Rançongiciel sur logiciel de diagnostic : la menace que personne n'avait anticipée

À première vue, un cabinet de diagnostic immobilier n'a rien d'une cible évidente : pas de comptes clients à cinq chiffres, pas de propriété intellectuelle stratégique, pas de secrets industriels. Et pourtant, l'ANSSI signale dans son rapport public 2025 que les attaques contre les professions de l'immobilier ont triplé entre 2023 et 2025, et que les diagnostiqueurs figurent désormais à la quatrième place des cibles, juste après les agences immobilières, les notaires et les administrateurs de biens.

Cette montée en puissance s'explique par un faisceau d'attractivité unique. Le diagnostiqueur stocke :

• Des milliers de photos haute définition de biens, parfois de logements de personnalités, qui ont une valeur de revente sur les marchés clandestins.
• Des plans complets d'immeubles, recherchés par des réseaux de cambriolage organisé.
• Des données personnelles d'acquéreurs et de propriétaires (identité, adresse, parfois revenu fiscal) directement monnayables.
• Des rapports techniques signés numériquement, dont la modification ou la rétention bloque l'ensemble de l'activité.

Le scénario que les cyberassureurs observent le plus fréquemment en 2025 suit une trame remarquablement constante :

1. Jour J - 30 : un courriel d'apparence anodine arrive, prétendument envoyé par une agence immobilière partenaire, avec un fichier « plans_apt.zip » en pièce jointe. Le diagnostiqueur clique, le malware s'installe en arrière-plan.
2. J - 25 : le pirate cartographie le réseau, identifie le logiciel métier (Liciel, BatiExpert, EasyDPE…), localise les sauvegardes locales et l'éventuel NAS.
3. J - 10 : exfiltration silencieuse des données sensibles (photos, plans, fichiers clients) vers un serveur étranger.
4. J - 1 : déclenchement du chiffrement, généralement la nuit ou un week-end pour maximiser les dégâts avant détection.
5. Jour J : l'équipe arrive le matin, aucun ordinateur ne fonctionne, un message de rançon réclame entre 15 000 € et 80 000 € en bitcoins, avec menace de publication des données sous 72 heures.

Pour un cabinet de 3 à 5 diagnostiqueurs, le coût total moyen d'un tel sinistre — rançon non payée, restauration, perte d'exploitation, notification CNIL — s'élève à 67 000 € selon l'observatoire cyber de la profession 2025.

Le détail du coût constaté pour un cabinet de taille moyenne fait apparaître quatre postes principaux, dont aucun n'est négligeable :

La perte d'exploitation est, contrairement à ce qu'on imagine, le poste le plus douloureux. Un diagnostiqueur qui ne peut plus produire de rapports pendant deux semaines voit ses rendez-vous reportés ou annulés, ses agences partenaires se tournent vers la concurrence, et la reconquête commerciale prend ensuite plusieurs mois.

La bonne nouvelle, c'est que la cybersécurité d'un cabinet de diagnostic ne nécessite ni budget conséquent ni compétence pointue. Trois mesures simples suffisent à éliminer la quasi-totalité du risque :

1. Sauvegarde 3-2-1 automatisée. Trois copies des données, sur deux supports différents, dont une hors site (cloud chiffré). Coût : 15 à 40 € par mois et par poste. C'est la mesure qui transforme un rançongiciel catastrophique en simple inconvénient de 48 heures.
2. Double authentification systématique sur tous les accès au logiciel métier, à la messagerie et au cloud. Coût : zéro, mise en place : 2 heures.
3. Formation anti-phishing trimestrielle avec simulation d'attaque. Coût : 15 à 25 € par collaborateur et par an. Réduit de 78 % le taux de clic sur les courriels piégés selon l'ANSSI.

À ces trois mesures, ajoutez la mise à jour mensuelle des logiciels et le filtrage des extensions exécutables en pièce jointe, et vous éliminez statistiquement 95 % du risque cyber pour un investissement annuel inférieur à 1 000 € pour un cabinet de cinq personnes.

L'erreur la plus fréquente, et la plus coûteuse, consiste à croire que la RC Pro classique couvre les conséquences d'une cyberattaque. C'est faux dans 95 % des contrats du marché. La RC Pro indemnise les dommages causés à des tiers du fait de votre activité professionnelle. Elle ne couvre pas :

• La rançon elle-même (par principe non assurable en France).
• Les frais de restauration de vos propres systèmes.
• Votre perte d'exploitation.
• Les frais de notification CNIL.
• L'intervention d'urgence d'experts en cybersécurité.

Une assurance cyber dédiée est aujourd'hui le seul moyen de couvrir l'intégralité de la chaîne de coût. Pour un cabinet de diagnostic, les primes démarrent autour de 35 € par mois et incluent généralement une cellule de crise 24/7, particulièrement précieuse dans les premières heures qui suivent la découverte de l'attaque.

Un diagnostiqueur attaqué qui rappelle son assureur cyber dans les 4 heures bénéficie d'une réduction de 60 % du coût total du sinistre, contre un appel passé après 72 heures. La rapidité d'intervention est le facteur n°1 de maîtrise du préjudice.

Avant le déclenchement brutal du chiffrement, un rançongiciel laisse presque toujours des indices que le diagnostiqueur attentif peut repérer. Les analystes en cybersécurité spécialisés sur la profession ont dressé la liste des sept signaux faibles à surveiller :

1. Un ralentissement inexpliqué du logiciel métier ou des ouvertures de fichiers, en particulier le matin lorsque les postes ont été allumés depuis peu.
2. Des fenêtres antivirus qui se ferment toutes seules ou des notifications de désactivation que personne n'a déclenchées.
3. Des courriels d'avertissement de votre fournisseur de messagerie signalant des connexions depuis des localisations inhabituelles.
4. L'apparition de fichiers .tmp inconnus dans les dossiers de travail, ou de nouvelles tâches planifiées que vous n'avez pas créées.
5. Une consommation anormale de bande passante, signe possible d'exfiltration silencieuse de données.
6. Des collègues qui vous demandent confirmation d'un courriel que vous n'avez jamais envoyé, signe que votre adresse a été usurpée ou que votre boîte a été compromise.
7. Des modifications de paramètres système non autorisées, en particulier la désactivation de Windows Defender ou des points de restauration.

La détection précoce d'un seul de ces signaux peut réduire le préjudice de 70 à 90 %. Un appel immédiat à votre cellule cyber, même pour une simple suspicion, est toujours moins coûteux qu'une intervention en mode crise une fois le chiffrement enclenché.

Une fois la cyberattaque maîtrisée, beaucoup de diagnostiqueurs découvrent le second volet du problème : leurs obligations RGPD. En cas de fuite de données personnelles, le règlement européen impose :

• Une notification à la CNIL sous 72 heures après la découverte de la violation.
• Une information individuelle des personnes concernées si la violation est susceptible d'engendrer un risque élevé.
• La tenue d'un registre des violations, exigible en cas de contrôle.

Le non-respect de ces obligations expose à des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel. Plus prosaïquement, la CNIL a déjà sanctionné en 2024 plusieurs cabinets de l'immobilier à hauteur de 30 000 à 80 000 € pour des manquements post-cyberattaque, principalement pour absence de notification et négligence dans la sécurisation.

Pour découvrir l'ensemble des protections cyber et RGPD adaptées à votre métier, consultez la fiche dédiée aux diagnostiqueurs immobiliers sur Insurio.