BTP et cybersécurité : les arnaques qui ciblent le secteur
BTP et fraude numérique : arnaque au RIB sous-traitant, faux appels d'offre, faux URSSAF. Pourquoi le BTP est une cible de choix et comment s'en protéger.
Ce scénario, reconstitué à partir de cas réels. Le 3 septembre 2024, un conducteur de travaux d’une PME du BTP dans les Hauts-de-France reçoit un email de ce qu’il croit être son principal sous-traitant en électricité. Objet : « Mise à jour de nos coordonnées bancaires — à prendre en compte dès la prochaine situation. » Le message est sobre, le logo correct, l’adresse email quasi-identique à l’originale. Il transfère l’email à la comptable. Celle-ci met à jour la fiche fournisseur. Les deux prochaines situations de travaux sont réglées sur le nouveau compte. Total : 212 000 euros.
Le vrai sous-traitant réclame son dû trois semaines plus tard. L’argent est parti en Estonie.
Ce type d’arnaque n’a rien d’exceptionnel dans le BTP. Le secteur figure année après année parmi les plus touchés par la fraude au virement en France — et pour des raisons structurelles qui ne sont pas en train de disparaître.
Pourquoi le BTP est une cible de premier rang
Le secteur de la construction présente une combinaison de facteurs qui en fait un terrain de chasse idéal pour les escrocs spécialisés dans la fraude au virement.
Des chaînes de sous-traitance longues et des informations publiques
Un chantier de taille moyenne mobilise une entreprise générale, cinq à quinze sous-traitants directs, parfois des sous-traitants de second et troisième rang. Chaque relation de paiement est une cible potentielle. Sur un chantier de 3 millions d’euros, les situations de travaux mensuelles peuvent atteindre 150 000 à 300 000 euros par sous-traitant. Ce sont des montants qui justifient amplement le travail de préparation d’une attaque.
Une particularité du BTP aggrave l’exposition : les informations sur les marchés, les attributions et les sous-traitants sont largement publiques. Les avis d’attribution publiés sur le Bulletin officiel des annonces des marchés publics (BOAMP) ou sur les plateformes de dématérialisation des marchés publics indiquent qui a remporté quoi, pour quel montant, et souvent avec quels sous-traitants déclarés. L’escroc qui veut cibler une PME générale du BTP sait exactement quels sous-traitants elle paie, pour quels montants, et peut anticiper les prochaines échéances.
Des équipes comptables en tension
Dans une PME du BTP de 20 à 80 salariés, la comptabilité est souvent tenue par deux personnes au maximum. Ces équipes gèrent simultanément les situations de travaux, les retenues de garantie, les cautions bancaires, les déclarations de sous-traitance et les éventuelles révisions de prix. La charge de travail en période de clôture mensuelle est considérable.
Cette tension crée une vulnérabilité structurelle : vérifier systématiquement chaque changement de coordonnées bancaires demande du temps que les équipes comptables de PME n’ont pas toujours. Un escroc qui envoie sa demande de changement de RIB le 25 du mois, au moment où la comptable prépare les règlements des situations de travaux, exploite précisément ce manque de marge.
Des montants élevés et des virements fréquents
Les secteurs tertiaires font de nombreux petits paiements. Le BTP fait des virements de montants élevés, réguliers et prévisibles. Une situation de travaux mensuelle sur un chantier de voirie peut représenter 80 000 à 400 000 euros. Un seul virement détourné peut mettre une PME en difficulté de trésorerie.
Le GIP ACYMA (qui opère Cybermalveillance.gouv.fr) et les services de police judiciaire identifient le BTP comme l’un des secteurs les plus représentés parmi les victimes de fraude au changement de coordonnées bancaires. Le profil correspond exactement : montants élevés, relations commerciales longues et documentées, information publique sur les marchés.
