Un lundi matin, Sophie arrive à 8h30 dans son cabinet d'expertise comptable de douze salariés. En pleine campagne fiscale, elle allume son poste. Tous les fichiers portent l'extension .encrypted. Un fichier texte s'ouvre sur son écran : rançon en cryptomonnaie contre la clé de déchiffrement. Les DSN du mois sont bloquées. Les bilans de ses clients aussi.

Sophie n'a rien fait de particulier. Son prestataire d'hébergement a été attaqué la nuit précédente.

Cette situation a concerné 1 200 cabinets d'expertise comptable français en décembre 2023 lors de l'attaque Coaxis, bloquant l'accès aux données de près de 350 000 entreprises clientes pendant plus de onze jours, en pleine échéance URSSAF. Ce n'est ni une exception, ni un fait divers : c'est la nouvelle norme que les chiffres confirment chaque année.

Quand un incident touche une multinationale, la presse cite des millions d'euros et les dirigeants de PME se rassurent : « pas pour nous ». C'est précisément ce biais cognitif qui fait basculer les PME dans la catégorie la plus ciblée de 2026.

Les chiffres clés (2024-2025)

En France

  • Cybermalveillance.gouv.fr a traité 504 000 demandes d'assistance en 2025 (+20 % en un an), franchissant le cap du million de requêtes cumulées.
  • L'ANSSI a recensé 3 586 événements de sécurité majeurs en 2024, dont 1 366 incidents confirmés compromettant directement des systèmes d'information.
  • Le piratage de compte professionnel est devenu la menace n°1 des PME : 20,9 % des sinistres déclarés. Ce vecteur silencieux alimente la fraude au virement, en hausse de 262 % dans certaines entités administratives.
  • Selon Asterès, le coût médian d'un incident cyber pour une TPE/PME française s'établit autour de 50 000 €.
  • Une étude Agipi évalue à 26 jours la durée moyenne de remise en route complète après un incident majeur.

Dans le monde

  • IBM « Cost of a Data Breach 2025 » : coût moyen mondial d'une violation = 4,44 millions de dollars. Pour les entreprises de moins de 500 salariés, la facture moyenne reste proche de 3,3 millions.
  • Verizon DBIR 2025 : dans les incidents touchant des PME, 88 % impliquent un ransomware (contre 39 % pour les grandes entreprises). Les PME sont devenues la cible prioritaire du crime organisé.
  • Sophos « State of Ransomware 2024 » : le coût moyen de récupération hors rançon atteint 2,73 millions de dollars, contre 1,82 million en 2023.

Attention aux statistiques reprises sans source. Les chiffres souvent cités des « 60 % de PME qui déposent le bilan à 18 mois » ou « 50 % à 6 mois » sont invérifiables dans leur forme habituelle : leur source primaire française n'existe pas. Les vrais indicateurs à retenir sont le coût médian (50 000 €) et la durée d'interruption (26 jours). Ce sont eux qui décident de la survie d'une PME.

Les trois types de coûts

1. Coûts directs : ce que vous payez tout de suite

  • Intervention technique (forensics, remédiation) : 5 000 à 30 000 € pour une PME, davantage en heures non ouvrées.
  • Rançon : entre 10 000 et 100 000 € selon la taille perçue. L'ANSSI et Cybermalveillance déconseillent formellement de payer : aucune garantie de récupération, financement direct du crime organisé, et le versement n'est couvert par une assurance qu'à la condition stricte d'un dépôt de plainte sous 72 h (article L. 12-10-1 du Code des assurances).
  • Notification RGPD : articles 33 et 34 imposent la notification à la CNIL sous 72 h et aux personnes concernées si le risque est élevé. Communication de crise, courriers, assistance aux victimes : 3 000 à 15 000 € dès la première semaine.
  • Amende CNIL : jusqu'à 4 % du chiffre d'affaires mondial ou 20 M€. Les montants pour PME restent plus modérés, mais pas anecdotiques.
  • Remplacement matériel quand les équipements sont compromis au niveau firmware.

2. Coûts indirects : l'interruption d'activité

L'arrêt d'activité est le poste le plus lourd, et le plus sous-estimé.

Typologie CA annuel Perte de CA / jour d'arrêt Coût pour 14 jours
Cabinet indépendant 400 000 € 1 818 € 25 452 €
Agence (15 salariés) 1 500 000 € 6 000 € 84 000 €
PME industrielle (40 sal.) 4 500 000 € 18 000 € 252 000 €

À cela s'ajoutent : heures supplémentaires IT, travail en mode dégradé, pénalités contractuelles de retard, majorations URSSAF pour DSN tardives (sauf dérogation, comme lors de Coaxis où le délai a été repoussé jusqu'au 19 janvier 2024).

