Quand un logiciel d'expertise se fait pirater : le scénario qui plombe les cabinets
Photos VIN, rapports nominatifs, accès aux systèmes des compagnies : un cabinet d'expertise auto piraté représente un jackpot pour un attaquant. Voici les scénarios constatés, leur coût réel et la couverture cyber qui change la donne.
- Un cabinet d'expertise auto manipule en moyenne 800 à 2 000 dossiers nominatifs par an : RGPD applicable, exposition cyber importante.
- Trois scénarios dominent : ransomware sur les logiciels métiers (SidExpert, GTMotive, DARVA), phishing auprès des compagnies mandantes, fuite de photos VIN sur cloud mal configuré.
- Le coût moyen d'un incident cyber pour un cabinet de moins de 10 personnes oscille entre 25 000 et 80 000 €, sans compter la perte de référencement chez les mandants.
- Une assurance cyber dédiée couvre ransomware, frais de notification CNIL, gestion de crise, perte d'exploitation et responsabilité civile dans le cadre des données traitées.
Le cabinet d'expertise auto : une cible parfaite, et peu protégée
Vu de l'extérieur, un cabinet d'expertise automobile semble loin des sujets cyber. Petite équipe, métier terrain, logiciels spécialisés peu connus du grand public : qui irait pirater un expert ? La réalité est exactement inverse. Vous êtes une cible privilégiée, pour trois raisons.
Premièrement, le volume de données personnelles traitées. Un expert traite en moyenne 800 à 2 000 dossiers par an, chacun contenant nom, adresse, numéro de téléphone, numéro de contrat d'assurance, plaque, VIN, photos du véhicule, parfois pièce d'identité. Multiplié par les années d'archivage (10 ans minimum pour la RC Pro), votre base atteint vite 10 000 à 30 000 personnes. La CNIL considère ces données comme sensibles au regard du RGPD.
Deuxièmement, les accès aux systèmes des compagnies. Vous disposez d'identifiants vers les portails de plusieurs assureurs (DARVA, plateformes propriétaires des compagnies, BCA Expertise, ALLIANCE Experts). Un attaquant qui prend la main sur votre poste accède potentiellement à des dizaines de dossiers de tiers, hors de votre périmètre.
Troisièmement, la dépendance opérationnelle. Sans accès à SidExpert, GTMotive ou DARVA, votre activité s'arrête. Aucun rapport rendu, aucun chiffrage validé, aucune mission honorée. Cette dépendance fait de vous une cible idéale pour un ransomware : le délai de tolérance est très court, le réflexe de payer est plus fort qu'en moyenne.
Trois scénarios réels et leurs conséquences chiffrées
Voici les scénarios les plus fréquemment constatés ces deux dernières années dans les cabinets d'expertise automobile français. Aucun n'est exotique. Chacun pourrait toucher votre cabinet la semaine prochaine.
Scénario A : ransomware sur poste de travail
Pièce jointe d'un faux mail "convocation à expertise" ouverte par une assistante. En 4 heures, le réseau du cabinet est chiffré. Bases SidExpert, photos, sauvegardes locales, documents Word. Demande de rançon : 18 000 € en cryptomonnaie. Si refus, publication d'un échantillon de dossiers sur le dark web.
- Coût restauration informatique : 12 000 €
- Perte d'exploitation 2 semaines : 25 000 €
- Notification CNIL et information des assurés : 6 000 €
- Frais d'avocat et de communication : 5 000 €
- Total : 48 000 € minimum (hors rançon, déconseillée)
Scénario B : phishing au nom d'une compagnie
L'attaquant usurpe l'identité d'une compagnie mandante, envoie un faux mail demandant la mise à jour des coordonnées bancaires. Le cabinet modifie son RIB chez la compagnie. Trois paiements de mission, soit 22 000 €, sont versés sur le compte frauduleux. Aucun assureur ne rembourse l'opération bancaire car la fraude est imputable au cabinet qui a validé.
Scénario C : fuite cloud mal sécurisé
Photos d'expertise stockées sur un cloud personnel sans contrôle d'accès. Un moteur de recherche les indexe. Découverte 6 mois plus tard par une assurée dont le véhicule volé apparaît avec ses coordonnées. Plainte à la CNIL, contrôle, mise en demeure, amende de 15 000 € et obligation de notification massive. Impact réputationnel : déréférencement par deux compagnies mandantes.
RGPD et expertise auto : ce que vous devez absolument respecter
Beaucoup de cabinets d'expertise pensent être hors champ du RGPD car ils traitent des données pour le compte des assureurs. C'est faux. Vous êtes responsable de traitement sur une partie significative de votre activité, en particulier pour les expertises amiables sollicitées par un particulier.
Les obligations minimales :
- Registre des traitements à jour, listant toutes les catégories de données et les destinataires.
- Durée de conservation documentée : 10 ans pour les dossiers actifs RC Pro, archivage chiffré au-delà si nécessaire.