Une adoption numérique rapide mais inégale
Le BTP s’est digitalisé à grande vitesse depuis 2020 : gestion de chantier sur tablette, signature électronique des marchés, utilisation de Chorus Pro pour les marchés publics, communication par email et messagerie instantanée entre conducteurs de travaux et sous-traitants. Cette digitalisation crée de nouveaux vecteurs d’attaque dans un secteur dont les équipes terrain n’ont souvent reçu aucune formation à la sécurité numérique.
Les quatre arnaques qui ciblent le BTP
1. L’arnaque au changement de RIB sous-traitant : le risque numéro un
C’est l’arnaque dominante dans le secteur. Un email imitant un sous-traitant notifie un changement de coordonnées bancaires, à prendre en compte pour les prochains règlements. L’email peut provenir d’un compte email compromis du vrai sous-traitant, ou d’un domaine sosie (par exemple electricite-martin-group.fr au lieu de electricite-martin.fr).
La fraude au changement de RIB est particulièrement efficace dans le BTP pour une raison simple : les relations commerciales sont longues et la confiance est établie. Une relation de sous-traitance de cinq ans avec le même électricien crée exactement le niveau de confiance que l’escroc cherche à exploiter.
Pour comprendre l’anatomie complète de cette fraude, les phases de préparation et le protocole de prévention, notre article de référence détaille le mécanisme étape par étape : Arnaque au changement de RIB : anatomie d’une fraude.
Un cas BTP documenté, reconstitué à partir d’éléments judiciaires. Une ETI du BTP en Rhône-Alpes (2022) a reçu un email de changement de RIB depuis un domaine sosie (un tiret ajouté au nom du sous-traitant). Le service comptabilité met à jour les coordonnées et règle cinq situations de travaux sur deux mois. Préjudice : 430 000 euros. L’enquête a révélé que le domaine sosie avait été enregistré six semaines avant la première demande — la phase de préparation avait été soignée.
2. Les faux appels d’offre de collectivités
Cette arnaque cible spécifiquement les PME du BTP qui répondent aux marchés publics. L’entreprise reçoit un email ou un courrier imitant une mairie, une communauté de communes ou un département, l’invitant à participer à un appel d’offre pour des travaux de voirie, de rénovation de bâtiment ou d’entretien d’espaces verts.
L’objectif de l’arnaque prend plusieurs formes selon le niveau de sophistication de l’attaquant.
Variante 1 : le droit de participation frauduleux. L’appel d’offre demande le versement d’une caution ou d’un droit d’accès aux documents de consultation (CCAP, CCTP, plans) de quelques centaines à quelques milliers d’euros. C’est immédiatement suspect : les marchés publics en France ne sollicitent jamais de paiement pour accéder aux pièces d’un appel d’offre. Mais des PME peu familières des procédures marchés publics peuvent tomber dans ce piège.
Variante 2 : la collecte d’informations. L’appel d’offre est conçu pour obtenir des informations sur les capacités financières, les références et les tarifs de l’entreprise. Ces informations servent à personnaliser une attaque ultérieure (spear phishing, fraude au faux RIB ciblée) ou sont revendues sur des forums spécialisés.
Variante 3 : l’acompte sur marché fictif. L’entreprise « remporte » le marché et reçoit un faux ordre de service. L’escroc demande ensuite une avance pour des « frais d’assurance chantier », des « frais de dossier administratif » ou un « cautionnement bancaire » avant le démarrage. Ces arnaques visent principalement les TPE peu rodées aux marchés publics.
Comment les reconnaître. Vérifiez systématiquement l’appel d’offre sur le BOAMP (boamp.fr) ou sur le profil acheteur officiel de la collectivité. Un marché public est toujours publié sur une plateforme officielle. Vérifiez les coordonnées de contact : l’adresse email doit correspondre au domaine officiel de la collectivité (par exemple @mairie-nomcommune.fr ou @nomcollectivite.fr), pas un domaine générique. Si le délai de réponse est inférieur à 5 jours ouvrés, c’est un signal d’alerte fort — les marchés formalisés respectent des délais minimaux légaux.
