Cybersécurité pour le BTP et la construction : protégez vos équipes contre le phishing

Le BTP dans le viseur des attaquants

Le secteur du BTP ne se perçoit pas comme une cible prioritaire des cyberattaques. Pourtant, il concentre plusieurs caractéristiques qui en font un terrain d’action privilégié pour les fraudeurs : des montants de facturation élevés, une chaîne de sous-traitance longue et fragmentée, une faible maturité informatique et des équipes qui travaillent principalement sur le terrain. La combinaison de ces facteurs crée un environnement où un email bien conçu peut détourner des dizaines de milliers d’euros sans déclencher la moindre alerte.

Des factures élevées et des chaînes de paiement complexes

Un chantier de construction implique un maître d’ouvrage, un maître d’oeuvre, une entreprise générale et des dizaines de sous-traitants spécialisés (gros oeuvre, électricité, plomberie, menuiserie, peinture). Chaque intervenant émet des factures, souvent mensuelles, avec des montants qui dépassent régulièrement les 10 000 euros et atteignent plusieurs centaines de milliers d’euros pour les lots principaux. Le service comptabilité d’une entreprise de BTP traite donc un volume élevé de factures provenant d’interlocuteurs qui changent d’un chantier à l’autre. Dans ce flux, une fausse facture ou une demande frauduleuse de changement de RIB se noie dans la masse.

La fraude au président et les arnaques au changement de coordonnées bancaires sont les attaques les plus rentables contre le BTP. Le FBI IC3 a enregistré 2,9 milliards de dollars de pertes liées au BEC en 2023 aux États-Unis. En France, la DGCCRF et les services de police constatent une augmentation régulière des fraudes au virement ciblant les entreprises du bâtiment.

Une maturité informatique souvent faible

Le BTP investit massivement dans les engins, les matériaux et la main-d’oeuvre, mais rarement dans la cybersécurité. La plupart des PME du secteur n’ont pas de responsable informatique en interne. Le parc informatique se résume souvent à quelques postes en agence, un logiciel de facturation ou de devis, et des boîtes mail professionnelles. Les protections se limitent à un antivirus. Les configurations de sécurité email (SPF, DKIM, DMARC) sont rarement en place, ce qui permet à n’importe qui d’envoyer un email en se faisant passer pour l’entreprise, un sous-traitant ou un fournisseur.

L’ANSSI souligne dans son panorama de la cybermenace 2024 que les TPE et PME — catégorie dans laquelle la majorité des entreprises du BTP se situe — représentent 34 % des victimes de ransomware signalées, précisément parce qu’elles ne disposent pas des moyens de défense des grands groupes.

Des équipes mobiles et connectées sur le terrain

Les conducteurs de travaux, chefs de chantier et responsables de lots consultent leurs emails sur smartphone, entre deux réunions de chantier ou pendant une pause. Ce contexte de lecture rapide et mobile favorise le clic impulsif sur un lien ou une pièce jointe sans vérification approfondie. Un email signalant un problème de livraison de matériaux ou un retard de paiement déclenche un réflexe de réponse immédiate — exactement ce que les attaquants exploitent.

Les techniques de spear phishing ciblent nommément les conducteurs de travaux et les dirigeants, en utilisant des informations publiques (permis de construire, marchés publics attribués) pour rendre les messages crédibles.

Ce que disent les chiffres

Notre analyse : 624 entreprises du BTP passées au crible

Nous avons analysé les configurations de sécurité email (SPF, DKIM, DMARC) des domaines de 624 entreprises du secteur BTP et construction en France. Le constat : 33 % obtiennent un score faible (D, E ou F). Un tiers des entreprises analysées présentent des failles dans leurs protections email qui permettent à un attaquant d’usurper leur identité par email. Un domaine mal configuré en DMARC ou avec un SPF trop permissif signifie que n’importe qui peut envoyer un email en se faisant passer pour votre entreprise — y compris à vos clients, vos sous-traitants et vos maîtres d’ouvrage.