3. Coûts cachés : ce que vous payez pendant des mois

  • Perte de clients : selon IBM, 33 % du coût total d'une violation provient de l'attrition client et de la difficulté d'acquisition.
  • Durcissement de l'assurance cyber : les assureurs doublent, triplent les primes, ou résilient. Un contrat TPE type Stoïk démarre aujourd'hui autour de 44 €/mois, mais seulement pour les profils non sinistrés. Après sinistre, 27 % des demandes d'indemnisation sont refusées pour hygiène numérique défaillante (CESIN).
  • Atteinte à la réputation, impossible à chiffrer a priori, mais décisive pour les professions de confiance (comptables, avocats, santé).
  • Coût psychologique sur les équipes et le dirigeant, durable et documenté.

Le piège NIS 2 : l'angle 2026 que peu de dirigeants voient venir

La transposition française de la directive NIS 2 change le paradigme. En 2026, bascule en catégorie « Entités Importantes » toute organisation :

  • de plus de 50 salariés, ou
  • dépassant 10 M€ de chiffre d'affaires et de bilan annuel,

opérant dans l'un des 18 secteurs concernés : santé, chimie, déchets, services postaux, industrie manufacturière, numérique, agroalimentaire, etc.

Obligations de notification en cas d'incident significatif :

  • Pré-alerte à l'ANSSI sous 24 h
  • Rapport intermédiaire sous 72 h
  • Rapport de clôture sous un mois

Sanctions prévues : jusqu'à 7 M€ ou 1,4 % du CA mondial, montant le plus élevé retenu. Et, plus nouveau encore : responsabilité personnelle du dirigeant, qui peut faire l'objet d'une suspension temporaire de ses fonctions. L'ANSSI peut également prononcer des avertissements publics nominatifs.

Les grands donneurs d'ordre exigent désormais des garanties contractuelles de la part de tous leurs sous-traitants. Une PME incapable de prouver la robustesse de sa sauvegarde risque l'exclusion pure et simple des appels d'offres.

Une sauvegarde externalisée, testée et documentée n'est plus un confort. C'est un élément de preuve attendu par le régulateur et par vos clients.

Fausses protections : ce qui ne vous sauvera pas

Schéma montrant comment la synchronisation cloud, la corbeille 30 jours, l'historique des versions et le RAID échouent face à un ransomware moderne

La majorité des dirigeants sondés estiment être « bien protégés ». Voici les croyances qui reviennent, et pourquoi elles s'effondrent au premier incident sérieux.

Fausse protection Pourquoi ça ne tient pas
Synchronisation Google Drive / OneDrive La synchro réplique en temps réel les fichiers chiffrés par un ransomware vers le cloud. Elle propage l'infection, elle ne protège pas.
Corbeille Microsoft 365 / Workspace Purge définitive après 30 jours (60 dans certains cas). Un dossier supprimé l'année dernière est perdu.
Historique des versions cloud Plafonné à 100 versions. Les ransomwares modernes chiffrent en boucle des centaines de fois et saturent l'historique en quelques secondes.
RAID sur NAS local Protège d'une panne disque, pas d'un ransomware, d'un incendie, d'un vol, ou d'une suppression malveillante par un administrateur.
NAS connecté en permanence au réseau Chiffré par le ransomware avec le reste. Doit être isolé ou remplacé par une cible hors ligne / immuable.
« Notre hébergeur s'en occupe » Modèle de responsabilité partagée : l'hébergeur garantit l'infrastructure, pas vos données. Coaxis a prouvé que le prestataire lui-même peut être la cible.

Pour aller plus loin sur ce sujet précis : synchronisation n'est pas sauvegarde.

Cinq scénarios réels de perte de données en 2026

Les statistiques convainquent mal un comité de direction. Les situations vécues, si.

Scénario 1 — Le ransomware par synchronisation

Julie, alternante au marketing, télécharge un utilitaire gratuit de génération d'images par IA pour accélérer une présentation. Le logiciel contient un ransomware. Son client de synchronisation cloud propage en douze secondes les fichiers chiffrés vers le répertoire partagé du département. Les versions saines sont écrasées. Coût facturé : 18 000 € de forensics, une semaine de retard sur les campagnes.

Scénario 2 — L'attaque par rebond sur la chaîne d'approvisionnement

Le prestataire d'infogérance ou l'hébergeur métier est attaqué. Comme Coaxis en décembre 2023, 1 200 cabinets et 350 000 entreprises clientes se retrouvent à l'arrêt sans avoir commis la moindre erreur interne. Les DSN URSSAF ne peuvent être transmises que 42 jours plus tard.