3. Les faux emails de l’inspection du travail et de l’URSSAF
Le BTP est un secteur fortement contrôlé : inspection du travail (DIRECCTE devenue DREETS), OPPBTP, URSSAF, Carsat, Service des impôts des entreprises. Les PME reçoivent régulièrement des courriers et des emails de ces organismes. Les escrocs exploitent cette familiarité.
Les attaques les plus fréquentes dans cette catégorie usurpent l’identité de l’URSSAF ou de la DREETS pour notifier un « contrôle inopiné », une « anomalie dans les déclarations DSN » ou une « mise en demeure pour travail dissimulé sur chantier ». L’email contient un lien vers une fausse plateforme de connexion ou une pièce jointe infectée.
Pourquoi c’est efficace dans le BTP. La crainte d’un contrôle de l’inspection du travail ou d’une mise en demeure URSSAF est réelle pour les entreprises du BTP. La sous-traitance en cascade est un point de contrôle récurrent. Un email qui mentionne spécifiquement un chantier en cours (information facilement trouvable via les autorisations de voirie ou les permis de construire) crée une crédibilité immédiate.
Les signaux d’alerte. L’URSSAF et la DREETS communiquent officiellement via des courriers postaux ou via leurs espaces en ligne authentifiés (urssaf.fr, entreprendre.service-public.fr). Un email non sollicité demandant une connexion urgente ou le téléchargement d’un document est presque toujours frauduleux. Cybermalveillance.gouv.fr recense régulièrement des campagnes d’usurpation de l’URSSAF : consultez leur base de signalements sur cyber.gouv.fr avant de douter de la légitimité d’un email administratif.
4. La compromission email pour fraude entre maître d’ouvrage et sous-traitant
Cette variante est la plus sophistiquée et la plus difficile à détecter. L’attaquant compromet la boîte email d’un intervenant dans la chaîne (conducteur de travaux, responsable comptable d’un sous-traitant, ou chargé d’affaires d’un maître d’ouvrage) et surveille les échanges pendant plusieurs semaines avant d’agir.
Lorsqu’une situation de travaux importante est en cours d’approbation, l’attaquant s’insère dans le fil de discussion et redirige le paiement vers un compte frauduleux. Depuis le compte compromis, l’email est techniquement légitime — les filtres anti-phishing et les vérifications SPF/DKIM/DMARC ne détectent rien.
Cette technique s’apparente à ce que le FBI appelle le « vendor email compromise » (VEC), une variante du BEC (Business Email Compromise) considérée comme la plus difficile à détecter. Elle est en forte croissance dans les secteurs où les échanges par email entre plusieurs parties sont intensifs — comme le BTP.
La parade unique. Contre un compte email compromis, la seule protection fiable est le contre-appel téléphonique sur un numéro connu avant tout paiement sur de nouvelles coordonnées bancaires. Aucune protection technique ne suffit si l’email provient d’une adresse légitime.
L’impact financier : des montants qui fragilisent les PME
Pour une PME du BTP, la perte d’une ou deux situations de travaux peut avoir des conséquences graves sur la trésorerie, particulièrement dans un secteur où les délais de paiement sont déjà tendus.
| Type de fraude | Montant médian observé | Impact sur PME BTP (50 sal.) |
|---|---|---|
| Arnaque au changement de RIB (1-3 situations) | 80 000 – 430 000 € | Tension trésorerie sévère |
| Faux appel d’offre (droit de participation) | 500 – 5 000 € | Perte directe, faible |
| Fraude au faux URSSAF/DGFiP | 2 000 – 50 000 € | Variable selon scénario |
| VEC (compromission email en chaîne) | 150 000 – 600 000 € | Peut menacer la continuité |
Les données de la police judiciaire française et les signalements remontés à Cybermalveillance.gouv.fr montrent que les préjudices dans le BTP se situent dans la fourchette haute comparée à d’autres secteurs, en raison des montants élevés des virements habituels. Une PME du BTP qui perd 200 000 euros dans une arnaque au RIB ne perd pas seulement de l’argent : elle perd potentiellement sa marge sur plusieurs mois de travaux, dans un secteur où les marges nettes dépassent rarement 3 à 5 %.
