La question qui revient à chaque comité
À chaque board d'un SaaS africain en croissance, la même question revient : "Combien dépense-t-on vraiment en cyber, et est-ce raisonnable ?" La réponse honnête n'est pas un chiffre absolu — elle dépend du stade, de la donnée traitée, et du marché cible. Mais après 4 ans à accompagner des startups SaaS de Dakar, Abidjan, Lagos, Accra, Nairobi, on a trois budgets-types qui marchent.
La règle de base : 5 à 8% du revenu annuel récurrent en cybersécurité une fois en post-seed, montant à 10-12% l'année où vous préparez SOC2 / ISO 27001. En pre-seed, vous êtes plutôt sur un budget absolu (3-8 M FCFA / an) que sur un ratio.
Budget type Pre-seed (0-200k USD revenu)
Cibles : MVP fonctionnel, 100-2000 utilisateurs, équipe 1-5 personnes, pas encore de deal entreprise.
| Poste | Budget annuel FCFA | Budget annuel USD |
|---|---|---|
| Doppler / Infisical (3 seats) | 130 000 | ~215 |
| GitHub Advanced Security (3 users) | 460 000 | ~755 |
| Gitleaks + TruffleHog en CI | 0 | 0 |
| WAF Cloudflare Pro | 150 000 | ~245 |
| Sentry Team plan | 180 000 | ~295 |
| 1Password Business (5 seats) | 280 000 | ~460 |
| Audit interne self-served (OWASP ASVS) | 0 | 0 |
| Réserve incident | 500 000 | ~820 |
| Total | ~1,7 M FCFA | ~2 800 USD |
À ce stade, pas de pentest payant, pas de SOC2, pas de Vault Enterprise. On bâtit l'hygiène : scan secrets, MFA partout, 1Password, monitoring erreurs, WAF basique.
Budget type Seed (200k-1M USD revenu)
Cibles : product-market fit, 2-10k utilisateurs, équipe 5-15 personnes, premiers vrais deals entreprise en discussion.
| Poste | Budget annuel FCFA | Budget annuel USD |
|---|---|---|
| Doppler (10 seats) | 510 000 | ~840 |
| Cloudflare Business + Zero Trust | 1 800 000 | ~2 950 |
| Sentry Business + uptime | 720 000 | ~1 180 |
| 1Password Business (12 seats) | 670 000 | ~1 100 |
| Pentest annuel boutique (8 jours) | 5 500 000 | ~9 000 |
| Bug bounty privé HackerOne (récompenses + triage) | 3 600 000 | ~5 900 |
| Formation équipe (phishing sim + secure coding) | 800 000 | ~1 310 |
| Cyber-assurance (couverture 100M FCFA) | 1 500 000 | ~2 460 |
| Réserve incident | 1 500 000 | ~2 460 |
| Total | ~16,6 M FCFA | ~27 200 USD |
À ce stade, on passe au pentest + bug bounty et on commence à se faire assurer. C'est aussi le moment où on prépare le passage à SOC2 ou ISO 27001 (décision early Seed, exécution late Seed).
Budget type Série A (1M-5M USD revenu, préparation cert)
Cibles : 10k+ utilisateurs, équipe 15-40 personnes, deals entreprise actifs, levée Série A signée ou imminente.
| Poste | Budget annuel FCFA | Budget annuel USD |
|---|---|---|
| HashiCorp Vault HCP | 3 600 000 | ~5 900 |
| Cloudflare Enterprise (light) | 7 300 000 | ~12 000 |
| Sentry Business + APM | 1 800 000 | ~2 950 |
| Plateforme Vanta ou Drata | 9 100 000 | ~14 900 |
| Pentest agence reconnue (2 / an) | 22 000 000 | ~36 000 |
| Bug bounty (récompenses + managed triage) | 12 200 000 | ~20 000 |
| Audit SOC2 Type II / ISO 27001 | 18 300 000 | ~30 000 |
| Cyber-assurance (couverture 500M FCFA) | 4 600 000 | ~7 540 |
| RSSI fractionnel (2 jours/mois) | 12 000 000 | ~19 670 |
| Formation + phishing sim continue | 2 100 000 | ~3 440 |
| Réserve incident | 6 000 000 | ~9 830 |
| Total | ~99 M FCFA | ~162 000 USD |
C'est un saut significatif. Sur un revenu Série A typique de 2-3 M USD, ces 162k USD représentent 5,4 à 8,1% du revenu — exactement la fourchette saine.
Ce qu'on coupe quand le runway pique
Pendant la crise de trésorerie 2025-Q4 d'une fintech ivoirienne, on a dû tailler son budget cyber de 28% en 8 semaines. Voici ce qu'on a coupé, dans l'ordre :
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
- RSSI fractionnel passé de 2 à 1 jour / mois (-50%)
- Bug bounty mis en pause (programme privé fermé, gardé que le triage des rapports en cours)
- Pentest 2e semestre reporté de 6 mois
- Vanta gardé (ROI conformité direct)
- Vault HCP gardé (downgrade impossible sans risque)
Ce qu'on n'a JAMAIS coupé : MFA, secrets manager, WAF, scan secrets, cyber-assurance. Couper l'un de ces 5 c'est multiplier par 10 le risque d'extinction de l'entreprise.
Ce que la cyber-assurance couvre vraiment
Beaucoup de fondateurs sous-estiment la cyber-assurance. En 2026 au Sénégal, AXA, NSIA, Sunu, et quelques courtiers spécialisés (Ascoma, Gras Savoye) proposent des polices SaaS. Couverture typique pour 100 M FCFA de garantie : 1,2 à 1,8 M FCFA / an. La franchise tourne autour de 5 M FCFA.
Ce qui est couvert : frais d'enquête forensic, notification clients, rançon (avec négociation), perte d'exploitation, responsabilité civile (fuite données). Exigences : MFA partout, sauvegardes chiffrées off-site, pentest annuel, EDR sur les postes. Pas de couverture si vous ne respectez pas ces conditions de base.
FAQ
Mon budget cyber peut-il être à 0% en pre-seed ?
Non. Le minimum vital (Doppler, MFA, 1Password, Sentry, Gitleaks) coûte ~1,7 M FCFA / an. En dessous vous prenez un risque d'extinction par fuite de secrets très réel.
Faut-il un RSSI à temps plein ?
Pas avant 30-40 personnes ou un secteur très régulé. Avant, RSSI fractionnel (2-4 jours / mois) est le bon rapport coût-bénéfice.
À quel revenu basculer en Série A budget ?
Pas un seuil de revenu strict mais un mix : 1 M+ USD ARR, 10+ deals entreprise, ou préparation cert SOC2/ISO démarrée. Si 2 sur 3, basculez.
Que vaut un AppSec engineer junior local vs un consultant externe ?
Un AppSec junior bon profil Dakar/Lagos coûte ~24-36 M FCFA / an chargé. Un cabinet externe revient à ~50-80 M FCFA / an pour un niveau senior. À partir de 20 personnes tech, l'interne devient plus rentable.
On chiffre votre budget cyber
Vous voulez votre plan budget cyber sur 12-24 mois, calibré sur votre stade et runway ? On fait l'exercice avec votre CTO en 3 heures, livraison feuille FCFA + USD + roadmap. WhatsApp +221 77 596 93 33 ou /fr/devis-gratuit.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
