Caisse paralysée, e-shop hors ligne, fichier clients exfiltré : une seule attaque peut vous coûter une saison entière. Inqase couvre la facture, et active une assistance dès le premier appel.
Contexte du secteur
Un commerce belge en 2026 manipule beaucoup plus de données qu'on ne l'imagine : caisses connectées, e-shop, CRM, paiements en ligne, marketplaces, intégrations comptables. Une attaque qui paralyse votre caisse un samedi de soldes ou expose votre fichier clients peut coûter des semaines de chiffre d'affaires.
1 PME sur 2
a subi un incident cyber en 2024 en Belgique Source · Centre pour la Cybersécurité Belgique (CCB), 2024
65 000 €
coût moyen d'une attaque ransomware contre une PME Source · ENISA Threat Landscape, 2024
72h
pour notifier l'APD en cas de fuite de données clients Source · APD, RGPD art. 33
Pourquoi votre commerce est une cible cyber
On imagine encore souvent qu’un hacker s’intéresse aux banques, aux hôpitaux ou aux grandes industries. La réalité du terrain belge en 2026 est différente.
Selon le Centre pour la Cybersécurité Belgique, 1 PME sur 2 a subi un incident cyber en 2024. Le commerce de détail figure parmi les secteurs les plus touchés, avec la construction et l’horeca.
Trois raisons concrètes
Un commerce moyen combine un volume de transactions élevé, une trésorerie tendue et une dépendance forte à l’informatique. Quand la caisse refuse d’ouvrir, le chiffre d’affaires tombe à la seconde. Quand l’e-shop est hors ligne pendant Black Friday, l’équivalent d’un mois de ventes peut s’évaporer en 48 heures.
Le second facteur, c’est la donnée client. Un commerce qui tourne depuis cinq ans accumule souvent plusieurs milliers de contacts dans son CRM : noms, e-mails, adresses, historiques d’achat. Cette base a une valeur réelle sur le dark web, phishing ciblé, SIM swap, revente. Un hacker n’a pas besoin de paralyser la boutique pour rentabiliser son attaque.
Troisième facteur, plus discret : les flux financiers réguliers avec les fournisseurs. Une boutique qui paie chaque mois plusieurs factures à des fournisseurs connus est une cible parfaite pour la fraude au virement. Il suffit d’une boîte mail compromise, souvent celle du fournisseur, pour qu’un faux IBAN soit injecté dans un échange anodin.
Enfin, l’écosystème logiciel d’un commerce moderne empile des prestataires : développeur web, agence Shopify, expert-comptable en ligne, plateforme de fidélité, outil d’e-mailing, prestataire de paiement, hébergeur. Chacun a un accès à une partie de vos données ou de votre infrastructure. La compromission d’un seul d’entre eux suffit à créer un incident chez vous.
Une exposition qui ne se réduit pas à la taille
Un commerce de quartier avec un point de vente unique peut être touché aussi durement qu’une chaîne de dix boutiques. Ce n’est pas la taille qui détermine l’exposition, mais la densité de connexions entre les outils et la dépendance opérationnelle au numérique. Une indépendante qui gère sa caisse, son e-shop et sa compta depuis un seul ordinateur est tout aussi vulnérable qu’un retailer multi-sites.
Les attaques les plus fréquentes dans le commerce belge
Le ransomware qui paralyse votre POS
C’est le scénario le plus visible, et le plus brutal. Le système de caisse est connecté au cloud (Lightspeed, Square, Shopify POS), souvent partagé entre plusieurs points de vente.
Une fois le ransomware activé, tout s’arrête en même temps : ventes en boutique, lecture du stock, envoi des tickets, parfois l’e-shop si l’inventaire est mutualisé.
Le coût moyen pour une PME tourne autour de 65 000 € selon l’ENISA, rançon, perte d’exploitation, reconstruction. Pour un commerce qui ne peut pas vendre pendant deux semaines en pleine saison, l’impact peut être très supérieur.
Côté assurance, deux points clés : la rançon ne peut être payée qu’avec un accord écrit préalable de l’assureur et d’un mandataire social, et la perte d’exploitation est indemnisée sur la marge brute, pas sur le chiffre d’affaires.