Ce score de 33 % ne reflète que la configuration technique des domaines. Il ne mesure pas la vulnérabilité humaine, qui reste le premier vecteur d’attaque. Le Verizon DBIR 2024 confirme que l’élément humain est impliqué dans 68 % des violations de données, tous secteurs confondus.

Les statistiques du secteur

Le BTP n’est pas un secteur massivement couvert par les rapports de cybersécurité, ce qui ne signifie pas qu’il est épargné — au contraire. Les incidents touchant des PME du bâtiment sont rarement rendus publics car ces entreprises n’ont pas l’obligation de signaler les attaques (sauf en cas de violation de données personnelles au titre du RGPD) et ne souhaitent pas compromettre leur réputation auprès des maîtres d’ouvrage.

L’ANSSI observe que les TPE/PME françaises, dont le BTP constitue une part significative, sont des cibles de choix pour les ransomwares et les fraudes au virement. Le panorama de la cybermenace 2024 note que les attaquants ciblent en priorité les structures qui combinent des flux financiers importants et des défenses faibles — une description qui correspond au profil type de la PME du BTP.

Le coût moyen d’une violation de données pour une PME atteint 150 000 euros selon les estimations du CESIN et du rapport IBM Cost of a Data Breach 2024. Dans le BTP, un seul détournement de facture de sous-traitance peut représenter 20 000 à 200 000 euros — sans compter les retards de projet, les litiges avec les sous-traitants impayés et la perte de confiance des maîtres d’ouvrage.

Les attaques qui visent votre secteur

Chaque secteur a ses propres scénarios d’attaque. Voici ceux que les cybercriminels déploient contre les entreprises du BTP et de la construction.

Fausse demande de changement de RIB d’un sous-traitant

C’est l’attaque la plus répandue et la plus coûteuse dans le BTP. L’attaquant usurpe l’identité d’un sous-traitant (électricien, plombier, entreprise de terrassement) et envoie un email au service comptabilité pour signaler un changement de banque. Le message arrive avec le bon logo, le bon format et mentionne le bon chantier. Le comptable, habitué à recevoir ce type de demande, met à jour le RIB sans vérification supplémentaire. Le prochain règlement part sur le compte de l’attaquant. C’est une forme classique de BEC (Business Email Compromise) qui exploite la multiplicité des intervenants sur chaque chantier.

Faux appel d’offres

Les entreprises du BTP surveillent en permanence les appels d’offres publics et privés. Les attaquants diffusent de faux appels d’offres par email, imitant le format des plateformes de marchés publics ou des cabinets d’architectes. Le lien « Télécharger le DCE » (Dossier de Consultation des Entreprises) mène vers une page de connexion contrefaite ou un fichier contenant un malware. Le responsable commercial ou le dirigeant, pressé de consulter l’opportunité, clique sans vérifier l’URL. Les attaquants utilisent le typosquatting sur les noms de domaine des plateformes officielles pour rendre la contrefaçon crédible.

Fausses factures de matériaux et de livraison

Un email imite un fournisseur de matériaux (négoce en matériaux, loueur d’engins, centrale à béton) et joint une facture avec des coordonnées bancaires modifiées. Le prétexte est un changement de compte bancaire ou une erreur de facturation à régulariser. Dans un secteur où les commandes de matériaux sont quotidiennes et les factures nombreuses, ce scénario passe inaperçu. L’ingénierie sociale exploite la pression des délais de chantier : le comptable paie vite pour ne pas bloquer la livraison.

Ransomware ciblant la comptabilité et les logiciels métier

Les ransomwares ciblent les postes administratifs des entreprises du BTP : comptabilité, devis, facturation, gestion de chantier. L’attaque commence par un email de phishing contenant une pièce jointe piégée (fausse facture PDF, faux bon de commande Excel). Une fois le poste infecté, le ransomware chiffre les fichiers et se propage sur le réseau local. Pour une PME du bâtiment sans sauvegarde externalisée, la perte des données comptables et des dossiers de chantier en cours peut paralyser l’activité pendant des semaines.

