“Les coûts d’investissement comme les dépenses de maintenance restent somme toute modestes, en tous cas, “absorbables” dans des budgets ministériels ou d’organismes publics et privés” note la Cour des comptes dans son rapport sur la cybersécurité en France, reprenant une étude du SGDN.
“Pour les entités essentielles qui sont souvent des organismes bien dotés en ressources
financières et humaines – notamment dans le secteur privé –, l’effort estimé est limité
car l’investissement a déjà été réalisé pour appliquer les normes existantes : les coûts
d’investissements sont évalués entre 450 000 à 880 000 euros, avec un coût annuel de
maintien en condition de sécurité s’élevant environ à 10 % du coût d’investissement” note la Cour des comptes dans son rapport sur la cybersécurité, reprenant une étude du SGDN.
Les coûts rapportés aux coûts d’une cyberattaque restent modestes
Pour les entités importantes, les normes imposées par NIS 2 relèvent principalement de
règles élémentaires et de la mise en place de routines d’ “hygiène” en cybersécurité :
les coûts d’investissement sont évalués entre 100 000 et 200 000 euros, avec un coût
annuel de maintien en condition de sécurité s’élevant à environ 10 % du coût
d’investissement.
Les coûts rapportés aux coûts d’une cyberattaque restent modestes. Reprenant les chiffres de ses précédents rapports, “les établissements hospitaliers ont supporté des dégâts particulièrement importants. Les coûts directs ont été estimés à 2,36 M€ pour le centre hospitalier Dax-Côte d’Argent (février 2021) et à plus de 5,5 M€ pour le centre hospitalier Sud-Francilien de Corbeil-Essonnes (août 2022). Les collectivités territoriales et les intercommunalités ont également été lourdement affectées, avec des coûts directs estimés à 960 000 euros pour la Métropole Aix-Marseille-Provence (mars 2020) et à plus de 1,5 M€ pour la ville de Bondy (novembre 2020). À ces coûts directs s’ajoutent des coûts indirects, liés aux activités non réalisées ou à la perte de confiance des usagers, mais leur chiffrage est complexe, tout particulièrement dans le cas de missions de service public“.
Une cyberattaque coûte en moyenne 466 000 euros pour les TPE/PME, 13 millions d’euros pour les ETI et 135 M€ pour les plus grandes entreprises rappellent les magistrats.
C’est en moyenne 5 à 10 % du chiffre d’affaires de l’organisation, quels que soient sa taille ou son secteur d’activité, répartis entre les pertes d’exploitation (50 %), le coût des prestations externes d’accompagnement (20 %), le coût de remise en état et d’investissement dans le système d’information (20 %) et le coût réputationnel (10 %).
“Ce coût des cyberattaques reste largement sous-évalué“. Par ailleurs, les organisations ayant subi une cyberattaque ne les immunisent pas contre de nouvelles attaques.
