Sinistre 13 juin 2026 ⏱️ 9 min min de lecture

Fraude au RIB et vol de fichier clients : la nouvelle cible des cybercriminels

Une agence immobilière manipule chaque mois des centaines de milliers d'euros de versements et des fichiers clients à haute valeur. Les cybercriminels l'ont compris. Décryptage.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Les agences immobilières font partie du top 5 des cibles cyber depuis 2023 selon les retours du dispositif Cybermalveillance.gouv.fr.
La fraude au faux RIB (man in the middle) sur dépôts de garantie et acomptes a coûté en moyenne 28 000 € par sinistre en 2025.
Le vol de fichier clients (vendeurs, acquéreurs, locataires) déclenche une obligation de notification CNIL sous 72 heures (RGPD article 33).
Une cyber-assurance dédiée prend en charge la remédiation, la notification, l'amende RGPD éventuelle et la perte d'exploitation.

Pourquoi les agences sont devenues une cible prioritaire

Pendant longtemps, les cybercriminels ciblaient prioritairement les cabinets comptables, les notaires et les avocats. Depuis 2023, les agences immobilières ont rejoint la liste des cibles prioritaires en France et le constat est partagé par l'ANSSI, par Cybermalveillance.gouv.fr et par les principaux assureurs cyber du marché.

Quatre raisons à ce basculement :

Volume des flux financiers : une agence de taille moyenne fait transiter 200 000 à 800 000 € par mois en dépôts de garantie, acomptes, loyers et honoraires.
Densité du fichier clients : noms, adresses, RIB, pièces d'identité, parfois revenus et situations professionnelles. Une mine d'or pour le marché noir et l'usurpation d'identité.
Maturité cyber souvent faible : peu d'agences disposent d'un responsable sécurité, beaucoup utilisent des messageries grand public et des outils SaaS hétérogènes.
Pression temporelle : les transactions immobilières se font dans l'urgence, avec des virements de gros montants à valider en quelques heures. Terrain idéal pour la fraude au président version immobilier.

Trois scénarios qui reviennent chaque semaine

Voici les trois schémas que les courtiers Insurio observent en récurrence sur les dossiers déclarés en 2025 et 2026 :

Le faux RIB du notaire : un attaquant compromet la messagerie de l'agence ou du notaire, intercepte l'échange et renvoie une fausse lettre de demande de fonds avec un IBAN modifié.
Le rançongiciel sur l'arborescence métier : chiffrement de l'intégralité des mandats, états des lieux, dossiers de location, avec demande de rançon entre 15 000 et 80 000 €.
L'exfiltration silencieuse : copie discrète du fichier clients revendu sur des forums spécialisés, déclenchant des fraudes à l'identité chez les acquéreurs plusieurs mois après.

Le sinistre type : fraude au faux RIB de 47 000 €

Voici la chronologie d'un sinistre traité en mars 2026. Une agence parisienne de 8 collaborateurs gère une vente à 685 000 €. Le compromis est signé. Quinze jours avant l'acte authentique, l'acquéreur reçoit par email un document à en-tête de l'agence lui demandant de virer le dépôt de garantie complémentaire de 47 000 € sur un IBAN différent de celui mentionné dans le compromis. Le texte de l'email est parfait, le ton naturel.

L'acquéreur vire. Le lendemain, le notaire appelle l'agence pour s'étonner de ne pas avoir reçu les fonds. L'agence découvre la fraude.

L'enquête révèle

L'attaquant s'est introduit dans la messagerie d'une négociatrice via un email de phishing imitant Microsoft 365, six semaines plus tôt.
Il a observé les échanges, créé une règle de filtrage automatique pour cacher ses propres envois et générer une fausse facture parfaite.
Le RIB frauduleux pointait vers une banque en ligne européenne, l'argent a été retiré en cryptomonnaie en moins de 6 heures.

L'addition

Poste	Montant
Remboursement de l'acquéreur (négocié)	47 000 €
Investigation forensique	9 800 €
Notification CNIL et information clients	3 200 €
Avocat spécialisé	6 500 €
Perte d'exploitation (8 jours d'arrêt)	14 700 €
Total	81 200 €

La cyber-assurance Insurio a couvert l'intégralité hors franchise de 2 500 €.

RGPD : les 72 heures qui font basculer le dossier

Au-delà de la fraude financière, une agence victime d'un vol de fichier clients tombe immédiatement sous le coup du RGPD. L'article 33 impose une notification à la CNIL dans un délai de 72 heures suivant la prise de connaissance de la violation. L'article 34 impose une notification individuelle aux personnes concernées si le risque est élevé.

« Le responsable du traitement notifie la violation de données à caractère personnel à l'autorité de contrôle compétente, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. » (RGPD, article 33)

Le piège : la CNIL et les juridictions considèrent que la responsabilité du courtier ne se limite pas à payer la rançon ou rembourser la fraude. La sanction RGPD vise les défauts de sécurité techniques et organisationnels. Une agence qui n'avait pas activé le double facteur sur sa messagerie Microsoft 365 sera difficile à défendre devant la CNIL.

