Analyse · 6 min de lecture

Combien coûte un piratage pour une TPE ? Le calcul honnête

Q: Que faire dans les premières heures après avoir détecté un piratage ?

1) Mettre le site en maintenance (pas hors-ligne complet pour préserver le SEO). 2) Changer tous les mots de passe admin. 3) Restaurer la dernière sauvegarde saine si possible. 4) Contacter votre hébergeur pour qu'il scanne le serveur. 5) Documenter les indices pour le rapport CNIL si données clients impactées.

Q: Suis-je obligé de déclarer un piratage à la CNIL ?

Oui, sous 72h, si des données personnelles ont été compromises. Le formulaire est en ligne sur cnil.fr. Ne pas déclarer expose à des sanctions séparées. C'est gratuit et la CNIL accompagne plutôt que punit dans la plupart des cas TPE.

"Mon site n'intéresse personne, je suis trop petit." On entend ça toutes les semaines. C'est faux — 99 % des piratages TPE sont automatisés, ils ne ciblent personne, ils balayent. Mais combien ça coûte vraiment quand ça arrive ? Voici le calcul, poste par poste.

Par Mehdi Rahmani, fondateur de Kalisecu

Les 5 postes de coût à additionner

Quand un site TPE se fait pirater, le dirigeant pense d'abord à "remettre en route". C'est légitime, mais c'est souvent le poste le moins cher. Voici les 5 vraies factures.

Poste 1 — Remise en état technique

C'est ce qu'on voit en premier : trouver un dev, comprendre comment ça s'est passé, nettoyer le site, réinstaller proprement, durcir.

Dev en urgence : 600 à 1 200 € / jour. Comptez 1 à 3 jours selon la gravité.
Si vous passez par une agence : 2 000 à 5 000 € forfaitaires.
Si vous le faites vous-même : "gratuit" mais 2-5 jours de votre temps que vous ne consacrez pas à votre vraie activité.

Coût moyen : 800 à 3 600 €.

Poste 2 — Perte d'exploitation pendant le downtime

Combien votre site rapporte-t-il par jour ?

Site vitrine sans paiement direct : leads entrants × taux de conversion × ticket moyen. Pour un artisan typique, 1 lead/jour × 30 % conversion × 800 € = 240 €/jour de manque à gagner.
E-commerce : appliquez votre revenu quotidien moyen. Une boutique en ligne TPE à 5 000 €/mois de CA perd ~165 €/jour.
SaaS / abonnements : pas de perte directe immédiate mais churn à venir si l'incident transparaît.

Avec un downtime de 2-5 jours typique en cas de piratage, comptez 500 à 2 000 € de perte d'exploitation.

Poste 3 — Perte de confiance + impact réputation

Le plus difficile à chiffrer mais le plus durable. Un client qui voit votre site afficher "Site Compromis" ou "Hacked by..." ne reviendra peut-être plus.

Estimation conservatrice : 10 à 25 % de baisse de leads sur les 3 mois suivants, le temps que la confiance se reconstruise. Pour un soloproneur à 60 leads/an dont 15 deviennent clients à 1 200 € de marge moyenne, ça peut représenter 1 800-4 500 € sur l'année.

Poste 4 — Mise sur liste noire Google

C'est le poste le plus sous-estimé. Quand Google détecte un piratage (souvent dans les 24-48h après l'événement), il marque votre site avec un avertissement rouge "Ce site est peut-être compromis" dans les résultats de recherche. Votre trafic SEO chute à zéro.

La désinscription manuelle prend :

Demande de réexamen via Search Console : automatique après nettoyage
Délai de retraitement par Google : 2 à 6 semaines en pratique
Pendant ce temps, votre trafic organique = 0

Si votre site fait 1 000 visites/mois en organique avec un taux de conversion de 2 % et un ticket moyen de 500 €, ça représente 1 000 à 3 000 € de trafic perdu.

Poste 5 — Sanction CNIL éventuelle

Si des données clients ont été exposées (formulaires, comptes, paiements), vous avez 72h pour déclarer à la CNIL. La déclaration en elle-même est gratuite et la CNIL est généralement accompagnante avec les TPE.

Mais si l'enquête révèle un manquement antérieur à la fuite (pas de bandeau cookies, mots de passe stockés en clair, durée de conservation non respectée), des sanctions peuvent tomber :

Avertissement public (gratuit mais réputation)
Mise en demeure (gratuit, à condition de s'exécuter)
Amende : jusqu'à 4 % du CA mondial annuel, en pratique 1 000 à 20 000 € pour une TPE selon le manquement

Le cas typique TPE : 0 à 5 000 € de sanction effective, plus le coût de remise en conformité (avocat RGPD, refonte des process) qui peut grimper à 2 000-8 000 €.

