L'assurance cyber pour les franchisés de la distribution
Delhaize affilié, Spar, Carrefour express, Match, Louis Delhaize indépendant, votre magasin dépend autant de la centrale que de vos propres systèmes. Quand l'un des deux tombe, vous payez. On couvre vos pertes locales, peu importe d'où vient la faille.
Contexte du secteur
Être franchisé en grande distribution, c'est cumuler deux dépendances numériques : vos propres outils locaux (POS, wifi, back-office) et le système central de l'enseigne (ERP, supply chain, cartes de fidélité). Une attaque côté central paralyse votre magasin ; une attaque locale vous laisse seul face aux clients et à l'APD.
1 sur 2
PME belges victimes d'une cyberattaque Source · Centre for Cybersecurity Belgium 2024
65 000 €
coût moyen d'un ransomware pour une PME européenne Source · ENISA Threat Landscape
72 h
délai maximum pour notifier une fuite de données à l'APD Source · RGPD art. 33
Le franchisé : seul face aux cyber-risques
Une zone grise contractuelle inconfortable
Être franchisé dans la grande distribution, c’est vivre dans une zone grise particulièrement inconfortable côté cyber. Vous êtes juridiquement indépendant : numéro BCE, TVA, personnel, bail, responsabilité civile, comptabilité.
Mais opérationnellement, vous ne survivez pas une journée sans le SI de l’enseigne. Commandes fournisseurs, prix produits, fidélité, e-commerce, parfois même la paie ou la planification staff transitent par les serveurs centraux.
Cette dépendance est un atout commercial, vous bénéficiez d’une force d’achat et d’une marque puissantes. Mais c’est un risque cyber redoutable. 1 PME sur 2 en Belgique a déjà subi une cyberattaque selon le CCB.
Quand la centrale tombe, vos caisses tombent
Les attaques récentes contre des enseignes européennes du retail ont rappelé une réalité que les franchisés découvrent souvent dans la douleur : quand la centrale tombe, vos caisses tombent. Pas le lendemain, pas dans quelques heures, immédiatement.
Et personne, ni l’enseigne, ni votre assurance multirisque habituelle, n’indemnise automatiquement vos pertes locales. L’enseigne traite son propre sinistre, communique au réseau, restaure ses systèmes selon son plan de continuité.
Pendant ce temps, vous gérez :
des clients qui abandonnent leurs caddies
des surgelés qui fondent en chambre froide
un staff payé à ne rien pouvoir vendre
des fournisseurs frais qui attendent une commande qui ne part pas
Le contrat de franchise n’est rarement votre allié
La plupart des modèles belges, Delhaize affilié, Spar, Carrefour, Match, Louis Delhaize indépendants, prévoient des clauses de mise à disposition d’outils informatiques avec une obligation de moyens, pas de résultat.
Autrement dit : la centrale s’engage à faire de son mieux, mais ne garantit pas la disponibilité, et ne s’engage pas à indemniser vos pertes opérationnelles en cas d’incident. Quelques contrats prévoient une remise commerciale post-incident, qui ne compense jamais réellement la perte sèche.
Un risque local pur, en plus
À cette dépendance « verticale » s’ajoute le risque local : votre POS, votre wifi, vos ordinateurs back-office, votre boîte mail, vos caméras IP, vos badges staff.
C’est un terrain de jeu classique pour les attaquants opportunistes, moins ciblés que les grands groupes, mais largement plus exposés en proportion. Quelques vecteurs typiques :
phishing sur l’adresse direction@votre-magasin
ransomware déposé via une clé USB d’un livreur
compte staff intérimaire jamais désactivé
imprimante connectée en accès direct sur Internet
La surface d’attaque d’un magasin de 800 m² est plus grande qu’on ne le pense.
Et la pression RGPD qui monte
Chaque franchisé est responsable de traitement en propre sur les données qu’il collecte localement : CV reçus en magasin, dossiers personnel, images de vidéosurveillance, parfois bases marketing locales.