Fausses communications URSSAF, inspection du travail ou CARSAT

Le BTP est un secteur fortement contrôlé par les organismes sociaux et l’inspection du travail. Les attaquants exploitent cette réalité en envoyant de faux emails de l’URSSAF (appel de cotisation, contrôle en cours), de l’inspection du travail (signalement de non-conformité sur un chantier) ou de la CARSAT (prévention des risques, mise à jour de dossier). Ces emails créent un sentiment d’urgence administrative et dirigent la victime vers un formulaire de connexion contrefait ou un fichier piégé. Le réflexe de conformité joue contre la victime : dans un secteur habitué aux contrôles, un email de l’URSSAF ne se laisse pas sans réponse.

RGPD et vos obligations

Le cadre réglementaire applicable aux entreprises du BTP en matière de cybersécurité est plus simple que dans la finance ou la santé : le RGPD est le texte principal. Mais sa portée ne doit pas être sous-estimée.

Les données personnelles que vous traitez

Une entreprise du BTP traite plus de données personnelles qu’elle ne l’imagine :

• Données des salariés : identités, adresses, numéros de sécurité sociale, coordonnées bancaires pour les salaires, données de santé (aptitude médicale, accidents du travail)
• Données des sous-traitants : identités des gérants et auto-entrepreneurs, coordonnées bancaires, attestations d’assurance, documents de qualification
• Données des clients : noms, adresses des chantiers (qui sont souvent des domiciles), téléphones, emails, plans de maison pour les particuliers
• Données des intérimaires : transmises par les agences d’intérim, incluant identité, qualification et données administratives

Ce que le RGPD exige

Le RGPD impose à toute entreprise qui traite des données personnelles de mettre en place des « mesures techniques et organisationnelles appropriées » pour les protéger (article 32). La formation et la sensibilisation du personnel aux menaces comme le phishing font partie de ces mesures organisationnelles. En cas de violation de données (un email de phishing qui expose des données de salariés ou de clients, par exemple), l’entreprise doit notifier la CNIL dans les 72 heures.

Les sanctions sont proportionnelles : jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros. Pour une PME du BTP réalisant 5 millions d’euros de CA, l’amende théorique peut atteindre 200 000 euros. En pratique, la CNIL vérifie si l’entreprise avait pris des mesures préventives : l’absence de tout programme de sensibilisation au phishing est un facteur aggravant.

Les données de santé des salariés (aptitude médicale, accidents du travail) bénéficient d’une protection renforcée. Leur exposition lors d’un incident entraîne des conséquences réglementaires plus lourdes.

Pour un panorama complet de vos obligations de conformité et de la manière dont nos rapports y répondent, consultez notre page Conformité.

Des scénarios de simulation adaptés au BTP

Les simulations de phishing génériques ne fonctionnent pas dans le BTP. Un email « Vous avez gagné un iPhone » ne trompe pas un conducteur de travaux. En revanche, un faux email de changement de RIB d’un sous-traitant ou une fausse notification de livraison de matériaux le fera réagir sans hésiter. Les scénarios de simulation doivent reproduire les menaces que vos équipes rencontrent au quotidien.

Fausse facture sous-traitant avec nouveau RIB

Un email imite un sous-traitant habituel (plombier, électricien, entreprise de maçonnerie) et demande la mise à jour de ses coordonnées bancaires avant le prochain règlement. Le message mentionne un chantier en cours et utilise le format de facturation attendu. Ce scénario mesure la capacité du service comptabilité à appliquer la procédure de contre-appel téléphonique avant tout changement de RIB.