Pour comprendre ce que représente concrètement le coût d’un incident cybersécurité pour une structure de cette taille : Combien coûte vraiment une cyberattaque pour une PME de 50 personnes.
Cas réels dans le BTP
Ces cas sont reconstitués à partir de décisions judiciaires et de signalements documentés. Les noms des entreprises ont été modifiés quand les décisions ne sont pas publiques.
PME de gros œuvre dans le Grand Est (2023)
Une PME de maçonnerie reçoit un email de son fournisseur de béton prêt à l’emploi, notifiant un changement de domiciliation bancaire. L’email provient d’une adresse avec un tiret supplémentaire dans le nom de domaine. La secrétaire de direction met à jour la fiche fournisseur. Quatre livraisons sont réglées sur le nouveau compte en six semaines. Préjudice : 127 000 euros.
La PME dépose plainte. L’enquête révèle que le domaine sosie avait été créé deux mois auparavant. Le compte destinataire était enregistré en Lettonie. Les fonds avaient transité vers trois autres comptes avant d’être retirés en espèces.
Entreprise de menuiserie aluminium en Occitanie (2024)
Un responsable commercial reçoit un email d’une mairie qu’il ne connaît pas, pour des travaux de remplacement de menuiseries dans une école. Le délai de réponse indiqué est de 72 heures. L’email demande le versement de 1 800 euros pour « accéder au dossier de consultation complet ». Le responsable, habitué aux marchés publics, vérifie sur BOAMP : la consultation n’existe pas. L’entreprise ne paie pas. Mais le même email a été envoyé à une dizaine de PME locales, dont deux ont versé l’acompte frauduleux.
Entreprise générale de travaux en Normandie (2023)
Un sous-traitant en couverture informe par email que sa société change de banque. L’email provient du compte réel du sous-traitant — qui avait été compromis plusieurs semaines auparavant via un phishing sur son adresse personnelle (même mot de passe utilisé). La situation de travaux de novembre (220 000 euros) est réglée sur le compte frauduleux. Le conducteur de travaux de l’entreprise générale, qui connaissait personnellement le couvreur, n’a pas jugé utile de vérifier par téléphone. Ce détail — la confiance dans une relation longue — est précisément ce que l’escroc avait anticipé.
Ce cas illustre un point critique : la confiance dans une relation commerciale longue est un facteur de risque, pas une protection. Les escrocs choisissent d’usurper des fournisseurs de longue date précisément parce que la vigilance est plus faible.
Les chantiers comme vecteur d’attaque : les équipes terrain
Les conducteurs de travaux, les chefs de chantier et les compagnons utilisent massivement leurs téléphones — souvent personnels — pour la gestion quotidienne du chantier : photos de levée de réserves, bons de livraison numériques, échanges avec les sous-traitants, remontée des aléas en temps réel.
Ces usages créent des vulnérabilités spécifiques.
Le smishing sur numéros de chantier. Des SMS frauduleux imitant Chorus Pro (la plateforme de facturation des marchés publics), des plateformes de gestion de chantier comme Kizeo ou de dépose de documents comme Cegedim BTP, demandent de cliquer sur un lien pour confirmer une réception ou télécharger un document. Ces SMS ciblent les numéros de téléphone récupérés via les interlocuteurs listés dans les marchés publics ou les déclarations de sous-traitance (DC4).
