01 / Simulateur · ordre de grandeur actuariel

Quand votre prochaine fuite
de secrets aura-t-elle lieu ?

Les événements rares finissent par arriver. Ce simulateur estime, à partir d'un profil que vous saisissez sur cette page, la probabilité statistique qu'une fuite de secrets touche votre organisation à un an, cinq ans, dix ans, puis trente ans (une carrière). L'intégralité du calcul s'exécute dans votre navigateur via un contrôleur Stimulus public : aucune donnée n'est transmise à Aegirex tant que vous ne cliquez pas explicitement sur « Enregistrer ». C'est un ordre de grandeur, pas un audit : le résultat sert à cadrer une décision budgétaire ou un PIA, pas à se substituer à un PASSI.

Lancer le simulateur Voir la méthodologie
2 Profils sauvegardés
Tech / Logiciel Secteur le plus représenté
3,1 % Probabilité annuelle médiane
100 % Sans gestionnaire de mots de passe

Statistiques calculées sur les simulations anonymes sauvegardées par les visiteurs depuis le 05/2026. Les profils sont bucketisés à la source (tranches d'effectif, secteur normalisé) et ne contiennent aucune donnée personnelle.

02 / Simulateur

Saisissez votre profil, lisez votre exposition.

Bougez les curseurs et cochez les cases qui correspondent à votre organisation. Les chiffres se recalculent à chaque saisie. Vous pouvez ensuite télécharger un rapport PDF auto-suffisant, ou sauvegarder anonymement votre profil pour alimenter les statistiques publiques.

Votre profil

Hygiène actuelle
Avez-vous déjà eu un incident dans les 5 dernières années ?

Votre exposition estimée

Probabilité annuelle

2,3 %

de chance de fuite cette année

Horizon médian

14 ans

avant votre prochaine fuite estimée (médiane)

Probabilité cumulée dans le temps

Horizon Probabilité cumulée
Sur 1 an 2,3 %
Sur 5 ans 11 %
Sur 10 ans 21 %
Sur 30 ans (carrière) 50 %

Téléchargez votre rapport PDF personnalisé (synthèse, profil déclaré, recommandations prioritaires) ou sauvegardez anonymement votre profil pour alimenter les statistiques publiques.

03 / Méthodologie actuarielle

La formule, les pondérations, les chiffres.

Le simulateur applique un modèle multiplicatif volontairement simple, calibré sur les rapports publics. Les pondérations sont arrondies pour rester lisibles. Chaque facteur est documenté ci-dessous, ce qui permet à votre RSSI de discuter le résultat plutôt que de le subir.

Formule de propagation actuarielle

La probabilité cumulée sur N années dérive de la probabilité annuelle P par la formule actuarielle standard : 

P_cumul = 1 − (1 − P)^N

Cette formule suppose l'indépendance des années (hypothèse raisonnable dès lors qu'aucun incident n'est survenu, donc qu'aucun facteur structurel n'a été révélé). Elle donne les ordres de grandeur suivants, qu'il est utile de garder en tête pour cadrer une discussion budgétaire :

P annuelle Sur 5 ans Sur 10 ans Sur 30 ans (carrière)
0,1 %0,5 %1,0 %3,0 %
0,5 %2,5 %4,9 %14 %
1,0 %4,9 %9,6 %26 %
2,0 %9,6 %18 %45 %
5,0 %23 %40 %79 %

Lecture clé. Un événement à 1 % de probabilité annuelle apparaît anodin pris isolément, mais représente 26 % de probabilité sur une carrière de 30 ans, soit plus d'une chance sur quatre. C'est cette propagation qui rend la formule utile à un comité de direction non statisticien.

Pondérations appliquées au calcul

Baseline sectorielle

Conseil et services : 2,0 %. Tech et logiciel, juridique, autre : 2,5 %. Industrie, secteur public : 3,0 %. Retail et e-commerce : 3,5 %. Finance et banque : 4,0 %. Santé : 4,5 %. Chiffres lissés sur les trois dernières éditions du Verizon DBIR, croisés avec le coût moyen par incident d'IBM Cost of a Data Breach pour corriger le biais d'échantillonnage anglo-saxon.

