Logiciels de chantier et cloud : les failles que les hackers exploitent

Le chantier numérique : quels outils sont concernés ?

La digitalisation du BTP a été rapide ces dernières années. La plupart des entreprises utilisent désormais au minimum un logiciel de devis, un outil de messagerie professionnelle, et un espace de partage de documents. Chacun de ces outils, s’il est mal configuré ou mal utilisé, peut devenir une vulnérabilité.

Comment un logiciel de gestion de chantier peut être compromis

Les logiciels de gestion de chantier en mode SaaS — accessibles via navigateur depuis n’importe quel appareil — offrent une grande flexibilité opérationnelle. Ils créent aussi des vulnérabilités spécifiques.

Les identifiants partagés entre collaborateurs

Dans beaucoup de PME du BTP, tous les collaborateurs utilisent le même identifiant et mot de passe pour accéder au logiciel. Si ce mot de passe est volé — via un email de phishing ou une fuite de données chez un autre service — l’attaquant a accès à l’intégralité des données de l’entreprise.

L’absence de double authentification

La double authentification (code SMS ou application en plus du mot de passe) bloque l’accès même si les identifiants sont compromis. Elle est disponible sur la plupart des logiciels SaaS mais rarement activée. C’est la mesure de protection la plus efficace pour le rapport effort/résultat.

Les mises à jour automatiques désactivées

Les éditeurs de logiciels publient régulièrement des mises à jour de sécurité pour corriger des failles découvertes. Désactiver les mises à jour automatiques — souvent pour éviter les interruptions de service — laisse votre logiciel vulnérable à des attaques qui exploitent ces failles connues.

Les risques liés au partage de documents avec les sous-traitants

Le chantier moderne implique des échanges constants de documents avec des dizaines d’intervenants — architectes, bureaux d’études, sous-traitants, fournisseurs. Chaque échange est un vecteur de risque potentiel.

Les pièces jointes reçues

Un document reçu d’un sous-traitant habituel peut contenir un malware si ce sous-traitant a lui-même été compromis. L’email vient d’une adresse connue, le nom de l’expéditeur est familier — rien n’éveille la méfiance. C’est précisément pourquoi ces attaques fonctionnent.

Les liens de partage non sécurisés

Partager un plan ou un contrat via un lien Google Drive « accessible à tous ceux qui ont le lien » expose ce document à quiconque intercepte ou devine ce lien. Pour des documents contractuels sensibles, utilisez toujours un partage avec authentification requise.

Mots de passe, comptes partagés : les mauvaises habitudes du secteur

Sans jugement — ces pratiques sont universelles dans le BTP et souvent dictées par des contraintes opérationnelles réelles. Mais il est important d’en connaître les risques.

• Utiliser le même mot de passe sur tous les outils — une seule fuite compromet tout
• Partager les identifiants avec des sous-traitants temporaires — qui conservent souvent l’accès après la fin du chantier
• Ne jamais changer les mots de passe — surtout après le départ d’un collaborateur
• Utiliser des mots de passe simples (prénom, date de naissance, nom de l’entreprise)

Checklist : les bons réflexes pour sécuriser vos outils

• Activez la double authentification sur votre logiciel de devis, votre messagerie et votre drive partagé
• Créez un compte individuel pour chaque collaborateur — pas de compte partagé
• Désactivez les accès dès qu’un collaborateur ou sous-traitant quitte l’entreprise
• Ne partagez jamais de documents contractuels via des liens « accessibles à tous »
• Vérifiez toujours par téléphone tout changement de RIB reçu par email
• Sauvegardez sur un support externe non connecté à votre réseau principal — testez cette sauvegarde chaque mois
• Maintenez vos logiciels à jour — acceptez les mises à jour de sécurité dès qu’elles sont disponibles