Les QR codes malveillants. Des QR codes apposés sur des documents (bons de commande, plans transmis par email) peuvent rediriger vers des sites de phishing. Sur chantier, le réflexe de scanner un QR code est ancré dans les usages. Les nouvelles formes d’attaques par QR code sont couvertes dans notre guide : QR codes malveillants, vishing, smishing : les nouvelles formes de phishing en 2026.
La dispersion géographique complique la formation. Un conducteur de travaux passe ses journées en déplacement entre plusieurs chantiers. Il n’est pas présent aux réunions d’information internes. Il n’a pas accès au réseau de l’entreprise depuis le terrain. Les programmes de sensibilisation classiques en présentiel ne l’atteignent pas. C’est pourquoi les approches de micro-learning adapté au mobile sont particulièrement pertinentes pour le BTP.
Ce que les statistiques disent sur le BTP
Les données sectorielles précises sur la cybercriminalité dans le BTP sont fragmentées en France. Cybermalveillance.gouv.fr publie des statistiques par catégorie de menace et par secteur d’activité, mais les données granulaires par code NAF ne sont pas toujours rendues publiques.
Ce que les données disponibles indiquent clairement :
- Le rapport Verizon DBIR identifie le BEC (Business Email Compromise), dont relève la fraude au changement de RIB, comme l’une des menaces dominantes dans le secteur de la construction au niveau mondial, avec une prévalence nettement supérieure à la moyenne intersectorielle.
- L’ANSSI observe dans ses rapports sur la cybermenace que les PME des secteurs avec des chaînes d’approvisionnement longues (construction, industrie, transport) sont surreprésentées dans les signalements de fraude au virement.
- En France, le rapport d’activité 2024 du GIP ACYMA indique que les TPE et PME du secteur de la construction figurent dans le top 5 des secteurs ayant sollicité une assistance pour des incidents liés à la fraude.
Les statistiques globales sur le phishing en entreprise et les benchmarks sectoriels sont détaillés dans notre analyse : Phishing en entreprise : statistiques 2026.
Les mesures de prévention pour les PME du BTP
La protection efficace dans le BTP repose sur des mesures organisationnelles simples, pas sur de la technologie complexe.
Mesure 1 : le protocole de vérification des changements de RIB
C’est la mesure la plus importante, et la seule qui protège contre les attaques les plus sophistiquées (compte email compromis du vrai sous-traitant).
Règle à mettre en place. Tout email notifiant un changement de coordonnées bancaires — quelle qu’en soit la source apparente — déclenche systématiquement un contre-appel téléphonique au sous-traitant ou fournisseur concerné, sur le numéro figurant dans le contrat ou l’annuaire interne. Pas sur un numéro fourni dans l’email.
Mise en œuvre concrète. Créez un fichier partagé (même un simple tableau Excel) avec les coordonnées de contact vérifiées de vos 15-20 principaux sous-traitants et fournisseurs. Quand un changement de RIB arrive, la comptable consacre 5 minutes à appeler le contact habituel. Si le contact n’est pas disponible, le paiement est suspendu jusqu’à confirmation orale.
La résistance à surmonter. Les conducteurs de travaux et les dirigeants répugnent parfois à « vexer » un sous-traitant en mettant en doute sa demande de changement de RIB. C’est un réflexe humain compréhensible — mais il faut inverser la logique : un vrai sous-traitant comprendra et appréciera la procédure de vérification. Seul un escroc sera dérangé par le contre-appel.
Mesure 2 : un seuil de double validation pour les virements
Fixez un seuil au-dessus duquel tout virement nécessite la validation de deux personnes distinctes — par exemple, le conducteur de travaux concerné et le dirigeant ou le DAF. Ce seuil dépend de votre activité : 10 000 euros pour une PME de second œuvre, 50 000 euros pour une entreprise générale.
La double validation peut être mise en place directement dans votre logiciel de gestion ou de banque en ligne. Elle n’empêche pas les virements frauduleux si les deux validateurs sont trompés par le même email, mais elle ralentit le processus et donne le temps de déclencher un doute.