Le franchiseur est responsable conjoint sur la fidélité et l’e-commerce, mais cela ne vous décharge pas. Une fuite de données déclenche l’obligation de notifier l’APD dans 72 h (article 33 RGPD).
À noter : les réglementations type NIS2 ou DORA visent essentiellement les opérateurs critiques et les grandes structures. Un franchisé local de taille standard n’y est en général pas directement soumis, mais l’enseigne, si.
Les scénarios qu’on observe chez les franchisés belges
L’enseigne centrale piratée, votre magasin à l’arrêt
C’est le scénario le plus médiatique. Et probablement le plus coûteux pour vous, paradoxalement, parce que vous ne maîtrisez rien.
La centrale subit un ransomware sur son ERP ou sa plateforme caisse. En quelques minutes, vos POS n’arrivent plus à récupérer les prix actualisés, le programme fidélité plante, les commandes fournisseurs cessent de partir.
Selon les enseignes, le mode dégradé tient quelques heures puis cède. Vous basculez en caisse manuelle, ou vous fermez. Les pertes sur frais et ultra-frais passent en démarque.
Côté garantie : perte d’exploitation calculée sur votre marge brute, périssables couverts, hotline 24/7 pour coordonner avec la centrale.
Le ransomware ciblé sur votre POS
Plus discret, plus fréquent. Un de vos postes back-office reçoit un mail piégé, facture fournisseur, CV pour un poste de caissier, document Excel commercial.
Le ransomware se propage sur le réseau local, atteint les POS via le partage Windows ou une faille SMB, chiffre les caisses. Vous découvrez le sinistre en arrivant à 7h le matin. Aucune transaction possible.
Côté garantie : restauration des systèmes, perte d’exploitation sur la marge brute, et jusqu’à 10 000 € pour la récupération des données et les améliorations techniques post-incident.
Les données de fidélité exfiltrées
Vos cartes de fidélité magasin contiennent typiquement nom, adresse postale, email, parfois date de naissance, et l’historique d’achat. C’est une mine d’or pour le phishing ciblé.
Une compromission d’un compte staff suffit pour qu’un attaquant siphonne la base. Vecteurs classiques :
intérimaire dont le compte n’a pas été désactivé
mot de passe sur post-it ou partagé en clair
phishing sur la boîte staff
Vous êtes responsable de traitement RGPD au sens de l’APD, indépendamment de l’enseigne. La notification 72 h est obligatoire dès qu’il y a risque pour les droits et libertés des personnes, ce qui est presque toujours le cas avec ce type de données. Call center et identity monitoring jusqu’à 12 mois sont inclus.
Le faux email de la direction
La fraude au président appliquée au franchisé. Un email maquillé, signé du directeur régional ou du directeur achats, vous demande un virement urgent, nouveau fournisseur, régularisation TVA, avance sur commande exceptionnelle.
Le ton est crédible, la signature visuelle parfaite, le numéro de compte semble cohérent. Votre comptable vire.
Couvre vol, escroquerie, abus de confiance et faux. Cryptomonnaies exclues. Fraude commise par un mandataire social exclue.
Comment Inqase intervient
Le principe : votre police couvre votre entreprise
Le principe est simple : votre police couvre votre entreprise, pas l’enseigne. Si l’incident a une cause cyber, peu importe que la faille technique vienne du SI central ou de votre back-office, on indemnise vos pertes propres.
Le déclenchement de la garantie repose sur la conséquence chez vous (impossibilité d’exploiter, perte de données, fraude), pas sur la localisation géographique de la vulnérabilité.
Articulation propre avec la centrale
À la souscription, on lit votre contrat de franchise. On identifie :
ce que le franchiseur prend déjà en charge (restauration du SI central, communication réseau)
ce qui reste à votre charge (perte d’exploitation locale, périssables, RGPD côté magasin)
les éventuelles remises commerciales post-incident à anticiper
Pas de doublon, pas de trou.
