Sinistre 13 juin 2026 ⏱️ 10 min de lecture

Quand le fichier clients devient une bombe : récit d'un sinistre cyber à 47 000 € chez un courtier en travaux

Un courtier en travaux indépendant, un fichier Excel partagé, un mail piégé : il aura suffi de 11 minutes pour exposer 2 340 fiches clients et 78 contrats d'artisans. Reconstitution complète d'un sinistre cyber et de ses conséquences juridiques et financières.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Le fichier d'un courtier en travaux concentre des données très sensibles : coordonnées, montants de travaux, projets immobiliers, situations familiales — un trésor pour les escrocs.
Sinistre type reconstitué : 2 340 fiches exfiltrées, 47 000 € de coût total entre notification CNIL, frais IT, mises en cause des artisans et perte commerciale.
L'amende CNIL n'est qu'une partie de la facture : les frais de notification (4 € par personne en moyenne), la cellule de crise et le préjudice commercial pèsent lourd.
Une cyber-assurance dédiée prend en charge la cellule de crise 24h/24, les frais de notification, la défense en cas d'enquête CNIL et les pertes d'exploitation.

Un dimanche soir, un mail anodin : chronologie d'une intrusion

Le sinistre que nous reconstituons est inspiré de cas réels documentés par la CNIL dans son bilan annuel sur les violations de données (déclarations sous l'article 33 du RGPD) et par les assureurs cyber sur le segment TPE/PME. Les chiffres sont moyennés sur des sinistres observés entre 2023 et 2025 dans le secteur du conseil indépendant.

20h47, dimanche. Un courtier en travaux indépendant, deux associés et un salarié, reçoit un mail qui semble venir de son hébergeur de boîte mail. Objet : « Maintenance prévue cette nuit — renouvelez votre accès ». Le mail est bien fait : logo correct, signature plausible, ton administratif. Le salarié clique, saisit son identifiant et son mot de passe sur une page qui ressemble à s'y méprendre à l'interface habituelle.

20h58. Le compte est compromis. L'attaquant active une règle de transfert automatique de tous les mails entrants vers une adresse externe. Il commence à fouiller les pièces jointes.

Trois jours plus tard. L'attaquant a identifié le fichier maître : un classeur Excel partagé sur OneDrive contenant 2 340 fiches de prospects et clients, accumulées depuis 6 ans. Pour chaque ligne : nom, prénom, adresse, téléphone, email, type de projet, budget envisagé, statut (propriétaire/locataire), parfois date prévue d'occupation. À côté : un fichier des 78 artisans partenaires avec coordonnées, commissions versées, RIB. Le tout est exfiltré.

Le courtier ne s'aperçoit de rien pendant 11 jours. Jusqu'à ce qu'un client appelle pour signaler qu'il a reçu un mail frauduleux « qui connaissait précisément son projet ».

Le déclenchement : 72 heures pour notifier, 24 heures pour réagir

L'article 33 du RGPD impose une notification à la CNIL dans un délai de 72 heures après la prise de connaissance d'une violation de données personnelles « susceptible d'engendrer un risque pour les droits et libertés des personnes ». Le fichier compromis remplit clairement cette condition.

L'article 34 du RGPD impose en parallèle une information individuelle de chaque personne concernée si le risque est élevé. Avec des données financières, des projets immobiliers et des coordonnées bancaires d'artisans, le risque est sans ambiguïté qualifié d'élevé.

Les actions des 72 premières heures

Sécurisation immédiate : changement de tous les mots de passe, audit des règles de transfert, déconnexion forcée de toutes les sessions, activation de la double authentification (qui n'était pas en place).
Constitution du dossier de notification : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises. Le formulaire CNIL est en ligne mais nécessite une rédaction juridique précise.
Mobilisation d'un prestataire informatique forensique pour identifier le périmètre exact de l'exfiltration et préserver les preuves techniques.
Notification à la CNIL via le formulaire dédié, dans les 72 heures.

Sans cellule de crise prévue, ces 72 heures se traduisent en pratique par 60 à 80 heures de travail bloquant l'activité commerciale du cabinet.

La facture détaillée : 47 000 € qui détonnent

Voici la décomposition réaliste du coût total d'un tel sinistre pour un courtier en travaux indépendant.

Poste	Montant	Commentaire
Prestataire forensique informatique	5 400 €	Analyse de l'intrusion, identification du périmètre, sécurisation
Conseil juridique RGPD	3 800 €	Rédaction notifications CNIL et personnes concernées
Notification individuelle	9 360 €	2 340 personnes × 4 € (courrier recommandé et suivi)
Hotline dédiée 30 jours	2 200 €	Service réception appels et questions des clients
Sanction CNIL (rappel à l'ordre)	0 €	Première infraction, coopération, mesures correctives prises
Indemnisation 3 artisans (RIB compromis)	4 800 €	Frais bancaires, opposition, préjudice moral
Mises en cause de 2 clients (tentative escroquerie)	7 500 €	Frais d'avocat, transactions
Refonte IT : MFA, antivirus, formation	3 800 €	Mise à niveau sécurité
Perte d'exploitation (3 semaines)	10 200 €	Cabinet quasi à l'arrêt pendant la crise
Total	47 060 €

Et encore, le scénario retenu suppose une coopération exemplaire avec la CNIL, qui n'a prononcé qu'un rappel à l'ordre. En cas de manquement caractérisé (notification tardive, absence de mesures de sécurité élémentaires), l'amende peut atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu (article 83.4 du RGPD).

