Sinistre 13 juin 2026 ⏱️ 10 min min de lecture

Fuite de copies de passeports : anatomie d'un sinistre cyber à 180 000 €

Une agence de voyage moyenne stocke des milliers de copies de passeports, cartes d'identité et données bancaires. Reconstitution d'un sinistre cyber type, avec la facture détaillée que peu de dirigeants imaginent.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Une agence de voyage stocke en moyenne 2 500 à 5 000 documents d'identité scannés par an : profil idéal pour un attaquant.
Un sinistre cyber complet (ransomware + exfiltration) coûte en moyenne 180 000 € à une PME du tourisme selon les retours ANSSI 2024.
La notification CNIL sous 72h et l'information individuelle des clients (article 34 RGPD) sont obligatoires en cas de violation de données.
Une assurance cyber dédiée prend en charge la cellule de crise, les frais juridiques, la notification, la perte d'exploitation et la rançon en dernier recours.

Pourquoi les agences de voyage sont une cible privilégiée

Une agence de voyage qui vend une dizaine de forfaits par jour accumule, sur trois exercices comptables, des dizaines de milliers de pièces sensibles : copies de passeports, cartes d'identité, justificatifs de visa, attestations vaccinales, parfois carnets de santé, et bien sûr coordonnées bancaires partielles ou complètes pour les acomptes. Ces données sont massivement stockées dans des outils métiers (Amadeus, Travelogix, B3G), des CRM (HubSpot, Salesforce), des boîtes mail et des disques partagés Google Drive ou OneDrive.

Pour un attaquant, c'est un jackpot. Une copie de passeport française se revend entre 15 et 80 € sur les marchés noirs (rapport Europol IOCTA 2024). Un lot de 3 000 passeports représente donc un revenu potentiel de plus de 200 000 €. À cela s'ajoutent les usages directs : usurpation d'identité, ouverture de comptes bancaires frauduleux, demandes de crédits, fraudes aux aides sociales.

L'ANSSI classe le secteur du tourisme parmi les cinq verticales les plus attaquées par ransomware en 2024-2025, derrière la santé, les collectivités, l'industrie et l'éducation, mais devant la finance traditionnelle (mieux protégée).

Reconstitution d'un sinistre type — l'agence « Voyageurs du Sud »

Voici la chronologie d'un sinistre réel, anonymisé, tiré des retours d'expérience d'assureurs spécialisés. L'agence « Voyageurs du Sud » (nom fictif) compte 8 salariés, 2,4 M€ de chiffre d'affaires, deux points de vente.

Jour J – 8h12. Le responsable comptable ouvre une pièce jointe Excel reçue d'une adresse imitant celle d'un partenaire hôtelier turc. Un macro chiffré s'exécute en silence. L'attaquant prend la main sur le poste comptable, puis sur le serveur Active Directory en moins de quatre heures grâce à un compte administrateur mal cloisonné.

Jour J+2 – 6h00. Les salariés découvrent leurs postes verrouillés. Un fichier README réclame 180 BTC (environ 9,2 M€ au cours du jour) en échange de la clé de déchiffrement et de l'engagement de ne pas publier les données déjà exfiltrées : 3 412 copies de passeports, 8 200 fiches clients, 1 100 RIB.

Jour J+2 – 11h00. Activation de la cellule de crise par l'assureur cyber : prestataire de réponse à incident, avocat spécialisé, DPO externe, communicant.

La facture détaillée, poste par poste

Poste de coût	Montant
Cellule de réponse à incident (forensique, éradication)	42 000 €
Restauration sauvegardes et reconstruction système	28 000 €
Avocat spécialisé (RGPD, dépôt de plainte, défense)	18 500 €
DPO externe et notification CNIL	6 800 €
Notification individuelle des 8 200 clients (courrier RAR + cellule téléphonique)	34 000 €
Perte d'exploitation (12 jours de fermeture)	31 000 €
Cellule communication et gestion de crise médiatique	9 200 €
Audit de sécurité post-incident et remédiation	11 500 €
Total	181 000 €

À cela s'ajoutent les coûts indirects : indemnisations amiables versées à une trentaine de clients ayant subi des fraudes consécutives à l'exfiltration (estimation 22 000 €), et perte de clientèle estimée à 6 % du chiffre d'affaires sur l'exercice suivant.