Fausse communication de chantier

Un email imite le maître d’oeuvre ou le coordinateur SPS (Sécurité et Protection de la Santé) et demande de télécharger un document urgent : mise à jour du PPSPS, compte-rendu de chantier modifié, avenant au marché. Le lien mène vers un faux portail de téléchargement qui capture les identifiants ou installe un fichier malveillant. Ce scénario cible les conducteurs de travaux et chefs de chantier qui reçoivent ce type de documents quotidiennement.

Fausse notification de fournisseur de matériaux

Un email imite un négoce en matériaux (Point.P, BigMat, Chausson Matériaux) ou un loueur d’engins et signale un problème de livraison, une facture impayée ou un changement de conditions tarifaires. Le lien mène vers un formulaire contrefait. Ce scénario exploite la pression des délais de chantier : un retard de livraison de matériaux bloque l’avancement des travaux, ce qui pousse le destinataire à cliquer sans vérifier.

Fausse convocation URSSAF ou inspection du travail

Un email imite l’URSSAF, la CARSAT ou l’inspection du travail et annonce un contrôle, une anomalie dans les déclarations sociales ou une mise en demeure. Le formulaire de réponse capture les identifiants ou les informations bancaires. Ce scénario est adapté au BTP car le secteur est régulièrement contrôlé par ces organismes et les dirigeants sont conditionnés à répondre rapidement.

Chaque simulation ratée déclenche une micro-formation de 3 à 5 minutes sur les signaux d’alerte du scénario. Accessible sur smartphone, elle s’intègre sans perturber le rythme du chantier. Pas de session de deux heures en salle : un retour contextuel et immédiat sur l’erreur commise.

Protéger votre entreprise BTP

La protection contre le phishing dans une entreprise du BTP suit quatre étapes progressives, adaptées aux contraintes du secteur.

Étape 1 : Auditer votre sécurité email

Avant de former vos équipes, vérifiez que votre domaine email n’est pas vulnérable à l’usurpation d’identité. Un domaine sans DMARC en mode « reject », sans DKIM correctement configuré ou avec un SPF trop permissif permet à n’importe qui d’envoyer des emails en se faisant passer pour votre entreprise. Nos données montrent que 33 % des entreprises du BTP analysées présentent un score faible.

Testez gratuitement la sécurité email de votre domaine en 30 secondes. Le rapport détaille votre configuration SPF, DKIM, DMARC et MTA-STS, avec des recommandations de correction prioritaires.

Étape 2 : Lancer une simulation de référence

La première campagne de simulation établit votre taux de clic de référence (baseline). Nous utilisons des scénarios adaptés au BTP : faux changements de RIB sous-traitant, fausses notifications de livraison, faux emails URSSAF. Selon nos données agrégées, le taux de clic initial dans les PME du BTP se situe entre 25 % et 45 % — des chiffres parmi les plus élevés tous secteurs confondus, qui baissent significativement après trois mois de simulation et formation continues.

Étape 3 : Former par micro-learning contextuel

Chaque collaborateur qui échoue à une simulation reçoit immédiatement une micro-formation de 3 à 5 minutes sur les signaux d’alerte du scénario en question. Un comptable qui valide un faux changement de RIB revoit la procédure de contre-appel. Un conducteur de travaux qui ouvre une fausse pièce jointe de chantier apprend à vérifier l’adresse d’expédition et le format du fichier. Le format court et mobile est adapté aux contraintes du terrain : pas besoin de bloquer une demi-journée en salle de réunion.

Étape 4 : Générer les rapports de conformité RGPD

Chaque campagne produit automatiquement les métriques qui documentent vos mesures de protection : taux de participation, taux de signalement, évolution du taux de clic, couverture des équipes formées. En cas de contrôle CNIL ou de violation de données, ces rapports prouvent que vous avez mis en place des mesures organisationnelles conformes à l’article 32 du RGPD. Les données sont structurées et exportables en un clic.

Votre domaine email est-il protégé contre l’usurpation d’identité ? 33 % des entreprises du BTP que nous avons analysées présentent un score faible. Testez le vôtre gratuitement — le diagnostic prend 30 secondes et le rapport est immédiat.