Le total : 1 500 à 8 000 € pour un cas typique

Total moyen pour une TPE française piratée en 2025 : 1 500 à 8 000 €.

Cas extrêmes : 15 000-30 000 € si l'incident touche un secteur sensible (santé, finance, données personnelles d'enfants) et que la CNIL applique une sanction non symbolique.

Le calcul ROI versus prévention

Mettons-le en perspective avec les options de prévention :

DIY trimestriel (notre checklist gratuite) : 0 € + 4h/an de votre temps. Réduit le risque de ~70 %.
Wordfence Premium (~10 €/mois) : 120 €/an. Réduit le risque automatisé de ~85 %.
Service humain niveau 3 (Veille à 49 €/mois) : 588 €/an. Réduit le risque de ~95 % et inclut RGPD.
Cyber-assurance Stoïk (~50-150 €/mois) : 600-1800 €/an. Ne réduit pas le risque mais couvre les pertes.

Si vous estimez votre probabilité d'être piraté à 1 fois tous les 5 ans (plutôt optimiste pour un site WP non maintenu), un coût moyen de 4 000 €/incident = 800 €/an d'espérance de coût. Investir 0 €, 120 € ou 588 €/an pour réduire ce 800 € à 80-200 € est mathématiquement gagnant.

Le poste qu'on n'a pas chiffré : la charge mentale

Le coût qu'aucun calculateur ne capture, mais que tous nos clients piratés mentionnent en premier : la nuit blanche, le stress, l'engueulade avec le conjoint, le sentiment d'être pris au piège.

Ce coût-là ne se rembourse pas. Mais il s'évite.

Si l'article vous a parlé

Le test honnête : un audit Découverte à 149 €. Sous 48h, on vous dit où vous en êtes. Si tout va bien, parfait. Si on trouve des trucs, on vous explique en français normal et on vous donne un plan pour corriger.

Lancer ma découverte · 149 € D'abord la checklist gratuite

Questions fréquentes

Mon assurance multirisque pro couvre-t-elle un piratage de site ?

Rarement. La plupart des contrats multirisques pro de TPE excluent explicitement les pertes liées à la cybersécurité. Il faut une cyber-assurance dédiée (à partir de 30-80 €/mois selon CA chez Stoïk, AXA, Generali) qui couvre la remise en état, la perte d'exploitation, et parfois la sanction CNIL.

Combien de temps pour récupérer un site piraté ?

Entre 24h et 3 semaines selon la gravité. Un défacement (page d'accueil remplacée) prend 4-8h à un dev compétent. Un site complètement compromis avec backdoors disséminées prend 2-5 jours. Une mise sur liste noire Google peut prendre 2-6 semaines à lever, même après nettoyage.

Que faire dans les premières heures après avoir détecté un piratage ?

1) Mettez le site en maintenance (pas hors-ligne complet pour préserver le SEO). 2) Changez tous les mots de passe admin. 3) Restaurez la dernière sauvegarde saine si possible. 4) Contactez votre hébergeur pour qu'il scanne le serveur. 5) Documentez les indices pour le rapport CNIL si données clients impactées.

Suis-je obligé de déclarer un piratage à la CNIL ?

Oui, sous 72h, si des données personnelles ont été compromises. Le formulaire est en ligne sur cnil.fr. Ne pas déclarer expose à des sanctions séparées. C'est gratuit et la CNIL est plutôt dans une logique d'accompagnement que de punition pour les TPE de bonne foi.

Combien coûte une cyber-assurance pour une TPE ?

Entre 30 et 200 €/mois selon le chiffre d'affaires et le secteur. Acteurs notables en France : Stoïk, Cyberprotect, AXA, Generali. La plupart imposent un audit de sécurité en pré-souscription, ce qui peut être un coût additionnel ou inclus selon l'offre.

Comment savoir si mon site est déjà compromis sans le savoir ?

Indices courants : ralentissement inhabituel, redirections étranges, contenu modifié sans intervention, hausse anormale du trafic serveur, alertes Google Search Console (Sécurité > Problèmes), apparition dans VirusTotal. Pour un check rapide gratuit, tapez votre URL dans virustotal.com.

Une question ? Écrivez à bonjour@kalisecu.fr. Réponse personnelle sous 48h.

Publié le 4 mai 2026 par Mehdi Rahmani