Fuite d'un fichier de 220 000 prospects : anatomie d'un sinistre cyber à 187 000 €
Quand un fichier de prospection s'échappe d'un centre d'appels, le compteur tourne vite : notification CNIL à 72 heures, indemnisation du donneur d'ordre, gestion de crise. Reconstitution chiffrée d'un sinistre représentatif.
- Sinistre représentatif : 220 000 contacts BtoC exfiltrés via un poste superviseur compromis par phishing.
- Coût total : 187 400 €, dont 64 000 € de notification et forensic, 89 000 € versés au donneur d'ordre, 34 400 € de frais de défense.
- La CNIL n'a pas sanctionné mais a inscrit le centre d'appels dans son rapport annuel — réputation impactée 18 mois.
- La garantie Cyber a pris en charge 174 000 € ; le reste à charge a été limité aux franchises et au manquement à un engagement contractuel non assurable.
Le contexte : un centre d'appels BtoC de 45 positions
Le scénario que nous reconstituons est inspiré de plusieurs dossiers réels traités dans le secteur du démarchage assurance et énergie. Le centre d'appels concerné employait 45 téléopérateurs, traitait des campagnes pour quatre donneurs d'ordre principaux et hébergeait à un instant T environ 1,4 million de contacts répartis en bases distinctes.
Le fichier compromis appartenait à un donneur d'ordre du secteur de l'énergie : 220 000 contacts BtoC, comprenant nom, prénom, téléphone, adresse postale, et pour 38 % d'entre eux des éléments de profilage commercial (statut propriétaire/locataire, type de chauffage, intérêt déclaré pour la rénovation). Ces données rentraient dans la catégorie des données personnelles classiques au sens du RGPD, sans données sensibles, mais leur volume et leur finalité commerciale ont déclenché l'obligation de notification.
L'architecture technique correspondait à ce que l'on trouve dans 80 % des centres d'appels de cette taille : un dialer hébergé en mode SaaS chez un éditeur français, un CRM connecté en API, des postes de travail Windows 11 avec accès distant pour les téléopérateurs en télétravail (40 % de l'effectif depuis 2022), et un domaine Microsoft 365 pour la bureautique. Aucune authentification multi-facteurs n'était imposée sur les comptes superviseurs au moment de l'incident — c'est précisément ce point qui a été exploité.
J+0 : la compromission
L'incident a commencé un mardi à 14h12. Un superviseur reçoit un mail prétendument envoyé par Microsoft 365 lui demandant de renouveler son mot de passe Office. Il clique, saisit ses identifiants sur une page de phishing très soignée. À 14h17, l'attaquant utilise la session compromise pour se connecter à l'extranet du dialer, où le superviseur disposait d'un accès « export campagne ».
Entre 14h22 et 14h47, l'attaquant télécharge 11 fichiers CSV correspondant à différentes campagnes. À 15h03, il vide la corbeille de logs accessibles depuis l'interface superviseur. Le centre d'appels ne s'apercevra de rien pendant 9 jours, jusqu'à ce qu'un échantillon du fichier soit mis en vente sur un forum surveillé par la cellule veille du donneur d'ordre.
C'est le donneur d'ordre, pas le centre d'appels, qui détecte la fuite. Configuration fréquente dans ce type de sinistre.
L'analyse forensic ultérieure révélera que l'attaquant n'était pas un acteur isolé mais un groupe spécialisé dans la revente de bases de données démarchage. Le mode opératoire — phishing ciblé sur un compte superviseur de centre d'appels suivi d'une exfiltration silencieuse — était documenté dans plusieurs rapports de l'ANSSI dès 2023. Le coût d'une telle base, revendue sur le dark web entre 0,40 et 1,20 € le contact qualifié, finance directement l'écosystème criminel.
J+9 à J+12 : l'obligation des 72 heures et le forensic
Le donneur d'ordre prévient le centre d'appels un jeudi en fin d'après-midi. Le RGPD impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance de la violation (article 33 RGPD). Le compteur démarre à ce moment précis, pas à la date de l'intrusion.
Dans les 24 heures, un cabinet de réponse à incident est mandaté. Le coût des opérations menées sur 72 heures :
- Forensic technique sur le poste superviseur et les logs dialer : 18 600 €
- Cabinet d'avocat spécialisé pour la rédaction de la notification CNIL : 7 400 €
- Hotline juridique 7j/7 mise à disposition des 220 000 personnes concernées (sous-traitée à un prestataire) : 22 800 €
- Envoi des notifications individuelles par e-mail et courrier postal pour les contacts sans e-mail : 15 200 €
Total bloc « 72 heures » : 64 000 €. La garantie Cyber prend en charge ces frais quasiment intégralement, hors franchise (typiquement 1 500 à 5 000 €).