Le piratage de votre base clients
C’est l’attaque silencieuse, et souvent la plus coûteuse à long terme. Un hacker accède au CRM, exfiltre la base, et la met en vente.
L’incident remonte parfois par un journaliste, parfois par un client qui reçoit du phishing à votre nom. À partir de là, l’horloge tourne.
Si le risque pour les personnes est élevé, vous devez également notifier individuellement les clients impactés. L’APD peut ouvrir une enquête. Les amendes administratives ne sont pas assurables en droit belge, c’est une interdiction légale. En revanche, tous les frais autour (avocat, call center, identity monitoring jusqu’à 12 mois, communication, défense) sont pris en charge.
Le faux fournisseur
C’est l’attaque qu’aucun antivirus ne détectera, parce qu’elle n’utilise pas de virus.
Un hacker compromet la boîte mail d’un fournisseur (ou de votre propre comptable), surveille les échanges pendant quelques semaines, puis intervient au bon moment : “petit changement de coordonnées bancaires pour notre prochaine facture, merci de mettre à jour votre fichier”.
Le ton, la signature, l’historique : tout est crédible. Le virement part.
Côté garantie, la cyber-fraude couvre le vol, l’escroquerie, l’abus de confiance, le faux et usage de faux, avec une sous-limite par défaut de 50 000 € (extensible selon contrat). Deux conditions importantes : les cryptomonnaies sont exclues, et le dépôt de plainte pénale doit être effectué dans les 24h suivant la découverte.
L’e-shop redirigé ou défacé
Plus rare, mais redoutable : votre site marchand est détourné, soit par défacement (page de revendication, contenu offensant), soit par redirection silencieuse vers un faux site qui imite le vôtre.
La marque est touchée, Google peut blacklister le domaine en quelques heures (Safe Browsing), et la confiance des clients met du temps à se reconstruire. Le coût direct (nettoyage, restauration) est gérable. Le coût indirect (SEO, image, retour des clients) pèse plus longtemps.
Le compte fournisseur ou marketplace compromis
Une variante de plus en plus courante : un attaquant prend le contrôle de votre compte vendeur sur une marketplace (Amazon, bol.com), de votre back-office Shopify, ou d’un panel d’administration partagé avec votre agence. Il modifie les coordonnées bancaires de versement, change les prix, ou exfiltre la base clients. La détection prend souvent plusieurs jours, le temps de remarquer un écart sur un virement attendu ou une commande qui n’aboutit pas.
Côté garantie, l’incident relève selon les cas de la cyber-fraude (virement détourné) ou de la violation de données personnelles (exfiltration du CRM client). Dans tous les cas, l’assistance 24/7 est mobilisable dès la découverte.
Comment Inqase intervient si ça vous arrive
L’assistance 24/7 est mobilisable dès le premier appel, sans franchise, dans la limite de 15 000 € par an.
Concrètement, trois rôles sont activés en parallèle :
Expert IT : avis sur l’attaque, jusqu’à 1 000 € de réparation immédiate, orientation pour la suite
Avocat : préparation de la notification APD dans les 72h, dossier de recours, conseil sur les obligations
Communication de crise : message cadré juridiquement vers les clients, équipe, fournisseurs
Si un ransomware est en jeu, l’avis d’un expert IT est mobilisé sur la situation. Le paiement éventuel de la rançon nécessite un accord écrit préalable de l’assureur et d’un mandataire social, c’est non négociable, et c’est la règle qui protège votre éligibilité à l’indemnisation.
Récupération et amélioration
Une fois l’incident sorti, la garantie cyber-extorsion couvre la récupération des données et les améliorations post-sinistre jusqu’à 10 000 €. Concrètement : ce qu’il faut pour ne pas revivre la même attaque.
La perte d’exploitation, elle, est indemnisée sur la base de votre marge brute perdue pendant l’indisponibilité, selon la franchise temporelle définie dans votre formule.
Pourquoi marge brute, et pas chiffre d’affaires
C’est une distinction technique mais essentielle. La marge brute, c’est le chiffre d’affaires moins les coûts variables que vous n’avez pas eu à engager pendant l’arrêt (achats, frais variables). C’est la mesure de votre vraie perte économique.
