Rançongiciel sur logiciel syndic : 72 heures pour réagir

Un cabinet de syndic professionnel n'a peut-être pas le glamour d'une banque ou d'un cabinet d'avocats, mais c'est une cible idéale pour les cybercriminels. Pourquoi ?

• Volume de données sensibles : un cabinet gérant 1 500 lots stocke environ 1 800 IBAN actifs, 1 800 copies de pièces d'identité, des centaines de procurations signées, des relevés bancaires, des copies d'actes notariés.
• Surface d'attaque large : extranet copropriétaires, espace prestataires (artisans, fournisseurs d'énergie), espace AG en visio, signature électronique, messagerie ouverte sur internet 24/7.
• Maturité cyber faible : selon une étude UNIS-FNAIM de 2024, 62 % des cabinets de syndic de moins de 10 salariés n'ont aucun MCO informatique externalisé et 41 % utilisent encore Windows 7 ou Windows Server 2012.
• Pression du temps : un syndic ne peut pas s'arrêter — les AG, les sinistres et les appels de fonds sont calendaires. Les cybercriminels le savent et exigent des rançons sous 48 heures.

Pour l'anatomie complète du risque, consultez la fiche métier gestionnaire de copropriété.

Scénario 1 : le rançongiciel sur le logiciel métier

Le ransomware (LockBit, BlackCat, Akira en 2024) chiffre la base de données du logiciel syndic (Crypto, ICS, MillenniumGI, Powimo, Vilogi…). Toute l'activité s'arrête : impossible d'envoyer les appels de fonds, de tenir l'AG, de payer les fournisseurs. La rançon demandée varie de 15 000 € à 250 000 € en cryptomonnaie.

Scénario 2 : la fraude au virement (fovi)

L'attaquant prend le contrôle d'une boîte mail (généralement celle d'un comptable ou d'un gestionnaire), observe pendant plusieurs semaines, puis envoie un faux ordre de virement au nom du syndic pour rediriger un paiement fournisseur. Perte moyenne : 42 000 € par épisode.

Scénario 3 : la fuite de données via l'extranet

Un copropriétaire mal intentionné, ou un pirate exploitant une faille de l'extranet, accède aux données personnelles d'autres copropriétaires. Le sinistre est moins voyant mais déclenche une procédure RGPD : notification CNIL, information des personnes concernées, risque de sanction.

Quand l'attaque est détectée (poste qui ne démarre plus, fichiers .lock, message de demande de rançon, écran noir avec compteur), la réaction des premières 24 heures détermine 80 % des dommages finaux.

Heure 0 à 2 : confinement

• Débrancher physiquement les machines infectées du réseau (câble Ethernet, Wi-Fi).
• NE PAS éteindre les machines (perte des indices forensiques en RAM).
• Couper l'accès VPN et l'extranet copropriétaires.
• Alerter le dirigeant et l'expert-comptable.

Heure 2 à 12 : qualification

• Appeler le numéro 17 Cyber (cybermalveillance.gouv.fr) ou directement la gendarmerie ComCyberGEND.
• Activer la cellule de crise de votre assurance cyber (numéro 24/7 sur votre contrat).
• Identifier les données compromises : combien de copropriétaires, quelles données (nom, IBAN, CNI, données bancaires).

Heure 12 à 72 : notification

• Notification CNIL obligatoire dans les 72 heures via le téléservice dédié (article 33 RGPD), sauf si la violation n'est pas susceptible d'engendrer un risque pour les personnes — ce qui est rarement le cas pour des IBAN.
• Information des copropriétaires concernés sans délai (article 34 RGPD) si le risque est élevé : recommandé par lettre + email, avec conseils concrets (surveiller son compte bancaire, opposition CB, dépôt de plainte).
• Dépôt de plainte au commissariat sous 48 heures (souvent exigé par l'assureur cyber).

