calculate Méthodologie

Comment nous chiffrons le risque de données évité

Mettre un prix sur la sécurité paraît impossible. En réalité, les directions financières et les assureurs le font tous les jours, avec une méthode simple et reconnue : l'espérance de perte annuelle. Voici, en toute transparence, le raisonnement derrière le champ « Probabilité annuelle / réduction souveraine » de notre simulateur.

Le principe : l'espérance de perte

On ne peut pas prédire si un incident surviendra, mais on peut estimer son coût moyen attendu sur une année. C'est le produit de deux facteurs : combien coûte un incident, et quelle est sa probabilité de se produire.

Exposition annuelle = Coût d'un incident × Probabilité annuelle

C'est exactement la méthode utilisée en gestion des risques (norme ISO 27005) et par les assureurs cyber pour tarifer une police.

Les deux valeurs que vous ajustez

percent

1. Probabilité annuelle d'incident

défaut : 5 %

La probabilité qu'un incident de données survienne dans l'année lorsque des documents internes circulent vers des services tiers non maîtrisés : IA grand public utilisées sans cadre par les agents, abonnements cloud personnels, pièces jointes envoyées à des outils gratuits. C'est le risque du « shadow IT » : l'informatique non gouvernée.

5 %, c'est une chance sur vingt par an. Une hypothèse volontairement prudente : les collectivités sont des cibles privilégiées des rançongiciels, et les incidents réels y sont fréquents. Vous pouvez monter ou descendre cette valeur selon votre propre appréciation.

shield

2. Réduction souveraine

défaut : 80 %

La part de ce risque que l'architecture souveraine élimine, grâce à ses protections structurelles :

  • Les données ne partent plus vers des services tiers non maîtrisés
  • Effacement quotidien des serveurs de traitement (rien ne persiste)
  • Tunnel chiffré privé, hébergement en Union européenne
  • Aucune exposition au CLOUD Act ni à la télémétrie d'un éditeur

80 %, cela signifie qu'il reste 20 % de risque résiduel : aucune architecture n'annule totalement le risque (erreur humaine, hameçonnage…). Nous ne prétendons jamais atteindre 100 %.

Un exemple chiffré, pas à pas

Avec les valeurs par défaut du simulateur :

Coût moyen d'un incident de données500 000 €
× Probabilité annuelle d'incident5 %
= Exposition annuelle (sans solution souveraine)25 000 € / an
× Réduction souveraine80 %
= Risque de données évité20 000 € / an

Ce « risque évité » (20 000 € par an dans cet exemple) s'ajoute à la valeur du temps gagné par vos agents pour former le ROI global affiché par le simulateur. C'est la traduction en euros d'un bénéfice habituellement intangible : la sécurité.

Des hypothèses volontairement prudentes

Notre hypothèse de coût d'incident (500 000 €) est sept fois inférieure à la moyenne constatée en France, que le rapport IBM 2025 établit à 3,59 millions d'euros. Nous préférons sous-estimer le bénéfice que le survendre : si vous remplacez nos valeurs par les références du marché, le retour sur investissement ne fait qu'augmenter.

Source : IBM Cost of a Data Breach Report 2025, coût moyen d'une violation de données en France : 3,59 M€.

calculate Revenir au simulateur