Au sinistre, assistance 24/7
En cas de sinistre, vous appelez un numéro unique 24/7, en français ou néerlandais. Un coordinateur prend la main, mobilise les experts si nécessaire, dialogue directement avec votre service informatique ou celui du franchiseur.
L’assistance 24/7 est sans franchise, plafonnée à 15 000 €/an :
Expert IT, jusqu’à 1 000 € de réparation immédiate
Avocat, accompagnement juridique
Communication de crise, gestion médias et clients
En cas de cyber-extorsion
Si une rançon est demandée, on intervient avec un avis d’expert IT sur la pertinence technique. Le paiement éventuel se fait avec accord de l’assureur et du mandataire social. La perte d’exploitation est calculée sur la marge brute. La récupération des données et les améliorations techniques sont couvertes jusqu’à 10 000 €.
À noter : la rançon payée sans accord préalable de l’assureur est exclue.
Côté RGPD
On prend en charge la notification à l’APD dans les 72 h. On rédige la communication aux personnes concernées si elle est obligatoire. On organise un call center si le volume le justifie. Identity monitoring jusqu’à 12 mois pour les personnes touchées. Honoraires d’avocat et amendes APD assurables sont pris en charge.
Opérations
Cyberattaque sur l'enseigne centrale, votre magasin à l'arrêt
Le scénario
Le SI du franchiseur est paralysé par un ransomware. Vos caisses ne scannent plus les codes-barres, les commandes fournisseurs sont bloquées, le programme fidélité ne répond plus. Le magasin tourne au ralenti pendant 3 jours.
Ce qui est pris en charge
Perte d'exploitation calculée sur la marge brute de votre magasin
Pertes sur produits frais et surgelés non écoulés
Coûts de mesures dégradées (caisse manuelle, comptabilité papier)
Heures supplémentaires staff pour rattraper le retard
Hotline 24/7 et coordination avec la centrale
À savoir
Franchise temporelle selon la formule souscrite
La cause cyber sur la centrale doit être avérée
POS
Ransomware sur votre POS pendant l'ouverture
Le scénario
Un ransomware chiffre vos caisses en plein samedi matin. Plus aucune transaction possible. Les clients abandonnent leurs caddies, les surgelés fondent dans les chariots.
Ce qui est pris en charge
Restauration et nettoyage des systèmes POS
Récupération des données + améliorations jusqu'à 10 000 €
Perte d'exploitation sur la marge brute pendant la remise en route
Pertes sur stocks périssables abandonnés
Frais de notification clients si données carte exposées
À savoir
Conformité PCI-DSS de base attendue
Exclusion si POS hors maintenance documentée
Données
Fuite des données du programme de fidélité
Le scénario
Une base contenant les cartes de fidélité de votre magasin (nom, adresse, historique d'achat, email) est exfiltrée via un compte staff compromis. L'APD doit être notifiée sous 72 h (art. 33 RGPD).
Ce qui est pris en charge
Notification à l'APD et accompagnement juridique RGPD
Call center et information individuelle des clients concernés
Identity monitoring jusqu'à 12 mois si pertinent
Honoraires d'avocat et amendes APD assurables
Frais de gestion de crise et communication
À savoir
Cyber-guerre et faute intentionnelle exclues
Passé connu non déclaré exclu
Fraude
Faux email de la centrale demandant un virement
Le scénario
Un email maquillé, signé du directeur financier de l'enseigne, vous demande un virement urgent sur un nouveau compte fournisseur. Le ton, la signature, le logo : tout est crédible. Le virement part.
Ce qui est pris en charge
Indemnisation du virement frauduleux dans la sous-limite cyber-fraude (50 000 €)
Accompagnement plainte police judiciaire (dépôt sous 24 h)
Avis d'expert IT pour tracer l'origine
Couvre vol, escroquerie, abus de confiance et faux
À savoir
Sous-limite cyber-fraude : 50 000 €
Cryptomonnaies exclues · plainte sous 24 h requise
Fraude commise par un mandataire social exclue
Ce qui est couvert pour vous en tant que Franchisé grande distribution
Indemnisé même si la faille vient de la centrale
Votre police couvre *votre* entreprise. Si l'enseigne se fait pirater et que vos caisses tombent, vous êtes indemnisé sur vos pertes propres, perte d'exploitation, périssables, heures sup, sans devoir attendre un recours contre le franchiseur.