Mesure 3 : vérifier les appels d’offre sur les plateformes officielles
Toute invitation à répondre à un marché public mérite une vérification de 2 minutes sur boamp.fr. Si la consultation n’y figure pas — ou ne figure pas sur le profil acheteur officiel de la collectivité — ne répondez pas. Ne versez aucun acompte pour accéder à des documents de consultation : c’est toujours frauduleux dans le cadre des marchés publics.
Mesure 4 : sécuriser les boîtes email avec le MFA
Un compte email compromis transforme un vrai sous-traitant en vecteur d’attaque involontaire. L’activation de l’authentification multi-facteurs (MFA) sur toutes les boîtes email de l’entreprise — dirigeant, conducteurs de travaux, service comptable — bloque 99 % des tentatives de compromission de compte (Microsoft Digital Defense Report 2024).
La configuration prend 15 minutes par compte dans Google Workspace ou Microsoft 365. C’est la mesure de sécurité avec le meilleur rapport coût/efficacité disponible.
Mesure 5 : configurer DMARC sur votre domaine
Si votre domaine n’a pas de politique DMARC, un escroc peut envoyer des emails qui affichent votre adresse (direction@votreentreprise.fr) à vos sous-traitants ou clients pour leur demander un changement de RIB. Vos partenaires commerciaux recevraient ces emails sans aucun avertissement.
La configuration de SPF, DKIM et DMARC sur votre domaine prend quelques heures et protège votre réputation. Le guide technique détaillé est couvert dans notre article Sécurité email des PME françaises : tester SPF, DKIM et DMARC.
Mesure 6 : former les équipes terrain, pas seulement l’administratif
Le facteur humain est le premier vecteur d’attaque. Dans le BTP, les équipes terrain sont aussi exposées que les équipes de bureau — parfois davantage, car elles reçoivent des documents numériques de sources multiples (maîtrise d’œuvre, sous-traitants, fournisseurs) avec moins de recul.
Une formation efficace n’est pas un PowerPoint de 45 minutes envoyé par email. C’est une mise en situation concrète : un faux email de changement de RIB envoyé à l’équipe comptable, suivi d’une page de remédiation expliquant les signaux d’alerte. Ce type de simulation de phishing peut être déployé sans compétence technique avancée. Pour construire un programme adapté à une PME : Simulation de phishing en entreprise : guide pratique 2026.
Les données de benchmarking (KnowBe4 Phishing Benchmarks 2024) montrent que les organisations qui organisent des simulations régulières réduisent leur taux de clics de ~33 % à moins de 5 % en 12 mois. Dans un secteur où les conséquences d’un clic mal placé peuvent atteindre plusieurs centaines de milliers d’euros, cet investissement est justifié.
Formez vos équipes BTP à détecter les fraudes. La plateforme nophi.sh propose des simulations de phishing avec des scénarios spécifiques au BTP — faux changement de RIB sous-traitant, faux appel d’offre, fausse notification URSSAF — avec suivi des résultats par équipe et remédiation immédiate.
Ce que l’assurance cyber couvre (et ce qu’elle ne couvre pas)
La plupart des contrats d’assurance cyber incluent une garantie fraude ou détournement de fonds qui peut couvrir les arnaques au changement de RIB. Mais la couverture n’est pas automatique.
Les assureurs vérifient systématiquement que l’entreprise avait mis en place des mesures de prévention contractuellement requises. L’absence de procédure de vérification des changements de coordonnées bancaires, l’absence de MFA sur les boîtes email ou l’absence de formation des employés peuvent entraîner une réduction d’indemnisation.
La tendance de 2025-2026 est à un durcissement des conditions de couverture pour les PME des secteurs à risque élevé. Les assureurs cyber commencent à effectuer des audits pré-contractuels qui vérifient le niveau de sensibilisation des équipes. Un programme de simulation de phishing documenté est de plus en plus exigé comme condition de souscription. Pour le détail de ce que les assureurs vérifient : Votre assurance cyber vous demande une preuve de formation ?.
