Pourquoi le e-commerce est-il particulièrement exposé ?
Le marché suisse du e-commerce poursuit sa croissance et a dépassé les CHF 15 milliards en 2025. En Suisse romande, de nombreuses PME ont développé leur présence en ligne, des boutiques de mode aux épiceries fines, en passant par les vignerons et les artisans. Chaque transaction en ligne implique le traitement de données sensibles — et chaque minute d’indisponibilité représente un chiffre d’affaires perdu.
Les boutiques en ligne sont accessibles 24h/24 depuis Internet : c’est leur modèle d’affaires, mais aussi leur principale vulnérabilité. Les cybercriminels savent que les commerçants en ligne sont prêts à payer pour rétablir rapidement leur activité, en particulier lors des pics saisonniers comme le Black Friday, Noël ou les soldes.
Les exigences réglementaires sont strictes : le standard PCI-DSS s’applique à toute entreprise traitant des données de carte de crédit. Une non-conformité peut entraîner des amendes allant jusqu’à CHF 500’000 par mois de la part des organismes de cartes, voire la perte du droit d’accepter les paiements par carte. La nLPD ajoute des obligations supplémentaires en matière de protection des données clients.
Les risques liés aux plugins tiers, aux passerelles de paiement et aux partenaires logistiques sont souvent sous-estimés. Une faille dans un module externe peut compromettre l’intégralité de la boutique.
Les 3 principales menaces
1. Vol de données de cartes de crédit (attaque Magecart)
Les attaquants injectent un code JavaScript malveillant dans la page de paiement de la boutique en ligne. Ce code intercepte silencieusement les données de carte de crédit de chaque client effectuant un achat. L’attaque peut durer des mois avant d’être détectée, compromettant des milliers de numéros de cartes.
2. Attaque DDoS lors des pics d’activité
Une attaque par déni de service distribué (DDoS) rend la boutique inaccessible précisément quand le chiffre d’affaires est à son maximum. Les attaquants accompagnent souvent l’attaque d’une demande de rançon. Pour un commerçant dont 80 % du chiffre d’affaires se concentre sur quelques périodes clés, les pertes peuvent être catastrophiques.
3. Attaque par la chaîne d’approvisionnement (supply chain)
Un plugin de paiement ou une extension populaire utilisée par des centaines de boutiques suisses est compromis. Via une mise à jour manipulée, les attaquants obtiennent l’accès aux panneaux d’administration et aux bases de données clients de toutes les boutiques concernées. Le commerçant est victime sans avoir commis la moindre erreur.
Scénario typique : attaque contre un e-commerçant lausannois
Un e-commerçant lausannois spécialisé dans les produits cosmétiques naturels, avec 25’000 clients actifs et un chiffre d’affaires annuel de CHF 3 millions, est victime d’une attaque Magecart. Un code malveillant est injecté dans sa page de checkout via une faille dans un plugin de personnalisation.
Pendant trois mois, les données de carte de crédit de 5’800 clients sont interceptées et revendues sur le Darknet. L’alerte provient de la banque acquéreuse, qui constate un nombre anormal de fraudes liées aux clients du shop.
L’enquête forensique révèle l’ampleur de la compromission. Les conséquences sont lourdes : investigation forensique CHF 120’000, amendes PCI-DSS CHF 280’000, notification et surveillance crédit pour les clients affectés CHF 75’000, perte de chiffre d’affaires due à la fermeture temporaire du shop CHF 180’000, frais juridiques CHF 65’000, perte de clientèle à moyen terme estimée à CHF 250’000. Dommage total : CHF 970’000.
Couverture recommandée
Une cyberassurance adaptée au e-commerce en Suisse devrait inclure :
- Interruption d’activité — Indemnisation du chiffre d’affaires perdu en cas d’indisponibilité, y compris pendant les périodes de pointe
- Fraude aux cartes de paiement — Couverture des amendes PCI-DSS et des coûts liés au vol de données de cartes
- Protection DDoS — Frais de mitigation et de défense contre les attaques DDoS
- Responsabilité civile — Prétentions de clients en cas de perte de données
- Forensique — Investigation spécialisée sur l’infrastructure de la boutique en ligne
- Conseil juridique — Accompagnement pour les obligations nLPD et la conformité PCI-DSS
- Gestion de crise — Communication client et relations publiques en cas d’incident médiatisé
- Restauration — Frais de nettoyage et de reconstruction de la boutique en ligne
Indication de prime
Pour une boutique en ligne romande avec un chiffre d’affaires annuel de CHF 500’000 à CHF 5 millions, les primes se situent généralement entre CHF 2’000 et CHF 8’000 par an pour une couverture de CHF 1 à 2 millions. Pour les acteurs plus importants du e-commerce, avec des volumes de transactions élevés et une base clients conséquente, les primes peuvent atteindre CHF 10’000 à CHF 30’000 selon le niveau de conformité PCI-DSS et les mesures de sécurité en place.
Protégez votre boutique en ligne et vos clients
Dans le commerce en ligne, la confiance est votre capital le plus précieux. Un incident de sécurité peut détruire en quelques heures une réputation bâtie sur des années. Les clients n’achètent pas là où ils ne se sentent pas en sécurité.
BTAG Versicherungsbroker AG à Berne, courtier indépendant spécialisé en cyberassurance, connaît les risques spécifiques du commerce en ligne. BTAG trouve la cyberassurance adaptée à votre activité — qu’il s’agisse d’une boutique de niche ou d’un acteur multicanal d’envergure.
Demandez dès maintenant une offre sans engagement et protégez votre boutique en ligne et vos clients contre les cybermenaces croissantes.