Une boutique en ligne offre tout ce qu'un attaquant cherche : flux de paiement, base clients avec adresses et cartes, dépendance totale au numérique, fenêtre d'arrêt zéro. Une couverture cyber pour e-commerçant doit traiter ces spécificités frontalement.
Les 5 risques majeurs du e-commerce
1. Vol de base clients : adresses, emails, mots de passe, historique d'achats. Conséquences RGPD massives. 2. E-skimming : injection de code malveillant dans le tunnel de paiement pour voler les cartes en temps réel. Très difficile à détecter. 3. Attaque DDoS : saturation du site, perte directe de chiffre d'affaires. 4. Fraude chargeback : commandes payées avec cartes volées, paiements ensuite contestés. 5. Compromission du back-office : modification des prix, redirection des paiements, vol direct de stock.
PCI-DSS et conformité
Si vous traitez des cartes bancaires (même via un PSP type Stripe ou Adyen), vous êtes soumis à PCI-DSS. En cas de violation, le PSP peut vous refacturer les coûts (notification, audit forensic PCI, sanctions des réseaux Visa/MasterCard). Une bonne assurance e-commerce inclut une garantie PCI-DSS Liability couvrant ces refacturations. Plafond typique : 250 000 € à 1 M€.
Perte d'exploitation : le poste critique
Pour une boutique en ligne, chaque heure d'arrêt coûte. Un site qui fait 50 000 €/jour de CA perd 30 000 à 35 000 € de marge brute par jour d'arrêt. La couverture perte d'exploitation doit avoir une franchise temporelle courte (idéalement 4 à 8 heures, pas 24h comme sur du contrat industriel) et une période d'indemnisation longue(180 jours pour absorber un arrêt prolongé et une réacquisition client coûteuse post-incident).
RC cyber et data breach
Avec 50 000 à 500 000 clients en base, un data breach déclenche une exposition massive aux recours. Coût type pour une boutique avec 100 000 clients : 80 000 à 200 000 € de notification, 100 000 à 500 000 € de transactions sur recours. Le plafond RC cyber doit être dimensionné en conséquence : au moins 1 M€, souvent 2 à 3 M€ pour les e-commerçants matures.
Les prérequis techniques de l'assureur
Pour souscrire une cyber e-commerce, l'assureur exige généralement : MFA obligatoire sur les accès admin du back-office, pare-feu applicatif (WAF) devant le site, monitoring d'intégrité du tunnel de paiement (anti e-skimming), sauvegardes immuables de la base clients, plan de continuité documenté (PCA), conformité PCI-DSS attestée. Sans ces éléments, refus ou primes majorées de 50 à 100 %.
Tarifs et plafonds adaptés
Pour un e-commerçant de 1 à 5 M€ de CA, fourchette de prime : 2 800 à 6 500 €/an pour 1 à 2 M€ de capital, RC cyber 1 M€, perte d'exploitation 180 jours, PCI-DSS inclus. Au-delà de 5 M€ de CA, comptez 6 500 à 18 000 €. Le surcoût par rapport à une PME industrielle classique se justifie par l'exposition data + dépendance numérique. Mais ramené au CA, cela reste 0,1 à 0,3 % — un investissement marketing déguisé en assurance.
Le cas Magento / WooCommerce / Shopify
Selon votre plateforme, le profil de risque change. Magento self-hosted : exposition maximale, vulnérabilités fréquentes, exige patching strict. WooCommerce : risque lié aux plugins (chacun étant une porte d'entrée potentielle). Shopify / BigCommerce : risque résiduel sur les apps tierces et la configuration. Salesforce Commerce / Adobe Commerce Cloud : couverture déléguée en partie au prestataire, à articuler avec l'assurance. Notre rôle est d'adapter le contrat à votre stack précise.