inqase
Estimer ma prime
Assurance cyber · Comptabilité

L'assurance cyber pour les comptables et fiduciaires belges

Vous gérez les virements de dizaines de clients. Un seul accès piraté à votre messagerie, et c'est leur trésorerie qui part chez l'escroc. Un rançongiciel en période de déclaration fiscale, et c'est toute votre clientèle paralysée. Inqase couvre la fraude jusqu'à 50 000 € et intervient dans l'heure.

Contexte du secteur

Un cabinet comptable ou une fiduciaire concentre les données financières de l'ensemble de sa clientèle : bilans, déclarations fiscales, accès aux comptes bancaires, mandats de paiement. Une seule compromission ne touche pas seulement votre cabinet, elle expose simultanément chacun de vos clients. C'est précisément ce qui rend ce secteur si attractif pour les cybercriminels.

1 PME sur 2
a subi un incident cyber en Belgique en 2024 Source · Centre pour la Cybersécurité Belgique (CCB), 2024
65 000 €
coût moyen d'une attaque par rançongiciel pour une PME européenne Source · ENISA Threat Landscape, 2024
72 h
délai légal pour signaler une fuite de données à l'autorité de protection des données Source · RGPD, article 33

Pourquoi les fiduciaires et comptables sont des cibles prioritaires

Un cabinet comptable présente une caractéristique unique du point de vue d’un cybercriminel : en compromettant une seule boîte email ou un seul serveur, l’attaquant accède aux données financières de dizaines, parfois de centaines, d’entreprises et de particuliers.

C’est bien plus rentable que d’attaquer chaque PME individuellement. Et infiniment plus discret.

Une mine d’or pour les escrocs

Un cabinet comptable dispose typiquement de :

  • Les accès bancaires de ses clients (portails de trésorerie, applications de virement en ligne)
  • Les données fiscales complètes : bilans, comptes de résultat, déclarations TVA, déclarations d’impôt
  • Les coordonnées bancaires de centaines de fournisseurs et clients de ses propres clients
  • Les mandats de paiement pour effectuer des virements au nom de ses clients
  • Des informations stratégiques : marges, niveaux d’endettement, difficultés de trésorerie, acquisitions en cours

Pour un escroc ou un groupe criminel, ces informations permettent de monter des fraudes au virement très crédibles, parce qu’elles s’appuient sur de vraies données, de vrais noms, de vrais montants.

La période fiscale : moment le plus exposé

Les attaques contre les fiduciaires se concentrent sur deux périodes : la clôture annuelle (mars-avril) et les périodes de déclaration TVA. C’est quand les équipes sont sous pression, traitent de gros volumes et ont moins de temps pour vérifier chaque email.

Un faux message de l’administration fiscale (SPF Finances) avec une demande urgente passe souvent inaperçu quand on traite plusieurs dizaines de dossiers en simultané.

Les attaques typiques dans les cabinets comptables

Le piratage de messagerie suivi de fraudes aux clients

Le piratage de messagerie (appelé BEC pour Business Email Compromise) est l’attaque la plus coûteuse dans les cabinets comptables.

Comment ça fonctionne : l’attaquant accède à votre boîte email et l’observe en silence pendant plusieurs jours ou semaines. Il identifie vos clients, vos habitudes de travail, les virements récurrents que vous effectuez pour leur compte.

Puis, depuis votre vraie adresse email, ou une adresse quasi identique, il envoie des instructions de virement ou des changements de coordonnées bancaires à vos clients. Ces derniers font confiance à votre adresse. Ils exécutent. Vous découvrez la fraude plusieurs jours plus tard.

Le rançongiciel en pleine période de déclaration

Un rançongiciel est un logiciel malveillant qui bloque l’accès à vos fichiers et réclame une rançon pour les déverrouiller. En période de déclarations fiscales, l’impact est immédiat pour toute votre clientèle.

La porte d’entrée classique : une pièce jointe frauduleuse dans un email imitant l’administration fiscale, un fournisseur ou un client. Un clic, et le logiciel se propage sur tout le serveur partagé.

La fuite via un accès non désactivé

Un collaborateur quitte le cabinet. Son compte d’accès au logiciel comptable ou au serveur n’est pas supprimé immédiatement, par oubli, par précipitation ou parce que personne ne centralise la gestion des accès.

Des semaines ou des mois plus tard, cet accès est utilisé pour extraire des données. Parfois à des fins de concurrence déloyale. Parfois revendu. Parfois utilisé pour monter une fraude.

Au sens du RGPD, vous restez responsable de traitement pour toutes les données concernées, indépendamment du fait que l’accès ait été utilisé par un ancien employé.

Comment Inqase intervient en cas d’incident

Dans l’heure

La hotline Inqase est disponible 24h/24, 7j/7. Un expert informatique prend la main à distance pour analyser l’incident, couper les accès compromis et évaluer l’étendue des données touchées.

Les premiers 1 000 € de frais techniques sont couverts immédiatement, sans franchise et sans paperasse.

