Cybersécurité dans le BTP : les risques que personne ne voit
Une PME du bâtiment pense rarement être une cible pour les hackers. Pourtant, devis, contrats, plans, coordonnées bancaires de sous-traitants — un chantier numérique concentre des données qui valent de l’argent. Voici ce que les cybercriminels savent que vous ne savez pas.
Pourquoi le BTP est devenu une cible pour les hackers
Le secteur du bâtiment a longtemps été épargné par les cyberattaques — non pas parce qu’il était bien protégé, mais parce qu’il n’était pas encore suffisamment numérisé pour intéresser les cybercriminels. Ce temps est révolu.
La digitalisation rapide du secteur — logiciels de devis en ligne, gestion de chantier en cloud, signature électronique, échanges par email avec maîtres d’ouvrage et sous-traitants — a créé une surface d’attaque nouvelle. Et comme la culture de la cybersécurité reste très faible dans le BTP, les attaquants y trouvent des cibles à faible résistance et valeur croissante.
Une PME du bâtiment de 15 salariés gère en moyenne les coordonnées bancaires de 20 à 50 sous-traitants, des contrats de marchés publics ou privés à six chiffres, et des plans de construction confidentiels. Pour un cybercriminel opportuniste, c’est un profil de cible très attractif.
Les données sensibles d’un chantier numérique
Beaucoup de dirigeants du BTP pensent ne pas avoir de « données sensibles ». En réalité, le chantier numérique moderne en concentre plusieurs catégories.
| Type de données | Où elles se trouvent | Risque associé |
|---|---|---|
| RIB sous-traitants et fournisseurs | Emails, logiciel de facturation | Fraude au virement — substitution de RIB |
| Contrats et avenants | Drive partagé, emails, espace client | Espionnage concurrentiel, chantage |
| Plans et documents techniques | Logiciel BIM, cloud, clés USB | Vol de propriété intellectuelle |
| Devis et prix de revient | Logiciel de devis, emails | Espionnage concurrentiel |
| Données salariés | Logiciel de paie, DSN | Usurpation d’identité |
La fraude au virement dans le BTP — cas concrets
C’est l’attaque la plus fréquente et la plus coûteuse dans le secteur. Le BTP est particulièrement exposé car les échanges financiers entre entreprises principales, sous-traitants et fournisseurs sont nombreux, fréquents, et impliquent des montants élevés.
Le scénario du faux changement de RIB
L’attaquant surveille les échanges emails entre une PME du BTP et ses sous-traitants. Au moment opportun — juste avant un règlement important — il envoie un email imitant le sous-traitant pour signaler un « changement de coordonnées bancaires ». Si l’entreprise ne vérifie pas par téléphone, le virement part vers un compte frauduleux.
Une entreprise de maçonnerie de 12 salariés en Bretagne reçoit un email de son sous-traitant électricien lui demandant de mettre à jour ses coordonnées bancaires avant le règlement de fin de mois. L’email vient d’une adresse quasi-identique à celle habituelle — une lettre différente dans le nom de domaine. Le virement de 28 000 € part. Le sous-traitant appelle une semaine plus tard pour savoir où est son règlement. L’argent est irrécupérable.
La fraude au faux donneur d’ordre
Dans les marchés publics ou les chantiers de grande envergure, les cybercriminels usurpent l’identité du maître d’ouvrage ou du maître d’œuvre pour ordonner des achats de matériaux ou des modifications de contrat. La confusion hiérarchique propre aux grands chantiers facilite ce type d’escroquerie.
Les 3 scénarios d’attaque les plus fréquents dans le BTP
1. Le ransomware sur le logiciel de gestion
Logiciel de devis, de facturation ou de gestion de chantier chiffré intégralement. Toutes les offres en cours, les factures non émises, les dossiers clients deviennent inaccessibles. En pleine période d’appels d’offres, c’est une catastrophe opérationnelle.
2. Le phishing via un maître d’ouvrage ou un bureau d’études
Un email frauduleux semblant provenir d’un client habituel ou d’un bureau d’études transmet un fichier contenant un malware. Le conducteur de travaux, habitué à recevoir des plans et des documents techniques par email, n’a aucune raison de se méfier.
3. La compromission du compte email du dirigeant
Les mots de passe professionnels du BTP sont souvent simples et rarement changés. Une fois le compte email du gérant compromis, l’attaquant peut surveiller tous les échanges, intercepter des informations contractuelles, et préparer une fraude au virement sur mesure.
Les périodes de fin de mois, de clôture de chantier et de réponse aux appels d’offres sont les moments où le risque est le plus élevé. Les équipes sont sous pression, les échanges s’accélèrent, et la vigilance diminue. C’est exactement ce que les cybercriminels attendent.
Diagnostic : votre entreprise BTP est-elle exposée ?
Voici les questions à se poser pour évaluer rapidement son niveau de risque.
- Utilisez-vous un logiciel de devis ou de gestion en cloud ? Si oui, vos accès sont-ils protégés par double authentification ?
- Vos échanges de RIB se font-ils uniquement par email ? Sans vérification téléphonique systématique, c’est une porte ouverte à la fraude.
- Vos collaborateurs partagent-ils des fichiers via clés USB ou drives personnels ? Ces pratiques multiplient les vecteurs d’infection.
- Vos sauvegardes sont-elles testées régulièrement ? Une sauvegarde non testée peut être inutilisable le jour où vous en avez besoin.
- Votre assurance professionnelle couvre-t-elle une cyberattaque ? Dans la grande majorité des cas, non. Voir notre guide assurance cyber pour artisans et PME du BTP.
Les plans de construction, les contrats de marchés et les données contractuelles chiffrées stockées aujourd’hui pourront être déchiffrés par les ordinateurs quantiques dans quelques années. Pour des données confidentielles à longue durée de vie — plans d’infrastructures critiques, contrats pluriannuels — c’est un risque à anticiper dès maintenant.
Votre assurance professionnelle vous protège-t-elle vraiment ?
Artisan, PME du bâtiment — découvrez ce que couvre votre contrat actuel et ce qu’il faut ajouter.