Indemniser le chiffre d’affaires serait sur-indemniser : pendant l’arrêt, vous n’avez pas commandé chez vos fournisseurs, pas payé les commissions de paiement, pas engagé certains frais logistiques. La marge brute reflète ce qui reste réellement dans votre poche en temps normal, et donc ce qui manque pendant l’incident.
C’est le standard du marché cyber sérieux, et c’est ce que les contrats Inqase appliquent.
Les bons réflexes côté commerce
Avant même de souscrire, quelques mesures simples réduisent significativement l’exposition et facilitent l’indemnisation en cas d’incident :
Sauvegardes testées : une sauvegarde qui n’a jamais été restaurée n’est pas une sauvegarde
MFA partout : sur la messagerie, le back-office e-shop, le panel d’hébergement, le compte marketplace
Double validation des changements d’IBAN : un appel téléphonique au fournisseur sur un numéro connu, jamais sur le numéro figurant dans l’e-mail
Registre RGPD à jour : base légale, durée de conservation, sous-traitants
Plan de continuité minimal : qui appelle qui, sur quel numéro, en cas de samedi matin paralysé
Ces points ne sont pas des conditions de souscription rigides, mais ils orientent le devis et conditionnent souvent la rapidité d’indemnisation. C’est aussi sur ces points qu’Inqase oriente ses assurés après un sinistre, dans le cadre des améliorations post-sinistre couvertes jusqu’à 10 000 €.
POS
POS et e-shop piratés en simultané
Le scénario
Un samedi matin de soldes, votre caisse refuse de démarrer. Au même moment, votre e-shop affiche une page blanche. Le prestataire IT découvre un ransomware qui a chiffré le serveur partagé entre la caisse et le back-office Shopify.
Ce qui est pris en charge
Assistance 24/7 sans franchise (cap 15 000 €/an) : expert IT mobilisé, avocat, communication de crise
Avis d'un expert IT sur la situation et les options de récupération
Paiement éventuel de la rançon, uniquement avec accord écrit préalable de l'assureur et d'un mandataire social
Perte d'exploitation indemnisée sur la marge brute, selon la franchise temporelle de votre formule
Récupération des données et améliorations post-sinistre jusqu'à 10 000 €
À savoir
Rançon payée sans accord préalable de l'assureur : non remboursée
Cyber-guerre, faute intentionnelle, passé connu : exclus
Sanctions économiques/commerciales (ONU, UE, Belgique, États-Unis, etc.) : la rançon ne peut être payée
Données
Fuite de la base clients (RGPD)
Le scénario
Un hacker exfiltre votre base CRM : 18 000 e-mails, noms, adresses et historiques d'achat. Le fichier apparaît en vente sur un forum. L'APD doit être notifiée dans les 72h (RGPD art. 33).
Ce qui est pris en charge
Notification APD pilotée par l'avocat dans les 72h
Call center pour la notification individuelle aux clients impactés
Identity monitoring jusqu'à 12 mois pour les personnes concernées
Frais d'avocat spécialisé en protection des données
Amendes administratives, uniquement dans la mesure où elles sont assurables
À savoir
Amendes APD non assurables en droit belge : exclues
Faute intentionnelle du mandataire social : exclusion
Données traitées sans base légale ni durée de conservation : exclusion possible
Fraude
Faux fournisseur, virement détourné
Le scénario
Votre comptable reçoit un e-mail de votre fournisseur habituel avec une 'nouvelle' coordonnée bancaire. Le virement de 14 200 € part. Trois jours plus tard, le vrai fournisseur réclame son paiement.
Ce qui est pris en charge
Indemnisation du virement frauduleux (vol, escroquerie, abus de confiance, faux et usage de faux)
Sous-limite cyber-fraude de 50 000 € par défaut (extensible)
Enquête forensic sur la compromission de la boîte mail
Coordination avec la banque
À savoir
Plainte pénale obligatoire dans les 24h suivant la découverte
Cryptomonnaies : exclues du périmètre cyber-fraude
Fraude commise par un mandataire social : exclusion
Site web
E-shop défacé ou redirigé
Le scénario
Vos clients atterrissent sur un faux site qui imite le vôtre et capture leurs paiements. Votre nom de domaine a été détourné via une faille du panel d'administration de votre prestataire.