Les obligations RGPD que peu de dirigeants connaissent vraiment

Une violation de données personnelles déclenche deux obligations cumulatives prévues par le RGPD :

Notification à la CNIL sous 72h (article 33). La déclaration doit décrire la nature de la violation, les catégories de données concernées, le nombre approximatif de personnes touchées, les conséquences probables et les mesures prises ou envisagées.
Information individuelle des personnes concernées (article 34), dès lors que la violation présente un risque élevé pour leurs droits et libertés — ce qui est quasi systématique pour des copies de passeports.

Le non-respect de ces obligations expose à une sanction administrative pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. La CNIL a sanctionné en 2024 plusieurs voyagistes pour défaut de notification ou notification tardive, avec des amendes comprises entre 50 000 et 250 000 €.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Ce que couvre — et ne couvre pas — une assurance cyber dédiée

Un contrat cyber-assurance sérieux pour une agence de voyage doit prévoir au minimum :

Cellule de crise 24/7 avec réponse à incident, forensique, restauration ;
Frais juridiques et notification réglementaire (CNIL, ANSSI, clients) ;
Perte d'exploitation sur 60 à 90 jours selon les contrats ;
Responsabilité civile cyber envers les clients victimes de fraude consécutive ;
Frais de reconstitution des données et de remédiation ;
E-réputation et communication de crise.

Points d'attention : la plupart des contrats excluent les sanctions CNIL directes (interdiction d'assurer une amende administrative), les rançons en zone OFAC, et les défauts de mise à jour de sécurité connus (« known vulnerabilities »). Maintenir un patching à jour et une authentification multi-facteurs n'est donc pas qu'un confort — c'est une condition de garantie.

Cinq mesures concrètes pour réduire le risque dès cette semaine

Activer la MFA sur les outils métiers, le CRM, la boîte mail et les sauvegardes cloud.
Cloisonner les comptes administrateurs : aucun salarié non IT ne doit avoir de droits d'administration locale ou de domaine.
Sauvegardes 3-2-1 : trois copies, deux supports différents, une copie hors-ligne ou immuable.
Plan de notification rédigé à froid : modèle de courrier RAR, scripts d'appels, registre des sous-traitants.
Sensibilisation phishing deux fois par an minimum, avec campagnes de tests réalistes.

Ces cinq mesures, mises bout à bout, réduisent statistiquement le risque d'incident grave de 75 à 90 % selon les baromètres ANSSI/CESIN. Elles conditionnent aussi l'acceptation et le tarif de votre contrat cyber.

Questions fréquentes

Une agence de voyage de moins de 10 salariés est-elle vraiment ciblée par les cyberattaques ?

Oui, et même majoritairement. Les attaquants utilisent des outils automatisés qui scannent indistinctement les TPE et PME. La taille n'est pas un critère de protection : la qualité des données détenues l'est. Les agences de voyage figurent dans le top 5 des cibles 2024-2025.

Mon hébergeur (OVH, AWS) n'est-il pas responsable en cas de fuite ?

Non. En tant que responsable de traitement au sens du RGPD, c'est vous qui répondez vis-à-vis de vos clients et de la CNIL. L'hébergeur est sous-traitant et n'est responsable que de l'infrastructure qu'il fournit, pas de la sécurisation de vos accès et configurations.

Faut-il déclarer la rançon payée à l'administration fiscale ?

Une rançon payée n'est pas déductible fiscalement et doit faire l'objet d'une déclaration de soupçon à TRACFIN. C'est un point délicat : l'assureur cyber et l'avocat spécialisé encadrent strictement cette décision, qui n'est jamais prise sans dépôt de plainte préalable.

Mes CGV exonèrent-elles ma responsabilité en cas de piratage ?

Non. Une clause limitative de responsabilité concernant la sécurité des données personnelles est réputée non écrite. Le RGPD impose une obligation de sécurité (article 32) à laquelle on ne peut contractuellement déroger vis-à-vis des personnes concernées.

L'assurance cyber rembourse-t-elle la rançon ?

Certains contrats prévoient une garantie « extorsion » avec prise en charge encadrée de la rançon, en dernier recours, sous validation conjointe de l'assureur, de l'avocat et des forces de l'ordre. Cette garantie est de plus en plus restreinte et exclue dans certaines juridictions. La meilleure protection reste la sauvegarde immuable.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Agence de voyage — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Agence de voyage →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.