Un audit vous semble cher ? Attendez la facture d’une compromission.
ump — Un mot de passe pourri backfill 2025-12-16 · Voir sur Substack ↗
Un audit pentest à 15k€ vous paraît cher ? La facture moyenne d'une compromission en France : 3,59 M€ et 284 jours de galère. JLR : 50 M£/semaine. Saint-Gobain : 250 M€. Le vrai coût, personne ne vous le montre. Jusqu'ici. https://unmotdepassepourri.substack.com/p/un-audit-vous-semble-cher-attendez #
1/ Un audit vous semble cher ? En France, une compromission coûte en moyenne 3,59 M€ et prend 284 jours à résorber (213j détection + 71j containment). Jaguar Land Rover : 50 M£/semaine. Saint-Gobain : 250 M€. La vraie facture, personne ne la montre. Thread 👇
2/ Phase J0→J+30 : le choc. Arrêts prod, pénalités SLA, prestations d'urgence (IR/forensics), licences temporaires, matos de substitution. Même sans payer la rançon (23% seulement paient encore), la remise en état coûte une blinde. Et ce n'est que le début.
3/ Phase J+30→J+365 : l'effort de guerre. Heures sup (ex: CHU Dax, 1,48 M€ de RH seul), reconstruction infra, durcissement, notifications RGPD, centre d'appels, juridique. Les franchises d'assurance ne couvrent que ~32% du coût total. Le reste sort de votre poche.
4/ Au-delà : la traîne durable. Perte de CA, appels d'offres perdus, lancements retardés. Primes d'assurance explosées. Burnout IT, turnover, dette technique accumulée en mode pompier. Les rustines d'urgence deviennent votre architecture pour des années.
5/ Comparaison terrain : PME/ETI (<2 Md$ CA) = ~246k$ par incident. Grands groupes (≥2 Md$) = ~10,3 M$. Les grandes organisations = 2% des sinistres… mais >50% des pertes totales assurantielles. L'échelle change tout, mais personne n'est épargné.
6/ La roadmap qui change la donne : audit ciblé 5–15k€ (Top-10 + RACI), sauvegardes testées pour de vrai, MFA résistante au phishing, journalisation utile, EDR/XDR, plan d'incident. Investir 15–40k€ aujourd'hui vs 3,59 M€ + 284 jours demain. Le calcul est brutal.
7/ Personne ne veut payer un audit "pour rien". Mais payer 250 M€ comme Saint-Gobain parce qu'on a pensé que "ça n'arrivait qu'aux autres", c'est encore moins drôle. Le terrain parle : celui qui n'investit pas aujourd'hui négocie juste la taille de sa facture demain.
8/ Détails, chiffres sources, check-list complète (6 actions concrètes) dans l'article. Pas de bullshit corporate, que du terrain et des ordres de grandeur réels. https://unmotdepassepourri.substack.com/p/un-audit-vous-semble-cher-attendez #
Jaguar Land Rover : 50 M£ par semaine d'arrêt. Saint-Gobain : 250 M€ d'impact. CHU Dax : 2,3 M€ dont 1,48 M€ rien qu'en heures sup. Un audit pentest coûte 5–15k€. La vraie question n'est pas "est-ce cher", c'est "pourquoi tu attends de payer 1000× plus pour apprendre". #
284 jours pour résorber une compromission en France (213j détection + 71j containment). Pendant ce temps, la prod est à l'arrêt, les équipes crament, les clients partent et l'assurance ne couvre que 32% du bordel. Mais ouais, 15k€ d'audit c'est "pas dans le budget". #
Les DSI qui trouvent un audit à 15k€ "trop cher" vont pleurer devant 3,59 M€ + 284 jours d'arrêt. Le pire ? Ils feront l'audit *après* l'incident — au prix fort, sous pression, avec des rustines qui deviendront leur dette technique pour 5 ans. L'incompétence budgétaire a un coût.