabinets médicaux et éditeurs de logiciels de santé : la santé est devenue la cible numéro un en France. Les données médicales se revendent jusqu'à 250 euros l'unité sur les marchés noirs, soit 25 fois plus qu'un numéro de carte bancaire. Les attaques contre des établissements hospitaliers ont des conséquences potentiellement mortelles — ce qui pousse les victimes à payer plus vite — et les SI de santé sont souvent vétustes et peu sécurisés.
Les collectivités territoriales et administrations
Second secteur le plus ciblé, avec une vulnérabilité structurelle liée au sous-investissement chronique dans la sécurité informatique et des effectifs DSI insuffisants. Les attaques contre des mairies, conseils départementaux ou intercommunalités ont doublé entre 2023 et 2025.
L'industrie et le BTP
La convergence IT/OT (systèmes de pilotage industriel connectés aux réseaux d'entreprise) crée des vulnérabilités nouvelles. Une attaque sur un site industriel peut paralyser la production physique en plus des systèmes administratifs, ce qui multiplie les pertes d'exploitation. Le secteur BTP, avec sa multiplication des sous-traitants et échanges de fichiers de plans, est particulièrement exposé aux attaques par hameçonnage ciblé.
Le commerce et la distribution
Les e-commerçants sont exposés aux vols de données de cartes bancaires et aux attaques DDoS pendant les périodes commerciales clés (Black Friday, soldes). Pour un site e-commerce réalisant 5 millions d'euros de CA annuel, une heure d'indisponibilité lors d'un pic de trafic peut représenter 15 000 à 20 000 euros de pertes directes.
Prévention vs sinistre : la comparaison qui doit convaincre
L'argument économique pour investir dans la cybersécurité est imparable — et pourtant, il reste insuffisamment entendu. Voici la mise en perspective qui manque souvent dans les comités de direction.
Pour une PME de 50 salariés, un programme de sécurité solide comprend : un audit initial (2 000 à 5 000 euros), la mise en place d'un EDR sur tous les postes (environ 30 euros par poste par mois, soit 18 000 euros par an), une solution de sauvegarde externalisée et testée (3 000 euros par an), des formations annuelles de sensibilisation au phishing (2 500 euros), et un contrat de supervision ou MSSP basique (12 000 euros par an). Soit un budget annuel de prévention d'environ 35 000 à 40 000 euros.
Comparé au coût moyen d'un incident (59 000 euros en coûts directs, sans compter l'impact réputationnel), le retour sur investissement de la prévention est évident. Et encore : ce calcul ne prend pas en compte la probabilité d'une attaque, qui pour une PME non protégée est désormais supérieure à 1 sur 3 sur une période de 5 ans selon les statistiques du CESIN.
L'assurance cyber complète ce dispositif sans le remplacer. Les primes pour une PME de 50 salariés varient entre 3 000 et 8 000 euros par an, selon le secteur d'activité et le niveau de maturité cyber de l'entreprise (les assureurs exigent désormais des prérequis techniques avant d'accorder une couverture). Un sinistre couvert peut rembourser la rançon, les frais de remédiation et une partie des pertes d'exploitation — mais pas le coût réputationnel.
Pour aller plus loin sur les bonnes pratiques de protection, consultez notre guide complet de la cybersécurité en 2026. Et si vous souhaitez passer à l'action concrète, découvrez les étapes pour sécuriser votre système d'information étape par étape.
| Taille entreprise | Coût moyen attaque | Temps de récupération | Impact CA |
|---|---|---|---|
| TPE (<10 sal.) | 5 000-15 000 € | 1-2 semaines | -10% |
| PME (10-250) | 25 000-50 000 € | 2-6 semaines | -15% |
| ETI (250-5000) | 200 000-500 000 € | 1-3 mois | -8% |
| Grande entreprise | 1-10 M€ | 3-6 mois | -5% |
Ce que révèle vraiment ce chiffre de 59 000 euros
Derrière la moyenne se cachent des disparités considérables. Une PME qui dispose de sauvegardes hors ligne à jour, d'un plan de continuité d'activité testé et d'un contrat de réponse à incident préactivé peut limiter les dégâts à quelques milliers d'euros. Une PME qui n'a rien de tout cela peut voir la facture dépasser 200 000 euros pour un incident identique.
La préparation, plus que la taille ou le secteur, est le facteur déterminant du coût final. C'est une bonne nouvelle : contrairement à d'autres risques d'entreprise, le coût d'une cyberattaque est largement influençable par des décisions de gestion que tout dirigeant peut prendre aujourd'hui.
Le coût moyen de 59 000 euros n'est pas une fatalité. C'est un avertissement chiffré.