Dans les 72 heures

Si des données personnelles de vos clients sont concernées, un avocat spécialisé en protection des données est mobilisé pour la déclaration à l’APD. La procédure est coordonnée globalement, une fuite chez un comptable peut concerner de nombreux clients simultanément.

Sur la durée

La perte de revenus pendant l’arrêt forcé est indemnisée sur votre marge brute, selon la franchise temporelle de votre formule. Jusqu’à 10 000 € supplémentaires peuvent être mobilisés pour la récupération des données et les améliorations de sécurité post-incident.

Ce qu’il faut savoir avant de signer

La police Inqase couvre les conséquences financières directes d’un incident cyber pour votre cabinet. Elle est distincte de votre assurance responsabilité civile professionnelle, qui couvre les dommages causés à vos clients.

En cas de fraude au virement commise via votre messagerie, la question est double : qui supporte la perte (votre cabinet ou votre client ?), et qui est responsable envers l’autre ? Inqase couvre votre cabinet. Votre RC pro gère les réclamations de vos clients. Les deux se complètent.

Tarif et souscription

Le simulateur Inqase donne un prix exact en 3 minutes, sans inscription. Le tarif dépend de votre chiffre d’affaires, du nombre de clients gérés et de votre niveau d’équipement informatique. La couverture est active dès le paiement de la première mensualité.

Votre messagerie piratée sert à escroquer vos clients

Le scénario

Votre boîte email professionnelle est piratée depuis dix jours, silencieusement. L'attaquant a lu vos échanges, identifié vos clients et repéré les virements que vous effectuez en leur nom. Un vendredi après-midi, un email signé de votre vraie adresse est envoyé à trois clients : virement urgent sur un 'nouveau compte' suite à un 'changement bancaire'. Deux clients exécutent le virement avant la fin de journée.

Ce qui est pris en charge

  • Remboursement du virement frauduleux (vol, escroquerie, abus de confiance, faux et usage de faux)
  • Sous-limite fraude de 50 000 € par défaut par sinistre (extensible à la souscription)
  • Enquête informatique pour identifier comment votre messagerie a été compromise
  • Accompagnement pour le dépôt de plainte pénale, obligatoire dans les 24h suivant la découverte

À savoir

  • Dépôt de plainte pénale dans les 24h suivant la découverte : condition obligatoire pour être indemnisé
  • Virements en cryptomonnaies : exclus
  • Fraude commise par un mandataire social du cabinet : exclusion

Rançongiciel sur toute la clientèle en pleine période fiscale

Le scénario

Un collaborateur ouvre un faux email imitant l'administration fiscale belge (SPF Finances), avec un formulaire PDF en pièce jointe. Un logiciel malveillant se déploie sur le serveur partagé du cabinet. En quelques heures, toutes les liasses fiscales, bilans et déclarations TVA de l'ensemble des clients sont chiffrés et inaccessibles. La période de déclaration commence dans quatre jours.

Ce qui est pris en charge

  • Assistance 24/7 sans franchise : expert informatique mobilisé dans l'heure pour évaluer les options de récupération
  • Avis technique sur la possibilité de restaurer sans payer avant toute décision
  • Paiement éventuel de la rançon uniquement avec accord écrit préalable de l'assureur et d'un mandataire social
  • Perte d'exploitation indemnisée sur la marge brute selon la franchise temporelle de votre formule
  • Récupération des données et améliorations de sécurité après incident jusqu'à 10 000 €

À savoir

  • Rançon payée sans accord préalable écrit de l'assureur : non remboursée
  • Cyber-guerre, faute intentionnelle, sinistre connu avant souscription : exclus
  • Paiement en cryptomonnaies sous sanctions internationales : exclu

Fuite de bilans et données financières clients

Le scénario

Un ancien collaborateur a conservé un accès actif à votre logiciel comptable après son départ. Six mois plus tard, il exfiltre les bilans et déclarations fiscales d'une trentaine de clients, dont plusieurs PME concurrentes entre elles. L'un de vos clients apprend que ses données financières confidentielles circulent dans son secteur d'activité.

Ce qui est pris en charge

  • Déclaration à l'Autorité de Protection des Données (APD) dans les 72h, pilotée par un avocat spécialisé
  • Courriers d'information aux clients concernés, rédigés et envoyés par la cellule communication
  • Call center pour absorber les questions des entreprises et personnes exposées
  • Surveillance d'identité jusqu'à 12 mois pour les personnes physiques concernées
  • Défense face aux plaintes et amendes administratives, dans la mesure où elles sont assurables en droit belge

À savoir

  • Les amendes infligées par l'APD restent non assurables dans leur composante punitive en droit belge
  • Faute intentionnelle ou complicité interne : exclusion
  • Sinistre connu avant souscription : exclu

Vos accès bancaires clients compromis via votre poste de travail

Le scénario

Vous gérez les accès bancaires en ligne de plusieurs clients TPE (Isabel 6, Zoomit, portail de trésorerie). Un logiciel espion installé sur votre poste via une fausse mise à jour capture vos identifiants au moment où vous les saisissez. En une nuit, trois comptes bancaires clients sont partiellement vidés via des virements fractionnés vers des comptes à l'étranger.