Facteur de taille

En dessous de 50 employés, la baseline n'est pas modulée. Au-delà, l'augmentation est sub-linéaire en logarithme décimal, ce qui reflète le fait que les grandes organisations ont plus de surface d'attaque mais aussi des contrôles plus matures. L'effet net augmente lentement avec la taille, conformément aux rapports DBIR.

Multiplicateurs d'hygiène

MFA généralisée : × 0,55 (~ −45 %). Gestionnaire de mots de passe utilisé par toute l'équipe : × 0,65 (~ −35 %). Audit de sécurité dans les 12 derniers mois : × 0,85 (~ −15 %). Les trois sont multiplicatifs, donc cumulables. Les ordres de grandeur sont issus de l'annexe « controls effectiveness » du DBIR.

Antécédent d'incident

Incident dans les 5 dernières années : × 1,6 (révèle une exposition résiduelle, mêmes TTP attaquants). Pas d'incident connu : × 0,9. Réponse « Je ne sais pas » : × 1,05, car ne pas savoir est en soi un signal de lacune de détection.

04 / Cas d'usage

À qui sert ce simulateur, concrètement.

Trois profils types récupèrent une valeur immédiate du résultat. Dans chaque cas, l'objectif n'est pas la précision actuarielle absolue : c'est la capacité à cadrer une discussion interne en moins de cinq minutes.

RSSI

Préparer un budget cyber

Convertir une probabilité annuelle en exposition cumulée sur cinq et dix ans donne au comité de direction un chiffre comparable au coût d'un gestionnaire de mots de passe ou d'un audit PASSI. Le rapport PDF est conçu pour être glissé en annexe d'une présentation budget, avec un profil déclaré explicite pour éviter toute contestation sur les hypothèses.

DPO

Alimenter un PIA

Une analyse d'impact relative à la protection des données requiert un volet « probabilité d'incident » dans le profil de risque. Le résultat du simulateur, accompagné des sources et de la méthodologie publiées sur cette page, constitue un repère défendable face à un audit CNIL, à condition d'être présenté comme un ordre de grandeur et non comme une mesure factuelle.

Acheteur sécurité

Comparer des solutions

Le simulateur permet de chiffrer le delta d'exposition entre un état actuel (sans MFA généralisée, sans gestionnaire de mots de passe) et un état cible (les trois cases cochées). Ce delta convertit en pourcentage évitable un investissement outillage, ce qui rend tangible le ROI d'un coffre-fort B2B face à un statu quo de partages e-mail et de fichiers Excel de mots de passe.

05 / Levier outillage

Pourquoi un coffre-fort change la donne actuarielle.

Trois mécanismes expliquent l'impact d'un coffre-fort B2B déployé à l'échelle d'une équipe. Pris ensemble, ils déplacent la probabilité annuelle d'un facteur 0,3 à 0,5 sur une base comparable. C'est ce que les rapports DBIR et IBM observent sur les organisations matures.

Phishing par identifiant réutilisé

Un gestionnaire de secrets supprime la réutilisation de mot de passe entre comptes professionnels et personnels. Les statistiques DBIR observent une réduction d'environ 40 % des incidents d'identité (catégorie « use of stolen credentials ») chez les organisations qui généralisent un coffre-fort B2B sur tous les comptes critiques.

Élimination du partage en clair

Slack, e-mail, post-it, partage de mot de passe oral : chacun de ces vecteurs constitue une copie qui survit à l'usage. Un coffre-fort B2B remplace ces flux par un partage chiffré côté client (zero-knowledge), avec révocation instantanée et journal d'accès. Le risque résiduel ne porte plus que sur l'usage légitime, pas sur la copie latente.

Audit chain HMAC vérifiable

Chaque accès à un secret est scellé par HMAC-SHA-256 dans une chaîne d'audit que vous pouvez vérifier indépendamment avec bin/console aegirex:audit:verify. Cela change le profil de risque post-incident : au lieu de reconstituer artisanalement qui a eu accès à quoi, vous produisez une preuve cryptographique opposable.