Pertes sur produits frais et surgelés couvertes
La marge sur frais et ultra-frais fait vivre un magasin de proximité. Quand le SI tombe, les produits non écoulés deviennent perte sèche. La garantie couvre ces pertes comme conséquence directe du sinistre cyber.
Perte d'exploitation calculée sur la marge brute
Indemnisation calibrée sur votre marge brute réelle, pas sur un forfait. La franchise temporelle dépend de la formule choisie.
Notification APD 72 h prise en charge
Fichiers de fidélité, CV reçus en magasin, images de vidéosurveillance : vous êtes responsable de traitement. On gère la notification 72 h, le call center clients et l'identity monitoring jusqu'à 12 mois.
Assistance 24/7 sans franchise, cap 15 000 €/an
Une caisse qui tombe un samedi à 10h ne peut pas attendre lundi. Expert IT (jusqu'à 1 000 € de réparation immédiate), avocat, communication de crise, un numéro, des humains, 24/7.
Cyber-fraude couverte jusqu'à 50 000 €
Fraude au président, faux fournisseur, faux IBAN : la sous-limite cyber-fraude couvre vol, escroquerie, abus de confiance et faux. Plainte à déposer sous 24 h. Cryptomonnaies exclues.
Questions fréquentes pour Franchisé grande distribution
Et si l'enseigne (Delhaize, Spar, Carrefour, Match) se fait attaquer, je suis couvert ?
Oui, sur vos pertes propres. Votre police indemnise la perte d'exploitation locale (calculée sur votre marge brute), les périssables perdus et les frais de gestion de crise dans votre magasin, indépendamment du fait que la cause technique vienne de la centrale. La police ne couvre pas les pertes du franchiseur lui-même, il a sa propre assurance. Concrètement, si vos caisses ne scannent plus à cause d'une attaque sur le SI central, vous êtes indemnisé.
Mon contrat de franchise ne me couvre-t-il pas déjà ?
Le plus souvent, non. Les contrats de franchise prévoient en général la mise à disposition d'outils, parfois une assistance technique, et la communication réseau en cas d'incident sur le SI central. Ils couvrent rarement votre perte d'exploitation locale, vos pertes sur stocks périssables, ou votre responsabilité RGPD propre. On relit votre contrat avec vous pour identifier les trous spécifiques.
Les produits frais et surgelés perdus sont-ils indemnisés ?
Oui, dès lors que la perte est une conséquence directe d'un événement cyber couvert (ransomware sur le POS, indisponibilité du SI central, panne caméras de chambre froide pilotées en IP). L'indemnisation se fait sur la marge brute, dans la logique classique de la perte d'exploitation. Un inventaire au moment du sinistre est nécessaire, qu'on cadre avec vous en amont.
Et la fraude au président via faux email de la centrale ?
Couverte par la garantie cyber-fraude, dans une sous-limite de 50 000 €. La police couvre vol, escroquerie, abus de confiance et faux. Conditions : plainte déposée dans les 24 h, fraude non commise par un mandataire social, transaction non effectuée en cryptomonnaies. C'est typiquement le scénario où le réflexe doit être d'appeler la hotline 24/7 avant de chercher à comprendre seul.
Et les caisses contactless / paiement mobile, risque spécifique ?
Les terminaux modernes (sans contact, Bancontact, Apple Pay, QR-code) sont sous responsabilité du fournisseur de paiement pour la partie réseau bancaire. Mais le POS qui les pilote reste sous votre responsabilité. Un ransomware qui chiffre le POS bloque toutes les méthodes de paiement, contactless compris. C'est typiquement le scénario que la garantie couvre. La conformité PCI-DSS de base reste attendue côté souscription.