- Mesures de sécurité techniques : mots de passe robustes, double authentification sur les portails compagnies, chiffrement des sauvegardes, antivirus à jour, sauvegardes hors site.
- Mention d'information dans les rapports d'expertise transmis aux assurés.
- Procédure de notification CNIL en 72 heures en cas de violation de données. Une notification tardive constitue un manquement aggravant.
En cas de contrôle CNIL, l'absence de ces éléments expose à une amende administrative pouvant atteindre 4 % du chiffre d'affaires annuel ou 20 millions d'euros (article 83 du RGPD). Pour un cabinet de 5 personnes à 600 000 € de CA, le risque maximal théorique est de 24 000 €.
Les bonnes pratiques techniques minimales pour un cabinet
La cybersécurité d'un cabinet d'expertise ne nécessite pas de DSI dédié. Six mesures simples couvrent la majorité des risques.
- Double authentification activée partout : messagerie, DARVA, portails compagnies, logiciels métiers cloud. C'est la mesure qui bloque 80 % des attaques par identifiants compromis.
- Sauvegarde quotidienne hors site : un disque externe déconnecté + un cloud chiffré. Une sauvegarde branchée en permanence est chiffrée par le ransomware en même temps que le reste.
- Mises à jour automatiques sur tous les postes Windows et Mac, sans exception.
- Antivirus avec module anti-ransomware, pas seulement Windows Defender.
- Sensibilisation au phishing : un test annuel d'envoi de faux mails ciblés réduit le taux de clics de 40 % à moins de 10 %.
- Procédure double signature pour tout changement de RIB ou virement supérieur à 1 000 €.
Ces mesures ne remplacent pas une assurance cyber. Elles la complètent : la plupart des assureurs cyber exigent désormais la double authentification et les sauvegardes hors site comme condition de garantie.
Pourquoi une assurance cyber dédiée change la donne
L'assurance cyber ne se limite pas à payer la rançon (ce que la plupart des contrats refusent ou plafonnent fortement). Elle organise la gestion complète d'un incident, du premier appel à la reprise d'activité.
Les garanties typiques d'un contrat cyber adapté à un cabinet d'expertise :
- Cellule de crise 24/7 avec hotline technique et juridique ;
- Forensic et restauration des systèmes par un prestataire qualifié ;
- Frais de notification CNIL et information des personnes concernées ;
- Perte d'exploitation pendant l'indisponibilité ;
- Responsabilité civile vis-à-vis des tiers dont les données ont fuité ;
- Fraude au virement et à l'identité numérique (option qui couvre le scénario B ci-dessus).
Une assurance cyber expert automobile représente un investissement modéré (souvent moins de 80 €/mois pour un cabinet jusqu'à 10 personnes), à mettre en regard des 25 000 à 80 000 € d'un incident moyen. Pour comprendre comment ce produit s'articule avec votre RC Pro, consultez la page expert automobile.
Questions fréquentes
Oui, sans exception. Le RGPD s'applique dès que vous traitez des données personnelles dans un cadre professionnel, quelle que soit la taille de la structure. Pour un cabinet d'expertise auto traitant plusieurs centaines de dossiers nominatifs par an, toutes les obligations s'appliquent : registre, durée de conservation, sécurité, notification en cas de violation.
Très partiellement. La RC Pro classique couvre votre responsabilité vis-à-vis d'un tiers (par exemple, une fuite de données ayant causé un préjudice à un assuré). Elle ne couvre pas la restauration de vos systèmes, la perte d'exploitation, la fraude au virement, les frais de notification CNIL ni la gestion de crise. Un contrat cyber dédié est nécessaire pour ces postes.
L'ANSSI et la plupart des assureurs déconseillent fortement le paiement de rançons, qui n'offre aucune garantie de récupération des données et finance la criminalité. La meilleure protection reste une sauvegarde hors site testée régulièrement, qui permet de restaurer sans payer. La majorité des contrats cyber excluent le paiement de la rançon ou le plafonnent strictement.
L'article 33 du RGPD impose une notification dans les 72 heures suivant la constatation de la violation, sauf si vous démontrez l'absence de risque pour les personnes. Au-delà, vous devez justifier le retard. Les contrats cyber prévoient généralement l'accompagnement par un DPO externe pour préparer et soumettre la notification dans les délais.
Non. Si ces éditeurs sont responsables de la sécurité de leurs serveurs, vous restez responsable de la sécurité de vos accès (mots de passe, postes utilisateurs, sauvegardes locales, exports). Une fuite via un identifiant compromis ou un poste infecté reste imputable à votre cabinet, indépendamment de la qualité du logiciel utilisé.
Souscrivez votre assurance pro en 2 minutes
Toutes nos protections pour votre activité de Expert automobile — attestation immédiate, sans engagement.
* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Expert automobile →
Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.