Cyber-risques pour e-commerçants : menaces, obligations et assurance cyber

En 2024, 47 % des entreprises françaises ont subi au moins une cyberattaque réussie, et la fraude e-commerce a représenté plus d'un milliard d'euros de pertes en France, selon les données de la FEVAD. Dans le même temps, l'ANSSI a recensé 4 386 événements de sécurité (+15 % par rapport à 2023), dont 37 % touchant des TPE, PME et ETI. De plus, les PME/TPE/ETI représentent 37 % des victimes de rançongiciels connues de l'ANSSI. Pour les e-commerçants, la menace est encore plus aiguë : données bancaires, disponibilité permanente du site et modules CMS parfois obsolètes en font des cibles de choix. Pourtant, 78 % des PME craignent qu'une violation de données ne les mette en faillite. Ce guide détaille les cyber-risques pour e-commerçants, les obligations légales à respecter, les bonnes pratiques à adopter et les garanties d'assurance cyber à privilégier pour protéger efficacement votre boutique en ligne.

Pourquoi les e-commerçants sont des cibles privilégiées des cybercriminels

Les sites de vente en ligne concentrent deux types de données particulièrement convoitées : les données personnelles (noms, adresses, emails) et les données bancaires (numéros de carte, coordonnées de paiement). Cette double attractivité en fait des cibles prioritaires pour les cybercriminels. Les boutiques en ligne cumulent plusieurs facteurs qui en font des proies de choix :

• Données bancaires en transit : les cartes de paiement représentent 92 % des tentatives de fraude dans le e-commerce.
• Disponibilité 24h/24 : un site e-commerce doit fonctionner en permanence. Chaque minute d'indisponibilité se traduit par des ventes perdues, ce qui rend les attaques par déni de service (DDoS) ou les rançongiciels particulièrement dévastateurs.
• Modules CMS mal maintenus : les plateformes comme PrestaShop ou WooCommerce reposent sur des extensions tierces. Un module non mis à jour constitue une porte d'entrée exploitée activement, comme l'a montré l'attaque par skimming sur PrestaShop en 2024.
• Intégration de prestataires tiers : solutions de paiement, outils marketing, logistique connectée multiplient les points de vulnérabilité. La surface d'attaque étendue (CMS, modules de paiement, plugins tiers, API logistiques) représente une vulnérabilité potentielle à chaque interconnexion.
• Manque de ressources dédiées : 70 % des entreprises françaises n'ont pas de référent cybersécurité (Baromètre Visiativ 2024), et seulement 33 % des petites entreprises ont adopté l'authentification multifacteurs (MFA).
• Logistique exploitable : la livraison express est 5 fois plus risquée que la livraison standard en termes de fraude.
• Risque existentiel pour les TPE/PME : avec 80 % des entreprises reconnaissant ne pas être prêtes face aux attaques, une cyberattaque peut signifier la fin d'activité pour une petite structure. Le coût médian d'une cyberattaque pour une PME est estimé à environ 50 000 €, un montant qui peut suffire à mettre en péril une petite structure.

Les principales menaces cyber qui pèsent sur votre boutique en ligne

Comprendre les vecteurs d'attaque permet de mieux s'en protéger. Voici les menaces les plus fréquentes pour un e-commerçant :

Fraudes aux paiements

• Card testing : les fraudeurs testent la validité de cartes volées par de petits achats successifs sur votre site.
• Account Takeover (ATO) : prise de contrôle de comptes clients via credential stuffing (réutilisation de mots de passe volés).
• Fraude par triangulation : un faux site collecte les données d'acheteurs légitimes pour les utiliser sur votre boutique.
• BNPL (Buy Now Pay Later) : nouveau vecteur de fraude en pleine expansion.

Phishing (hameçonnage)

Le phishing représente 43 % des attaques identifiées par les TPE-PME (+19 points en un an) et constitue le vecteur initial dans 73 % des cyberattaques d'entreprises. Au niveau français, 66 % des organisations ont été touchées par le phishing et 62 % par le Business Email Compromise (BEC). Les cybercriminels usurpent l'identité de fournisseurs, de plateformes de paiement ou d'hébergeurs pour voler les identifiants d'accès au back-office.

Ransomware (rançongiciel)

Le rançongiciel chiffre vos données et paralyse totalement les opérations. Ces attaques représentent 40 % des incidents traités par l'ANSSI en 2024. Les variantes modernes pratiquent la double extorsion : vol des données avant chiffrement, puis demande de rançon. Le coût moyen d'une rançon atteint 2,73 millions de dollars en 2024 au niveau mondial.

Attaques DDoS

L'attaque par déni de service distribué sature votre site avec un flux massif de requêtes, le rendant totalement inaccessible. Ces attaques sont particulièrement dévastatrices lors des pics commerciaux (Black Friday, soldes, fêtes). Les attaques DDoS contre des cibles françaises ont doublé en 2024 par rapport à 2023.