Question éthique et juridique épineuse. Trois éléments à retenir :

1. La loi française n'interdit pas le paiement, sauf si le bénéficiaire est sous sanctions (OFAC américain, sanctions européennes contre certains groupes russes ou nord-coréens). Payer un groupe sanctionné expose à des poursuites pénales.
2. L'article L. 12-10-1 du Code des assurances (introduit par la loi LOPMI 2023) autorise désormais l'assurance à indemniser une rançon, à condition que la victime ait déposé plainte dans les 72 heures avant le paiement.
3. L'efficacité réelle est faible : selon le rapport ANSSI 2024, 36 % des victimes ayant payé n'ont jamais récupéré l'intégralité de leurs données, et 18 % ont été ré-attaquées dans les 12 mois.

La position consensuelle des autorités (ANSSI, CNIL, gendarmerie) : privilégier la reconstruction depuis les sauvegardes plutôt que le paiement. Encore faut-il avoir des sauvegardes — testées, hors-ligne et récentes.

Le syndic est responsable de traitement au sens du RGPD pour les données qu'il collecte dans le cadre de sa mission, et co-responsable avec le syndicat des copropriétaires pour le registre des copropriétaires.

Les obligations clés :

• Registre des traitements tenu à jour, distinguant la gestion courante, la paie des employés d'immeuble, la vidéosurveillance, la signature électronique d'AG.
• DPO obligatoire dès lors que le cabinet traite à grande échelle des données sensibles ou réalise un suivi régulier (en pratique : au-delà de 3 000 copropriétaires gérés).
• Mentions d'information RGPD obligatoires sur le contrat de syndic, l'extranet, les convocations AG, le formulaire de prélèvement SEPA.
• Conservation limitée : 10 ans après fin du mandat pour les documents comptables, 5 ans pour les correspondances, 3 ans pour les données biométriques d'accès parking.
• Sécurité technique : chiffrement des sauvegardes, MFA sur l'extranet, mises à jour de sécurité régulières, journalisation des accès.

La CNIL a sanctionné en 2024 trois cabinets de syndic pour des montants compris entre 5 000 € et 70 000 €, principalement pour défaut de sécurisation de l'extranet ou notification tardive.

Un contrat cyber adapté aux syndics couvre quatre familles de garanties, parfois confondues mais juridiquement distinctes :

1. Frais propres (dommages 1ère partie)

• Reconstruction des données et des systèmes ;
• Pertes d'exploitation (CA non facturé, salaires maintenus) ;
• Frais d'enquête forensique (experts CERT) ;
• Rançon, sous conditions strictes.

2. Responsabilité civile (dommages tiers)

• Préjudice subi par les copropriétaires (usurpation, virements détournés) ;
• Amendes RGPD non sanctionnatrices (frais de procédure devant la CNIL) ;
• Frais de notification aux personnes concernées.

3. Gestion de crise

• Cellule de crise 24/7 (juristes, communicants, experts techniques) ;
• Communication aux copropriétaires (rédaction de courriers, hotline dédiée) ;
• Accompagnement médias en cas de mise en cause publique.

4. Fraude au virement

• Remboursement du virement frauduleux (sous-limites typiques 50 000 € à 250 000 €) ;
• Sous conditions de mesures préventives : double validation des virements supérieurs à un seuil, MFA, formation anti-phishing.

Découvrez notre assurance cyber dédiée aux syndics, conçue avec des plafonds adaptés à la taille de votre portefeuille.

1. Activer la MFA (double authentification) sur le logiciel métier, la messagerie professionnelle et l'extranet. Coût : zéro. Impact : -85 % de risque de compromission de compte (étude Microsoft 2024).
2. Sauvegarde 3-2-1 : 3 copies, 2 supports différents, 1 hors site. Privilégier un cloud chiffré + un disque externe déconnecté physiquement après chaque sauvegarde.
3. Procédure de double validation pour tout virement supérieur à 1 500 €, par téléphone obligatoirement (jamais par email, jamais par SMS uniquement).
4. Formation anti-phishing trimestrielle de tous les salariés, y compris la direction. Coût : 200 à 500 € par session via Cybermalveillance.gouv.fr.
5. Audit annuel de l'extranet (test d'intrusion léger) auprès d'un prestataire qualifié PASSI. Coût : 1 500 à 4 000 € selon la complexité. À facturer comme service au syndicat.