Ce qui est pris en charge
Avis d'expert IT pour la reprise de contrôle du domaine et de l'hébergement
Frais d'avocat pour la communication aux personnes concernées
Communication de crise (assistance 24/7, cap 15 000 €/an)
Perte d'exploitation sur la marge brute pendant l'indisponibilité, selon votre formule
À savoir
Préjudice de marque non chiffrable : hors périmètre
Ce qui est couvert pour vous en tant que Commerce de détail
Une seule police pour le POS et l'e-shop
Inqase ne distingue pas votre caisse de votre site marchand. Les deux sont assurés sous une même police, avec une perte d'exploitation calculée sur la marge brute, selon la franchise temporelle de votre formule.
Notification RGPD prise en charge dans les 72h
Notification à l'Autorité de Protection des Données (Article 33 RGPD), call center pour les clients concernés, identity monitoring jusqu'à 12 mois, défense en cas d'enquête. Les amendes APD elles-mêmes restent non assurables en droit belge.
Cyber-fraude incluse, sous-limite 50 000 €
La fraude au faux fournisseur, le faux IBAN, l'abus de confiance et le faux et usage de faux sont couverts sous la garantie cyber-fraude, avec une sous-limite de 50 000 € par défaut. Les cryptomonnaies sont exclues.
Plainte pénale sous 24h : une condition à connaître
En cas de cyber-fraude, le dépôt de plainte pénale dans les 24h suivant la découverte est une condition d'indemnisation. C'est un point que nous expliquons systématiquement avant signature, parce qu'il fait souvent défaut dans les contrats concurrents.
Marge brute, pas chiffre d'affaires
La perte d'exploitation est calculée sur la marge brute perdue pendant l'indisponibilité, pas sur le chiffre d'affaires. C'est une distinction technique mais importante : la marge brute reflète votre vraie perte économique, pas votre flux apparent.
Assistance 24/7 sans franchise
Un seul numéro, jour et nuit. L'assistance couvre l'expert IT (jusqu'à 1 000 € de réparation immédiate), l'avocat (notifications APD, dossier de recours) et la communication de crise. Cap global de 15 000 €/an, sans franchise.
Questions fréquentes pour Commerce de détail
Mon e-shop tourne pendant les soldes et le Black Friday. La perte d'exploitation est-elle calculée différemment ?
La perte d'exploitation est calculée sur la marge brute perdue pendant l'indisponibilité, selon la franchise temporelle de votre formule. Le calcul tient compte de votre activité réelle sur les exercices précédents, pas d'une moyenne théorique. Les modalités précises (franchise temporelle, période d'indemnisation) sont définies dans votre contrat, c'est un point que nous cadrons systématiquement avant signature.
Si mon comptable externe se fait pirater et que ma compta fuit, est-il responsable ou est-ce mon problème ?
Au sens du RGPD, vous restez le responsable de traitement vis-à-vis de l'APD, même si la fuite vient de votre comptable (sous-traitant). Vous êtes en première ligne pour la notification dans les 72h et les éventuelles sanctions. La police Inqase couvre votre obligation de notification et les frais d'avocat. Le recours contre votre comptable est ensuite organisé par l'avocat, souvent via sa propre RC pro.
Mon e-shop tourne sur Shopify, WooCommerce ou un prestataire d'hébergement. Suis-je quand même couvert ?
Oui. Que votre infrastructure soit chez vous, en SaaS (Shopify, Lightspeed) ou chez un hébergeur tiers, la police couvre les conséquences financières pour votre commerce. Ce qui compte, c'est votre activité et votre marge brute assurées, pas l'endroit où tournent les serveurs.
Que se passe-t-il si je découvre une fraude au virement plusieurs jours après ?
L'indemnisation au titre de la cyber-fraude est conditionnée au dépôt d'une plainte pénale dans les 24h suivant la découverte. Cela ne veut pas dire que la fraude doit être détectée immédiatement, c'est le délai entre la découverte et la plainte qui compte. Dans la pratique, dès que vous identifiez un virement suspect, l'assistance 24/7 d'Inqase peut vous orienter sur les démarches à effectuer.