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Le préjudice invisible : la confiance perdue et le bouche-à-oreille

Au-delà des 47 000 € quantifiables, le sinistre cyber détruit un actif intangible : la confiance. Pour un courtier en travaux dont 60 à 70 % du chiffre d'affaires provient du bouche-à-oreille et de la recommandation, c'est l'arme commerciale qui s'enraye.

Un client qui découvre que ses coordonnées et son projet de rénovation ont été exposés ne vous recommandera pas à son entourage. Pire, il en parlera autour de lui.

Les études sur les conséquences post-sinistre cyber dans les TPE montrent :

Une baisse moyenne du chiffre d'affaires de 12 à 18 % dans les 12 mois suivant un incident communiqué publiquement.
Un délai moyen de 21 mois pour retrouver le niveau d'activité d'avant sinistre.
Un coût de réacquisition client multiplié par 2,3 pendant la phase de reconquête.

Sur un cabinet réalisant 180 000 € de marge brute annuelle, une baisse de 15 % représente 27 000 € de manque à gagner sur l'année — qui s'ajoutent aux 47 000 € de coûts directs.

Ce qu'une assurance cyber dédiée aurait pris en charge

Une cyber-assurance correctement dimensionnée pour un courtier en travaux indépendant transforme radicalement la trajectoire de ce sinistre. Voici ce qu'elle couvre généralement.

Cellule de crise 24h/24

Une ligne dédiée joignable immédiatement après la découverte du sinistre. Mobilisation en quelques heures d'un forensique informatique, d'un avocat spécialisé RGPD et d'une cellule de communication. Vous ne gérez pas seul les 72 premières heures critiques.

Frais de réponse à l'incident

Prise en charge de la prestation forensique, du conseil juridique, des notifications individuelles (courriers, hotline), des frais de communication de crise. Ces postes représentent à eux seuls près de 21 000 € dans le scénario reconstitué.

Défense en cas d'enquête CNIL

Représentation par un avocat spécialisé pendant toute la procédure, jusqu'à l'audience devant la formation restreinte si nécessaire. Les amendes administratives sont en règle générale exclues (la jurisprudence administrative limite l'assurabilité des sanctions publiques), mais les frais de défense, eux, sont couverts.

Pertes d'exploitation et frais supplémentaires

Indemnisation des pertes liées à l'arrêt ou au ralentissement d'activité pendant la phase de crise, et des frais supplémentaires engagés pour limiter les conséquences (location de matériel, recours à des prestataires externes).

Recours des tiers

Prise en charge des indemnisations dues aux personnes concernées (clients, artisans) victimes du sinistre. Dans le scénario, ce sont les 12 300 € versés aux 3 artisans et aux 2 clients lésés.

Pour un cabinet de courtage en travaux, la prime annuelle d'une cyber-assurance débute autour de 35 €/mois pour un plafond de 100 000 €. Soit 420 € qui couvrent un sinistre potentiel à 47 000 €. Le ratio coût/protection est sans équivalent dans la palette assurantielle. Découvrez nos garanties dédiées sur la page assurance cyber, et notre offre complète pour le métier de courtier en travaux.

Questions fréquentes

Mon fichier clients est sur un Excel partagé, suis-je vraiment concerné par le RGPD ?

Oui, intégralement. Le RGPD s'applique dès le premier traitement de données personnelles à des fins professionnelles, quels que soient le volume et le support. Un fichier Excel de 100 lignes engage les mêmes obligations qu'un CRM cloud de 10 000 contacts. Tenez à jour un registre des traitements, sécurisez l'accès, et formalisez votre politique de conservation.

Suis-je obligé de notifier la CNIL si je n'ai pas la preuve que les données ont été exploitées ?

Oui. L'obligation de notification s'applique dès qu'il y a violation, c'est-à-dire « destruction, perte, altération, divulgation non autorisée ou accès non autorisé » à des données personnelles. La preuve d'exploitation n'est pas requise. La seule exception : si la violation n'est pas susceptible d'engendrer un risque pour les personnes — ce qui est rarement le cas avec des données de prospection commerciale.

L'amende CNIL est-elle assurable ?

Non en règle générale en droit français : la jurisprudence administrative considère les sanctions publiques comme non assurables, car l'assurance ferait perdre leur caractère dissuasif. En revanche, les frais de défense, les coûts de notification, les indemnisations versées aux tiers et les pertes d'exploitation sont, eux, parfaitement couvrables par une cyber-assurance.

Mes mots de passe sont robustes, est-ce que je suis à l'abri du phishing ?

Non. Le phishing capture le mot de passe au moment de la saisie, sa robustesse n'a aucune incidence. La seule parade efficace est l'authentification multi-facteurs (MFA) sur tous les comptes critiques : messagerie, OneDrive ou Google Drive, CRM, plateforme bancaire. Activer la MFA prend 15 minutes par compte et neutralise 99 % des intrusions par identifiant volé.

Quelle différence entre RC Pro et cyber-assurance ?

La RC Pro couvre les conséquences financières d'une faute professionnelle dans votre métier de conseil (défaut de vérification, défaut de conseil). La cyber-assurance couvre spécifiquement les conséquences d'un incident de sécurité informatique : frais de réponse, notifications RGPD, pertes d'exploitation liées à un arrêt système. Les deux contrats sont complémentaires et n'ont pas le même périmètre d'intervention.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Courtier en travaux — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Courtier en travaux →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.