Lire la landing « coffre-fort B2B France » Détail de l'audit chain HMAC Verticales métier ciblées
06 / Sources et calibration

Rapports publics utilisés pour la calibration.

Les pondérations du simulateur sont calibrées par triangulation sur quatre rapports publics annuels, retenus pour leur antériorité et leur méthodologie publique. Le simulateur n'introduit aucune donnée propriétaire : vous pouvez reproduire les ordres de grandeur en lisant ces rapports.

  • IBM Cost of a Data Breach Report (édition annuelle, Ponemon Institute) : fréquence et coût des incidents par taille d'entreprise et par secteur. Utilisé pour calibrer le facteur de taille et les baselines sectorielles.
  • Verizon Data Breach Investigations Report (DBIR, annuel) : répartition des vecteurs d'incident (phishing, départ collaborateur, vol de poste, compromission de fournisseur). Utilisé pour les baselines sectorielles et les multiplicateurs d'hygiène.
  • ENISA Threat Landscape Report (annuel) : panorama européen des menaces. Utilisé pour corriger le biais anglo-saxon du DBIR sur les organisations européennes.
  • ANSSI Panorama de la menace informatique (annuel, France) : chiffres calibrés sur le contexte français. Utilisé pour la sensibilité aux secteurs juridique, santé et secteur public.

Limites assumées. Ce simulateur est un ordre de grandeur, pas un audit. Il vous donne un repère pour décider si une mise à plat de votre gestion des secrets en vaut la peine. Pour un audit formel, opposable et factuel sur votre architecture, consultez un PASSI référencé ANSSI. Aegirex SASU peut vous orienter vers des partenaires PASSI sur demande.

07 / FAQ

Questions fréquentes sur le simulateur.

Huit questions récurrentes posées par les RSSI, DPO et acheteurs sécurité. Si la vôtre manque, écrivez-nous à l'adresse listée dans la page contact.

Mes données sont-elles envoyées à Aegirex ?

Non, sauf si vous cliquez explicitement sur « Enregistrer mon résultat ». L'intégralité du calcul est exécutée dans votre navigateur via un contrôleur Stimulus public dont le code source est intégralement consultable. Aucun appel réseau n'est déclenché par le simple fait de bouger les curseurs ou de cocher des cases. Le téléchargement PDF, lui, doit faire un appel serveur pour rendre le document, mais aucune donnée n'est conservée à cette occasion (pas d'IP, pas de user-agent, pas de payload).

Comment ces probabilités sont-elles calibrées ?

Les coefficients de base par secteur sont issus du Verizon DBIR lissé sur trois éditions. Les multiplicateurs d'hygiène (MFA, gestionnaire de mots de passe, audit annuel) sont calibrés sur l'annexe « controls effectiveness » du DBIR et sur les chiffres IBM Cost of a Data Breach pour la dimension coût-fréquence. Le multiplicateur sectoriel français est ajusté par triangulation avec le Panorama ANSSI. Toutes les pondérations sont explicitées dans la section méthodologie ci-dessus, ce qui permet à votre RSSI de les discuter ligne par ligne.

Que devient mon rapport PDF ?

Le rapport PDF est généré à la demande, streamé en réponse à votre clic avec un en-tête Content-Disposition: attachment, et n'est ni stocké ni indexé côté serveur. Vous obtenez un PDF auto-suffisant que vous pouvez verser à un dossier interne, joindre à un PIA ou utiliser comme repère budgétaire en comité de direction. Aucune relance commerciale n'est déclenchée par le téléchargement : aucune adresse e-mail n'est demandée à ce stade.

Pourquoi 30 ans comme horizon ?

30 ans correspond à l'horizon d'une carrière professionnelle. C'est la durée qui rend tangible la propagation actuarielle d'un risque annuel. Un événement à 1 % de probabilité annuelle donne 26 % sur 30 ans, soit plus d'une chance sur quatre. Ce cadrage permet aux décideurs non statisticiens de comprendre que « rare » ne signifie pas « improbable ». Les horizons 1 an, 5 ans et 10 ans complètent le tableau pour la décision budgétaire et le PIA.

