Méthodologie et sources
Ce calculateur estime le coût d'une cyberattaque de la même manière que les assureurs tarifent la cyberassurance : sous la forme d'une perte annuelle attendue, calibrée sur des données réelles de sinistres de cyberassurance. Nous sommes transparents sur chaque hypothèse afin que vous puissiez apprécier — et contester — les chiffres. Il s'agit d'une estimation à titre indicatif, et non d'un devis.
Perte annuelle attendue = Σ Probabilité(incident) × Coût(incident)
Somme calculée sur cinq scénarios indépendants. Il s'agit de la « prime pure » actuarielle dont part un assureur avant d'ajouter ses frais et sa marge.
Comment l'estimation est construite
1. Gravité — ce que coûte un incident
Le chiffre d'affaires est le principal déterminant du coût d'un incident : les données de sinistres de cyberassurance (NetDiligence) montrent que le coût total varie avec le chiffre d'affaires et n'est que faiblement lié au nombre d'enregistrements ; nous calculons donc le coût de chaque scénario à partir de votre chiffre d'affaires, puis l'ajustons selon le secteur, la taille et la sensibilité des données que vous détenez (les enregistrements ne constituent qu'un complément mineur, lié aux coûts de notification). Le rançongiciel combine un paiement de rançon pondéré par sa probabilité et le coût de restauration ; une violation de données combine investigation, frais juridiques et notification ; l'interruption d'activité est modélisée à partir de votre chiffre d'affaires journalier et de la durée d'indisponibilité typique.
2. Fréquence — sa probabilité de survenance
Chaque scénario possède une probabilité annuelle de base de survenance d'un incident significatif, fondée sur de vastes enquêtes par échantillon aléatoire (par exemple le UK Cyber Security Breaches Survey) plutôt que sur les chiffres mis en avant par les éditeurs. La plupart des attaques n'entraînent jamais de perte significative ; ces taux sont donc bien inférieurs aux taux bruts d'« attaques ». Nous les ajustons selon votre taille et votre secteur, et les relevons si vous avez subi un incident récent — le facteur prédictif le plus puissant utilisé par les assureurs.
3. Mesures de sécurité — leur effet de réduction
Chaque mesure de sécurité que vous activez réduit la fréquence et/ou la gravité des scénarios qu'elle concerne, en fonction de l'effet mesuré de cette mesure dans les rapports sources. La comparaison vous oppose à une entreprise identique dépourvue de toute mesure.
4. Prime indicative
Les assureurs fixent une prime supérieure à la perte attendue afin de couvrir leurs propres frais, leur bénéfice et leur marge de risque — généralement un ratio sinistres/primes cible de 55 à 80 %. Nous affichons cette fourchette. Les devis réels sont habituellement inférieurs, car les polices plafonnent l'indemnisation à une limite choisie et comportent une franchise.
Pourquoi les mesures de sécurité comptent
Une identité robuste (MFA), la détection sur les terminaux, des sauvegardes testées, la formation des collaborateurs, un plan de réponse aux incidents et le chiffrement figurent régulièrement parmi les moyens les plus efficaces et les moins coûteux de réduire les pertes liées au cyber-risque. Le modèle reflète leur effet mesuré — activez-les pour voir votre exposition diminuer.
Sources
Tous les chiffres sont modélisés à partir de ces rapports et réglementations publics. Nous utilisons des médianes et des moyennes, et non des scénarios catastrophe.
- Cost of a Data Breach Report 2024 — IBM Security / Ponemon Institute (2024)
- Data Breach Investigations Report (DBIR) 2024 — Verizon (2024)
- The State of Ransomware 2024 — Sophos (2024)
- Quarterly Ransomware Report (Q4 2024) — Coveware (2024)
- Cyber Claims Study 2024 — NetDiligence (2024)
- Cyber Security Breaches Survey — UK Government (DSIT) (2025)
- One simple action to prevent 99.9% of account attacks (MFA) — Microsoft Security (2023)
- ENISA Threat Landscape 2024 — European Union Agency for Cybersecurity (ENISA) (2024)
- Internet Crime Report 2023 — FBI Internet Crime Complaint Center (IC3) (2023)
- Hiscox Cyber Readiness Report 2023 — Hiscox (2023)
- GDPR Article 83 — administrative fines — EUR-Lex (Regulation (EU) 2016/679) (2016)
- UK GDPR / Data Protection Act 2018 penalties — UK Information Commissioner's Office (ICO) (2018)
Important
Cet outil produit des estimations à partir de moyennes sectorielles publiques et de vos données. Il est fourni à titre indicatif uniquement et ne constitue ni un devis d'assurance, ni une évaluation actuarielle, ni un conseil financier ou juridique. Votre exposition réelle dépend de facteurs propres à votre organisation.