Ce qui est pris en charge

  • Assistance 24/7 sans franchise : expert informatique pour identifier et supprimer le logiciel espion
  • Enquête pour identifier l'origine de l'intrusion et l'étendue des accès compromis
  • Accompagnement pour le dépôt de plainte pénale et la coordination avec les banques concernées
  • Frais d'avocat pour la gestion des réclamations des clients victimes

À savoir

  • Dépôt de plainte pénale dans les 24h suivant la découverte : condition obligatoire pour être indemnisé
  • Responsabilité civile professionnelle envers vos clients : distincte, vérifiez votre RC pro existante
  • Virements en cryptomonnaies : exclus

Ce qui est couvert pour vous en tant que Comptable & Fiduciaire

La fraude par email : risque numéro un pour votre cabinet

Vous effectuez des virements pour vos clients, c'est une partie normale de votre travail quotidien. C'est exactement ce que les escrocs savent. Si votre messagerie est compromise, ils peuvent se faire passer pour vous et envoyer des ordres de virement frauduleux à vos clients. La sous-limite fraude de 50 000 € couvre ce scénario, à condition de déposer plainte pénale dans les 24h.

Un seul incident chez vous touche toute votre clientèle

C'est la différence fondamentale avec d'autres secteurs. Un rançongiciel ou une fuite dans un cabinet comptable n'affecte pas une seule entreprise, il touche potentiellement l'ensemble de votre clientèle en même temps. Les obligations de déclaration à l'APD (72h) se multiplient en proportion. Inqase pilote l'intégralité de cette procédure.

Assistance 24/7 pendant les périodes fiscales

Un rançongiciel qui frappe en période de déclarations TVA ou de clôture annuelle ne peut pas attendre le lundi matin. La hotline Inqase est active 24h/24, 7j/7. Un expert informatique prend la main dans l'heure. Les premiers 1 000 € de frais techniques sont couverts immédiatement, sans franchise.

Récupération des données jusqu'à 10 000 €

Restauration des fichiers depuis les sauvegardes, reconstruction des données endommagées, audit de sécurité et mise en place de protections renforcées : jusqu'à 10 000 € peuvent être mobilisés après sinistre pour remettre le cabinet en état de fonctionner.

Déclaration RGPD pour l'ensemble de vos clients concernés

Vous êtes responsable de traitement vis-à-vis de l'autorité de protection des données pour les données de vos clients. En cas de fuite, la déclaration sous 72h, les courriers aux personnes concernées, le call center et la surveillance d'identité sur 12 mois sont pris en charge. Les amendes de l'APD restent non assurables en droit belge.

Questions fréquentes pour Comptable & Fiduciaire

Si un client subit un préjudice suite à une fraude commise via mon cabinet, peut-il se retourner contre moi ?

Oui, c'est le risque de responsabilité civile professionnelle. La police Inqase couvre les coûts directs de l'incident cyber (fraude, déclaration RGPD, restauration des données). Pour la responsabilité envers vos clients, vérifiez votre contrat RC pro existant, c'est une garantie distincte. Les deux se complètent : Inqase gère la crise cyber, votre RC pro couvre les réclamations de tiers.

La fraude est-elle couverte même si c'est mon collaborateur qui a cliqué sur le lien frauduleux ?

Oui, à condition que la fraude résulte d'une tromperie externe, hameçonnage, usurpation d'identité, faux email. La faute intentionnelle d'un collaborateur agissant pour son propre compte constitue une exclusion. Un collaborateur qui s'est fait piéger, même par manque de vigilance, reste dans le périmètre de couverture.

Mes logiciels comptables tournent sur le cloud (BOB, Winbooks, Exact, Yuki…). Suis-je couvert si le logiciel est attaqué ?

Oui. La police assure votre cabinet et les conséquences financières pour votre activité. Si l'indisponibilité du logiciel cloud cause une interruption d'activité ou une fuite de données, la couverture s'applique aux conséquences pour vous. Le recours éventuel contre l'éditeur du logiciel est organisé via l'avocat désigné.

Que se passe-t-il si la fraude est découverte plusieurs jours après les faits ?

Le délai de 24h pour déposer plainte pénale court à partir du moment où vous avez connaissance de la fraude, pas de sa commission. Si vous la découvrez le lundi en ouvrant vos emails, le délai commence ce lundi-là. La rapidité reste essentielle : c'est pendant cette fenêtre courte que les services de police peuvent encore bloquer les comptes destinataires et geler les fonds.

Combien coûte une assurance cyber pour une fiduciaire de 5 personnes ?

Le tarif dépend de votre chiffre d'affaires, du nombre de clients gérés et de votre niveau d'équipement informatique. Le simulateur Inqase donne un prix exact en 3 minutes, sans inscription ni engagement. Pour une petite fiduciaire, la prime annuelle est généralement comparable à votre assurance responsabilité civile professionnelle.

Estimer ma prime Nous contacter