Skimming et fraude au paiement

Des scripts malveillants sont injectés dans les pages de paiement pour copier les données de carte bancaire en temps réel. Souvent indétectable pendant des semaines, ce type d'attaque a touché de nombreux sites PrestaShop et WooCommerce vulnérables en 2024.

Failles CMS et bots malveillants

Modules obsolètes, credential stuffing (test automatisé d'identifiants volés), scraping de données, défacement de site, cybersquatting (usurpation de votre nom de domaine pour piéger vos clients) : les failles de sécurité représentent 18 % des attaques (+4 points). Les bots automatisés exploitent ces vulnérabilités à grande échelle.

Vos obligations légales : RGPD, DSP2 et NIS2 en pratique

Les cyber-risques pour e-commerçants ne sont pas uniquement techniques : ils comportent une dimension réglementaire souvent méconnue.

RGPD : obligations et sanctions

Le Règlement Général sur la Protection des Données s'applique à toute entreprise traitant des données personnelles, quelle que soit sa taille. Pour un e-commerçant, cela implique :

• Politique de confidentialité claire et accessible (identité du responsable, finalités, droits des personnes).
• Consentement explicite pour les cookies non essentiels, renouvelable tous les 13 mois.
• Registre des traitements à jour.
• La mise en place de mesures techniques adaptées : chiffrement, contrôles d'accès, audits réguliers.
• La notification de la CNIL sous 72 heures en cas de violation de données présentant un risque pour les personnes concernées.
• L'information des clients touchés par la fuite.
• Droits des utilisateurs : portabilité, accès, rectification, suppression après 3 ans d'inactivité.
• Des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. En 2023, la CNIL a prononcé 42 sanctions pour un total de 89 millions d'euros.

DSP2 : authentification forte obligatoire

La Directive Services de Paiement 2 impose l'authentification forte (3D Secure) pour tous les paiements en ligne.

NIS2 : les e-commerçants de taille significative concernés

Depuis mars 2026, le Référentiel Cyber France (ReCyF) publié par l'ANSSI décline les exigences de la directive NIS2. Les e-commerçants dépassant 50 salariés ou 10 millions d'euros de chiffre d'affaires peuvent être classés comme « entités importantes », avec des obligations renforcées :

• Gestion des risques cyber obligatoire et sécurité de la chaîne d'approvisionnement.
• Responsabilité personnelle des dirigeants en matière de cybersécurité.
• Notification à l'ANSSI sous 24 heures, puis rapport détaillé sous 72 heures.
• Sanctions pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial pour les entités importantes.

RGPD, DSP2 et NIS2 se recoupent sur plusieurs exigences (chiffrement, notification d'incidents, authentification forte), ce qui renforce la nécessité d'une démarche de conformité globale.

Bonnes pratiques cybersécurité : le minimum vital pour un e-commerçant

La bonne nouvelle : la majorité des attaques peuvent être évitées avec des mesures accessibles, même pour les TPE disposant de budgets limités. L'ANSSI et la DGE recommandent 13 mesures essentielles pour les TPE/PME. Voici les actions prioritaires adaptées au e-commerce :

1. Sauvegardes régulières selon la règle 3-2-1 : 3 copies, 2 supports différents, 1 copie hors site. Indispensable pour résister aux ransomwares. À tester régulièrement.
2. Mises à jour automatiques du CMS (PrestaShop, WooCommerce, Shopify), des plugins et des systèmes. Un module non mis à jour constitue une porte d'entrée exploitée activement.
3. Authentification multifacteur (MFA) obligatoire sur tous les accès sensibles (back-office, hébergeur, prestataire de paiement). Pourtant, seules 26 % des TPE-PME l'ont activée, alors que c'est la mesure la plus efficace et que seulement 33 % des petites entreprises l'ont adoptée.
4. Tokenisation des cartes bancaires : ne jamais stocker les données brutes de paiement.
5. Activation du 3D Secure sur tous les paiements en ligne (obligation DSP2).
6. HTTPS/SSL sur l'intégralité du site à jour, obligatoire pour tout site e-commerce.
7. Sécurisation de la messagerie : configuration des protocoles SPF, DKIM et DMARC. Note : 40 % des 20 principaux sites e-commerce français n'avaient pas le niveau recommandé de protection DMARC en 2024.
8. Pare-feu applicatif (WAF) et installation de CAPTCHA avancé et détection de bots sur les formulaires et pages de connexion.
9. Formation des équipes aux réflexes anti-phishing et mise en place de procédures d'incident claires (signalement, isolation du système compromis, documentation).
10. Désignation d'un référent cybersécurité ou d'un DPO, tenue d'un registre des traitements et documentation des mesures de sécurité.
11. Audit de sécurité régulier du site et des modules tiers.
12. Procédure de gestion des incidents documentée et sensibilisation continue des équipes.

À noter : 75 % des TPE-PME dépensent moins de 2 000 euros par an en cybersécurité. Même un investissement modeste concentré sur le MFA et les sauvegardes réduit considérablement le risque.