Les amendes constatées

Les sanctions CNIL prononcées en 2024 et 2025 contre des agences immobilières montrent une fourchette typique :

3 000 à 20 000 € pour défaut de sécurité élémentaire (pas de double authentification, pas de chiffrement).
20 000 à 80 000 € pour absence de tenue de registre des traitements ou défaut de notification.
Plus de 100 000 € dans les cas de récidive ou de mauvaise foi (dissimulation).

S'y ajoutent les actions individuelles des personnes dont les données ont été divulguées : dommages-intérêts moraux, frais d'opposition Banque de France, surveillance Equifax. Les jugements 2025 retiennent en moyenne 800 à 1 500 € par personne concernée.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Sept réflexes de sécurité avant la cyber-assurance

Une cyber-assurance bien dimensionnée ne dispense pas de l'hygiène numérique. Au contraire : la plupart des contrats exigent un socle minimum, et l'absence de ces mesures peut entraîner une réduction d'indemnité au moment du sinistre. Les sept réflexes prioritaires :

Double authentification obligatoire sur toutes les messageries professionnelles et tous les outils SaaS métier (logiciel de transaction, gestion locative, signature électronique).
Sauvegarde quotidienne externalisée et déconnectée du réseau principal, testée en restauration au moins une fois par trimestre.
Vérification téléphonique systématique de tout changement d'IBAN, quel que soit l'émetteur et l'urgence présumée.
Sensibilisation au phishing de tous les collaborateurs, avec des tests internes au moins deux fois par an.
Chiffrement des pièces d'identité et des dossiers locataires dans l'arborescence métier.
Registre des traitements RGPD à jour, signé et accessible immédiatement en cas de contrôle CNIL.
Procédure incident documentée avec contacts d'urgence (CIL, hébergeur, avocat, assureur cyber) affichée physiquement dans l'agence.

Ce que couvre la cyber-assurance Insurio

Une fois ce socle posé, la cyber-assurance prend le relais. La police Insurio dédiée aux agences immobilières inclut :

Cellule de crise activable 24/7.
Investigation forensique et nettoyage des systèmes.
Remboursement de la fraude au faux RIB et au faux président, plafonds adaptés au volume d'activité.
Prise en charge de la notification CNIL et de l'information des personnes concernées.
Garantie amende RGPD (dans les conditions légales d'assurabilité).
Perte d'exploitation jusqu'à 30 ou 60 jours selon la formule.
Rançongiciel : prise en charge négociée avec un cabinet spécialisé.

Pour découvrir la formule complète, rendez-vous sur la page dédiée aux agences immobilières.

Combiner cyber et RC Pro : la double protection indispensable

L'erreur classique en agence immobilière est de penser que la RC Pro Loi Hoguet suffit à couvrir un sinistre cyber. C'est inexact. La RC Pro indemnise les fautes professionnelles commises par l'agence ou ses collaborateurs (manquement au devoir de conseil, erreur sur un diagnostic). Elle ne couvre ni la fraude bancaire externe, ni la rançon, ni l'amende RGPD.

À l'inverse, la cyber-assurance ne couvre pas les manquements de conseil ou les erreurs professionnelles classiques. Les deux contrats sont complémentaires, et c'est leur combinaison qui protège réellement une agence.

Le bon dimensionnement

Quelques repères chiffrés pour calibrer une cyber-assurance d'agence immobilière :

Profil d'agence	Plafond cyber recommandé
1 à 3 collaborateurs, transaction seule	150 000 € à 250 000 €
4 à 10 collaborateurs, transaction + gestion locative	300 000 € à 500 000 €
Plus de 10 collaborateurs ou multi-agences	500 000 € à 1 000 000 €

Le tarif reste modeste rapporté au risque réel : à partir de quelques dizaines d'euros par mois, là où un sinistre moyen avoisine 80 000 €. Le rapport coût-bénéfice ne se discute plus.

Questions fréquentes

Une agence immobilière est-elle vraiment exposée au risque cyber ?

Oui. Depuis 2023, les agences immobilières figurent dans le top 5 des cibles cyber en France. Les flux financiers importants et la richesse des fichiers clients en font une cible de choix pour les escroqueries au faux RIB et le vol de données.

Mon assurance RC Pro couvre-t-elle une cyberattaque ?

Non. La RC Pro Loi Hoguet couvre les fautes professionnelles (devoir de conseil, erreur diagnostic, faute de gestion locative). Elle ne couvre ni la fraude bancaire externe, ni la rançon, ni l'amende RGPD. Une cyber-assurance dédiée est indispensable en complément.

Quel est le délai pour notifier la CNIL en cas de violation de données ?

72 heures à compter de la prise de connaissance de la violation, en application de l'article 33 du RGPD. Au-delà, la notification reste possible mais doit être motivée. Le défaut de notification est sanctionné par la CNIL.

Combien coûte une cyber-assurance pour une agence immobilière ?

Le tarif démarre à quelques dizaines d'euros par mois pour les agences individuelles, et augmente avec le nombre de collaborateurs et le volume d'activité. Le rapport coût-bénéfice est très favorable rapporté au coût moyen d'un sinistre (80 000 €).

Faut-il payer la rançon en cas de rançongiciel ?

La position des autorités françaises est claire : ne pas payer. La cyber-assurance Insurio active une cellule de crise avec cabinet spécialisé qui prend la décision technique. Dans la majorité des cas, la restauration via sauvegarde et nettoyage évite le paiement.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Agence immobilière — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Agence immobilière →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.