Scénario 3 — Le départ malveillant

Un commercial débauché par la concurrence supprime ses dossiers stratégiques et vide ses corbeilles cloud trois jours avant son départ. Personne ne s'en aperçoit. Soixante jours plus tard, la purge automatique de la corbeille Microsoft 365 a rendu les données irrécupérables. Les prospects les plus matures sont perdus.

Scénario 4 — La fraude au virement par compromission de messagerie

Une directrice financière saisit ses identifiants sur une page de phishing imitant Microsoft 365. Les attaquants restent silencieux trois semaines dans sa boîte, apprennent le circuit de validation des virements, falsifient un RIB fournisseur et détournent 85 000 € vers un compte intraçable. Cas le plus fréquent en France depuis 2024.

Scénario 5 — La corruption lente

Un script défectueux corrompt quelques lignes de la base de données commerciale chaque nuit. Personne ne voit rien. Cinq mois plus tard, un inventaire révèle la corruption. Les sauvegardes du mois courant sont toutes corrompues. Seule une sauvegarde à rétention longue et historisée permet de remonter à une version saine.

Prévention : combien ça coûte, vraiment

Mesure préventive Coût indicatif Ce qu'elle prévient
Sauvegarde cloud professionnelle, chiffrée, hors site 79 à 99 €/mois Perte de données, rançon, interruption longue
Authentification multi-facteurs (MFA) Gratuit à quelques €/utilisateur Compromission de comptes (20,9 % des sinistres PME)
Sensibilisation annuelle des équipes ~500 €/an pour 20 personnes Phishing, erreurs humaines
EDR / antivirus professionnel 3 à 8 €/poste/mois Malwares, ransomware
Assurance cyber 500 à 3 000 €/an Couverture financière post-incident

Un budget total de quelques milliers d'euros par an face à un incident médian à 50 000 €. L'équation est réglée depuis longtemps.

Checklist d'auto-évaluation

Huit questions à se poser. Une seule réponse « non » mérite une action dans les trente jours.

  1. Avez-vous une sauvegarde hors du réseau de production (immuable, coffre-fort, ou cloud tiers) ?
  2. Cette sauvegarde a-t-elle été testée en restauration réelle dans les 30 derniers jours ?
  3. L'historique couvre-t-il au moins 90 jours, avec des versions antérieures récupérables fichier par fichier ?
  4. Le MFA est-il activé sur tous les comptes Google Workspace ou Microsoft 365 ?
  5. Disposez-vous d'un plan de reprise d'activité écrit indiquant qui fait quoi dans les premières 24 h ?
  6. Savez-vous qui appeler sous 72 h pour déposer plainte et notifier la CNIL ?
  7. Si vous êtes concerné par NIS 2, connaissez-vous le canal de signalement ANSSI à utiliser ?
  8. Vos agents de synchronisation (Drive, OneDrive) sont-ils doublés d'une vraie sauvegarde tierce ?

Les trois actions prioritaires

  1. Sauvegarder de manière indépendante : appliquer la règle 3-2-1 — 3 copies, 2 supports, 1 hors site, testée. Infographie représentant la règle de sauvegarde 3-2-1 avec trois copies, deux supports différents et une version isolée dans un coffre-fort cloud

  2. Activer le MFA partout. Gratuit sur la quasi-totalité des services cloud, il bloque la majorité des compromissions de comptes.

  3. Sensibiliser les équipes. Une heure ou deux par an suffisent à réduire significativement le risque d'erreur humaine.

En résumé : l'équation financière de 2026

Poste Coût de la défaillance Coût de la prévention
Audit et remédiation 5 000 à 30 000 € Inclus dans la maintenance
Interruption d'activité 2 000 à 18 000 € / jour (jusqu'à 26 j) Reprise en quelques heures
Notification RGPD / NIS 2 3 000 à 15 000 € dès J+7 Procédure pré-écrite
Sanctions (RGPD / NIS 2) Jusqu'à 7 M€ ou 1,4 % du CA Conformité documentée
Perte de clients (IBM 2025) ~33 % du coût total Continuité démontrée
Sauvegarde Zero-Knowledge hors site Perte définitive possible Dès 79 € / mois

Le constat tient en une ligne : le coût de la prévention est toujours inférieur au coût de la réparation, et l'écart se creuse chaque année.

BackHub protège les données de votre entreprise avec des sauvegardes automatiques, un chiffrement Zero-Knowledge et un hébergement en France. À partir de 79 €/mois — soit le coût d'environ quinze minutes d'interruption d'activité pour une PME médiane. Découvrir BackHub