Plan d’action en 6 points pour un dirigeant BTP
Ce tableau récapitule les mesures prioritaires, classées par impact et facilité de mise en œuvre :
| Priorité | Mesure | Temps de mise en place | Coût |
|---|---|---|---|
| 1 | Protocole de contre-appel pour tout changement de RIB | 1 heure (rédaction + communication) | 0 € |
| 2 | MFA sur toutes les boîtes email | 15 min/compte | 0 € (inclus Google/M365) |
| 3 | Double validation virements > seuil défini | 2 heures (paramétrage logiciel) | 0 € |
| 4 | DMARC en mode reject sur votre domaine | 4 à 8 semaines (déploiement progressif) | 0 à 200 €/an |
| 5 | Formation/simulation phishing pour équipes compta et terrain | 1 journée de setup | 500 à 2 000 €/an |
| 6 | Surveillance des domaines sosies | 1 heure de configuration | 50 à 300 €/an |
Les trois premières mesures sont gratuites et peuvent être mises en place cette semaine. Elles bloquent la majorité des arnaques décrites dans cet article.
Que faire si vous avez déjà été victime
Si vous découvrez qu’un paiement a été effectué sur de fausses coordonnées bancaires, la rapidité d’action est déterminante.
Dans les premières heures. Appelez immédiatement le service fraude de votre banque — pas le conseiller habituel, mais le back-office des virements — pour demander le rappel du fonds (recall). Pour les virements SEPA, ce rappel est techniquement possible tant que les fonds n’ont pas été retirés. Les escrocs vident les comptes dans les heures suivant la réception : chaque heure compte.
Dans les 72 heures. Déposez plainte auprès de la gendarmerie, du commissariat ou de la plateforme THESEE (thesee.interieur.gouv.fr) du ministère de l’Intérieur. La loi LOPMI (janvier 2023) impose ce dépôt dans les 72 heures suivant la connaissance de l’incident pour maintenir votre droit à indemnisation par l’assurance cyber.
Sécurisez les preuves. Conservez les emails frauduleux avec leurs en-têtes complets, les justificatifs de virement, et le RIB frauduleux. Ne supprimez rien. Ces éléments sont nécessaires pour l’enquête judiciaire et le dossier d’assurance.
Alertez votre sous-traitant. Si la demande frauduleuse usurpait l’identité d’un de vos sous-traitants, prévenez-le immédiatement. Sa boîte email est peut-être compromise. D’autres entreprises qui travaillent avec lui sont potentiellement visées.
Déclarez à votre assureur. Si vous disposez d’une assurance cyber, déclarez le sinistre avec le récépissé de dépôt de plainte. Les garanties fraude des contrats cyber couvrent généralement ce type d’incident, avec des franchises et des plafonds variables.
Thomas Ferreira est consultant en cybersécurité et fondateur de nophi.sh. Il accompagne les PME françaises dans la mise en place de programmes de sensibilisation au phishing et à la fraude au virement.
Ressources complémentaires :
- Arnaque au changement de RIB : anatomie d’une fraude — mécanisme complet et protocole de prévention
- Fraude au président : les cas les plus coûteux en France — les arnaques BEC les plus graves documentées en France
- Combien coûte vraiment une cyberattaque pour une PME de 50 personnes — les coûts réels au-delà du montant volé
- Simulation de phishing en entreprise : guide 2026 — comment entraîner vos équipes
- Phishing en entreprise : statistiques 2026 — chiffres de référence et benchmarks sectoriels
- Bonnes pratiques email professionnel — configurer SPF, DKIM et DMARC
- Cybermalveillance.gouv.fr — plateforme nationale d’assistance aux victimes
- ANSSI — Guide cybersécurité pour les TPE/PME — bonnes pratiques recommandées par l’État