J+30 : la facture du donneur d'ordre
Le contrat de prestation entre le centre d'appels et le donneur d'ordre comportait une clause de garantie classique : « Le sous-traitant garantit le responsable de traitement contre toutes les conséquences financières d'une violation de données qui lui serait imputable, y compris les frais de notification, de communication aux personnes concernées et l'indemnisation des préjudices subis par celles-ci. »
30 jours après la notification, le donneur d'ordre adresse au centre d'appels une demande d'indemnisation détaillée :
| Poste | Montant |
|---|---|
| Perte de chiffre d'affaires sur la base affectée (3 mois) | 42 000 € |
| Coût de reconstitution d'une base équivalente | 28 000 € |
| Frais juridiques internes | 9 000 € |
| Préjudice d'image (forfait contractuel) | 10 000 € |
| Total réclamé | 89 000 € |
Cette créance, contractuelle et chiffrable, est précisément ce que couvre la garantie Cyber dans son volet « engagement de responsabilité vis-à-vis des donneurs d'ordre ». Elle a été réglée après expertise contradictoire à 84 200 €.
J+45 à J+180 : les frais de défense
Parallèlement, deux procédures se sont ouvertes :
- Une enquête de la CNIL sur le centre d'appels et sur le donneur d'ordre, qui se conclura par une lettre d'observations sans sanction financière (18 mois plus tard) mais avec mention dans le rapport annuel.
- Une action collective initiée par une association de défense des consommateurs, regroupant 312 personnes demandant chacune 500 € de dommages-intérêts.
Les frais d'avocat pour gérer ces deux procédures, sur 14 mois, se sont élevés à 34 400 €. L'action collective s'est conclue par une médiation avec versement forfaitaire de 50 € par demandeur, soit 15 600 € pris en charge par la garantie Cyber au titre des dommages aux tiers.
S'est ajouté à cette charge un coût opérationnel rarement anticipé : la mobilisation interne. Pendant les six premières semaines, le directeur des opérations, le DPO et le RSSI ont consacré entre 60 % et 80 % de leur temps à la gestion de crise (entretiens avec la CNIL, coordination avec le donneur d'ordre, briefing des téléopérateurs, communication interne). Cette charge invisible représente, selon l'estimation du cabinet ayant accompagné le dossier, l'équivalent de 31 000 € de temps managérial — non couvert par la police d'assurance, mais réel.
Le bilan financier et les enseignements
Coût total brut du sinistre : 187 400 €. Prise en charge par la garantie Cyber : 174 000 €. Reste à charge pour le centre d'appels : 13 400 €, correspondant essentiellement aux franchises et à une pénalité contractuelle de retard de notification jugée non assurable.
Trois enseignements opérationnels :
- L'authentification multi-facteurs (MFA) sur les accès superviseur aurait empêché 100 % de la chaîne d'attaque. Coût de déploiement estimé : 2 200 € la première année. C'est aujourd'hui une exigence quasi systématique des assureurs Cyber pour les centres d'appels.
- La détection a été tardive de 9 jours faute de monitoring des volumes d'export sur le dialer. Un seuil d'alerte à plus de 5 000 contacts exportés par session aurait sonné dès 14h25.
- La clause de garantie contractuelle vis-à-vis du donneur d'ordre représente 47 % du coût total du sinistre — c'est elle qui doit dimensionner le plafond Cyber souscrit, pas le seul coût de notification CNIL.
Pour comprendre l'ensemble de votre exposition, consultez la page assurance centre d'appels.
Questions fréquentes
Non. L'article 33 du RGPD n'impose la notification que si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes. Pour une base de 220 000 contacts avec profilage commercial, le risque est généralement caractérisé. Pour une fuite limitée à quelques dizaines de numéros sans données complémentaires, la notification peut être écartée — mais la décision doit être documentée.
Le donneur d'ordre est responsable de traitement, le centre d'appels est sous-traitant au sens de l'article 28 RGPD. La CNIL peut sanctionner les deux. La responsabilité finale entre eux dépend de la cause technique de la violation et des clauses du contrat de sous-traitance.
Cela dépend du contrat. Certaines garanties Cyber couvrent le paiement de rançon dans la limite de la loi française (l'article L. 12-10-1 du Code des assurances depuis avril 2023 conditionne cette prise en charge au dépôt de plainte dans les 72 heures). Vérifiez systématiquement la clause.
Non. Les sauvegardes protègent contre la perte de données (rançongiciel, panne) mais pas contre l'exfiltration. Une donnée copiée par un attaquant reste copiée, même si vous gardez votre original intact. C'est précisément le risque que couvre la garantie Cyber.
Le profil de risque est différent mais l'exposition unitaire par fichier est proche. Un centre d'appels de 10 positions peut très bien manipuler des fichiers de plusieurs dizaines de milliers de contacts. Le plafond souscrit doit être calibré sur la taille des bases traitées, pas sur l'effectif.
Souscrivez votre assurance pro en 2 minutes
Toutes nos protections pour votre activité de Centre d'appels / téléprospection — attestation immédiate, sans engagement.
* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Centre d'appels / téléprospection →
Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.