Ressources gratuites : la plateforme MesServicesCyber de l'ANSSI propose un diagnostic de maturité cyber en 5 minutes et un catalogue de solutions gratuites pour les TPE/PME. Le site Cybermalveillance.gouv.fr offre une assistance aux victimes de cyberattaques.

Assurance cyber pour e-commerçants : garanties, tarifs et comment choisir

Les mesures techniques ne suffisent pas à éliminer tout risque. L'assurance cyber agit comme un filet de sécurité financier indispensable lorsque la prévention n'a pas suffi.

Les garanties clés à rechercher

Le tableau ci-dessous compare les principales garanties proposées par quatre assureurs référencés, sur la base de nos données internes :

Source : données internes AssurancesLabs, analyse de contrats cyber référencés.

Points clés à retenir :

• Allianz propose un socle solide avec la RC cyber, les frais de reconstitution de données, la notification clients, la restauration du site et la cyber-extorsion inclus. Les pertes d'exploitation restent en option.
• AXA se distingue par l'inclusion des pertes d'exploitation, du vol de données avec notification CNIL, du cyber-détournement de fonds et d'une gestion de crise majeure.
• Hiscox inclut la cyber-extorsion et les enquêtes/sanctions, avec une option cyber-fraude plafonnée à 250 000 €.
• Chubb cible les petits e-commerçants avec le remboursement des achats frauduleux et des arnaques en ligne.

Tarifs indicatifs 2024-2025

• Micro-entreprise / auto-entrepreneurs e-commerce : dès 29 à 50 €/mois (290 à 600 €/an), couverture jusqu'à 500 000 euros.
• TPE e-commerce (CA inférieur à 2 M€) : 1 000 à 3 000 €/an.
• TPE/PME avec données critiques : de 80 à 500 euros par mois (1 000 à 6 000 euros par an), couverture de 1 à 5 millions d'euros, incluant conformité RGPD.
• PME e-commerce (CA autour de 2 M€) : 1 500 à 5 000 €/an.

Facteurs influençant le tarif

Le prix dépend du chiffre d'affaires, du volume de transactions, du niveau de sécurité existant (MFA activé, sauvegardes en place) et des plafonds de garantie souhaités. Avec un coût médian de cyberattaque à 50 000 € pour une PME, l'assurance cyber devient rentable dès le premier sinistre.

L'assurance cyber n'est pas légalement obligatoire, mais elle peut être exigée contractuellement par certaines marketplaces ou prestataires de paiement. Face au coût moyen d'une cyberattaque, elle reste un investissement rationnel pour tout e-commerçant.

Pour aller plus loin et comparer l'ensemble des offres d'assurance cyber disponibles sur le marché, consultez notre guide complet sur les cyber-risques.

Conclusion

Les cyber-risques pour e-commerçants sont une réalité quotidienne qui touche toutes les tailles d'entreprise. De la fraude aux paiements au phishing, en passant par les ransomwares, le skimming et les failles CMS, ainsi que les attaques DDoS et les bots malveillants, les menaces sont multiples et en constante évolution. La réglementation (RGPD, DSP2, NIS2) impose des obligations concrètes dont le non-respect expose à de lourdes sanctions. Les bonnes pratiques techniques (MFA, sauvegardes 3-2-1, mises à jour automatiques) constituent la première ligne de défense, tandis que l'assurance cyber offre le filet de sécurité financier indispensable en cas d'incident.

AssurancesLabs aide les professionnels et particuliers à comprendre, comparer et choisir leurs assurances en France. Grâce à nos guides complets, nos comparatifs et nos conseils d'experts, nous vous accompagnons dans vos décisions avec un contenu pédagogique et transparent. Pour approfondir le sujet, consultez notre guide complet sur les cyber-risques.

Références

1. FEVAD, Panorama de la fraude e-commerce 2024
2. ANSSI, Panorama de la cybermenace 2024
3. Cybermalveillance.gouv.fr, Baromètre national de la maturité cyber des TPE-PME, 2025
4. ANSSI, La directive NIS 2
5. FEVAD, Cybersécurité : protéger son activité e-commerce, 2024
6. Proofpoint, Protection DMARC des sites e-commerce français (2024)
7. ShopiMind, Cyberattaques e-commerce : comprendre le danger pour mieux se protéger
8. CNIL, RGPD en pratique : maîtrisez votre relation client
9. Shopify France, Assurances e-commerce, 2024
10. DonnéesPersonnelles.fr, Guide ANSSI pour les TPE/PME : les 13 mesures essentielles
11. HAAS Avocats, Directive NIS 2 : obligations en cybersécurité
12. Barbin Assurances, Assurance cyber pour site e-commerce, 2026
13. Service-Public.fr, Obligations RGPD, 2024
14. DGE / ANSSI, La cybersécurité pour les TPE/PME en 13 questions
15. IT Social, Cybersécurité du e-commerce : un challenge pour 2024
16. France Num / ANSSI, MesServicesCyber : solutions cyber gratuites pour les TPE PME