PME suisse : combien coûte vraiment une cyberattaque ?

Quand on parle de cyberattaque, la première question qui vient à l'esprit est souvent : "Combien demandent-ils de rançon ?" C'est compréhensible. Mais c'est aussi la partie la plus visible, et parfois la moins coûteuse.

Une cyberattaque sérieuse contre une PME suisse représente typiquement plus de 100'000 CHF de dommages totaux. Parfois beaucoup plus. Et la majorité de ce montant n'est pas la rançon : c'est tout ce qui vient après.

Voici le détail que personne ne vous montre avant que cela n'arrive.

1. La rançon, visible, mais négociable

Dans une attaque par ransomware, les criminels chiffrent vos données et vos systèmes, puis exigent un paiement pour les déverrouiller. Pour une PME suisse, les rançons demandées varient généralement entre 20'000 et 200'000 CHF, parfois davantage selon la taille de l'entreprise et les données détenues.

Mais payer la rançon ne règle pas le problème. Dans près de 80% des cas, les entreprises qui paient sont à nouveau attaquées dans l'année. Et rien ne garantit que vos données seront réellement restituées ou qu'elles n'ont pas déjà été revendues sur le darkweb.

Le Conseil fédéral et l'Office fédéral de la cybersécurité (OFCS) déconseillent formellement le paiement des rançons.

2. L'arrêt d'activité, le coût le plus sous-estimé

C'est ici que le chiffre grimpe vite et fort.

Lors d'une attaque par ransomware, vos systèmes sont paralysés. Serveurs inaccessibles, messagerie coupée, ERP bloqué, fichiers clients introuvables. Selon la nature de votre activité, chaque jour d'arrêt représente des milliers de francs de chiffre d'affaires perdu.

La durée moyenne d'interruption pour une PME est de 8 à 21 jours. Pendant ce temps :

• Vous ne pouvez pas facturer
• Vous ne pouvez pas livrer
• Vos employés tournent au ralenti ou sont improductifs
• Vos clients s'impatientent et certains partent

Pour une PME avec un chiffre d'affaires de 2 millions de CHF par an, 15 jours d'arrêt représentent environ 80'000 CHF de perte d'exploitation brute, avant même de compter les coûts de reconstruction.

3. La reconstruction informatique, long et coûteux

Une fois l'attaque contenue, il faut reconstruire. Et cette phase est souvent la plus longue.

Cela comprend :

• L'intervention d'experts en cybersécurité pour analyser l'attaque, identifier le vecteur d'entrée et nettoyer les systèmes
• La réinstallation complète des serveurs et postes de travail compromis
• La restauration des données depuis les sauvegardes, si elles existent et n'ont pas été chiffrées elles aussi
• La reconfiguration de tous les accès, mots de passe et certificats
• Les tests de sécurité avant la remise en production

Le coût d'intervention d'une équipe spécialisée sera extrêmement élevé. 

4. Les conséquences légales, amendes et obligations

Depuis l'entrée en vigueur de la nouvelle Loi sur la protection des données (nLPD), les entreprises suisses ont des obligations claires en cas de violation de données personnelles.

Concrètement :

• Vous devez notifier l'Office fédéral de la protection des données (OFPD) dans les 72 heures si la violation présente un risque élevé pour les personnes concernées
• Vous pouvez être tenu d'informer individuellement vos clients, fournisseurs ou employés dont les données ont été compromises
• En cas de manquement grave aux obligations de sécurité, des sanctions pénales peuvent s'appliquer aux personnes responsables, pas seulement à l'entreprise

Si vous traitez des données de clients européens, le RGPD s'applique également, avec des amendes pouvant atteindre 4% du chiffre d'affaires mondial.

Les frais juridiques liés à la gestion de ces obligations, avocats, notifications, audits de conformité, représentent souvent des millers ou dizaines de milliers de francs. 

5. La perte de réputation, le coût qui dure le plus longtemps

C'est le coût le plus difficile à quantifier, et souvent le plus dévastateur sur le long terme.

Une cyberattaque se sait. Les clients parlent entre eux. Un article dans la presse locale, une mention sur les réseaux sociaux, un partenaire commercial qui apprend que vos données ont été compromises, et la confiance s'érode.

Des études montrent que 29% des PME perdent des clients à la suite d'une cyberattaque. Pour certaines, c'est un contrat clé qui ne se renouvelle pas. Pour d'autres, c'est une réputation de fiabilité qui met des années à se reconstruire.

Dans des secteurs comme la fiduciaire, le médical, le juridique ou le conseil, où la confidentialité est au cœur de la relation client, les conséquences peuvent être existentielles.

Et l'assurance cyber, alors ?

Les assurances cyber existent et peuvent couvrir une partie de ces coûts. Mais attention : elles ne remplacent pas la prévention.

La plupart des polices exigent que l'entreprise ait mis en place un niveau minimal de mesures de sécurité pour être couverte. Sans MFA activé, sans sauvegardes régulières, sans politique de mots de passe, votre assureur peut refuser d'indemniser. Et même avec une bonne police, la franchise, les délais et les exclusions peuvent vous laisser avec une note salée.

L'assurance est un filet de sécurité. Elle ne remplace pas la protection.

Conclusion

Une cyberattaque ne coûte pas seulement ce que les criminels vous réclament. Elle coûte des semaines d'arrêt, des dizaines de milliers de francs de reconstruction, des obligations légales, et parfois des clients perdus pour toujours. Pour une PME suisse, c'est souvent une épreuve dont certaines ne se remettent pas.