Mon secteur n'est pas listé, que choisir ?

Choisissez le secteur le plus proche en termes de surface d'attaque et de cible des attaquants. Si vous êtes une organisation B2B technique, prenez Tech ou Conseil. Si vous gérez des flux financiers, Finance. Si vous traitez des données personnelles sensibles, Santé. La valeur « Autre » applique la baseline médiane des rapports publics et ne pénalise ni ne favorise votre profil.

Un audit PASSI remplace-t-il ce simulateur ?

Non, ils ne jouent pas le même rôle. Ce simulateur produit un ordre de grandeur statistique en quelques secondes, utile pour cadrer une discussion budgétaire ou un PIA. Un audit PASSI référencé ANSSI produit un constat factuel et opposable sur votre architecture, votre cycle de vie des secrets et vos procédures. Les deux sont complémentaires : utilisez le simulateur pour décider de déclencher l'audit, l'audit pour décider des actions correctives.

Aegirex stocke-t-il les profils sauvegardés ?

Uniquement sous forme anonymisée : tranche d'effectif (bucket « 2-10 », « 11-50 », etc.), secteur normalisé, tranche de comptes externes, drapeaux d'hygiène, probabilité annuelle arrondie à un chiffre. Aucune IP, aucun user-agent, aucun identifiant n'est retenu. Les profils sont écrits dans un fichier JSONL plat append-only et servent à alimenter les statistiques publiques affichées en haut de cette page.

Comment retirer mon profil des stats agrégées ?

Comme les profils sont anonymisés à la source, il n'existe pas d'identifiant qui permette de retrouver le vôtre. Si vous souhaitez néanmoins que nous purgions l'ensemble du mois durant lequel vous avez sauvegardé, écrivez-nous via la page contact : nous supprimerons le fichier JSONL correspondant. Cette opération ne nécessite pas de vérification d'identité et n'a aucun impact sur le fonctionnement du simulateur.

08 / Pour aller plus loin

Six pages utiles pour creuser un point spécifique avant d'engager un POC ou une discussion commerciale.

Coffre-fort B2B France

Landing dédiée aux organisations qui cherchent un coffre-fort hébergé en France métropolitaine, à juridiction française, compte-pivot multi-organisation.

Lire la page

Audit chain HMAC vérifiable

Détail technique de la chaîne d'audit : scellement HMAC-SHA-256, vérification indépendante via la CLI, export SIEM CEF/LEEF/OCSF.

Lire la page

Alternative au Cloud Act

Pourquoi un coffre-fort hébergé en France, au capital français, échappe structurellement aux réquisitions extra-européennes.

Lire la page

Architecture sécurité

Choix cryptographiques détaillés : OpenPGP.js v6, Argon2id (RFC 9106), AES-256-GCM, HMAC-SHA-256, dérivation client-side, hébergement France.

Lire la page

Verticales métier

Cinq secteurs B2B priorisés : conseil cybersécurité, cabinets d'avocats tech, santé HDS, défense, énergie et OIV. Cas d'usage, prérequis, cycles de décision.

Lire la page

Tarifs et plans

Tarification transparente : gratuit à vie pour un usage individuel et petites équipes, plan Business à 6 €/siège/mois, Enterprise sur devis. Auto-hébergement AGPL-3.0 gratuit.

Lire la page
09 / Démarrer

Convertissez l'ordre de grandeur
en plan d'action.

Vous avez votre chiffre. La suite logique est de capitaliser dessus : créer un coffre-fort B2B gratuit à vie pour démarrer en moins de cinq minutes, ou lire le code source AGPL-3.0 pour qualifier la solution avant de l'engager. Le compte-pivot multi-organisation vous permet de tester sans engager toute l'équipe.

Créer mon coffre · gratuit à vie Lire le code source
Tout chiffré côté navigateur (zero-knowledge)
Code AGPL-3.0, intégralement auditable
Hébergement France, juridiction française
Audit chain HMAC vérifiable indépendamment
Compte-pivot multi-organisation, cloisonnement strict
Loading…
Loading the web debug toolbar…
Attempt #