Les professionnels de l’immobilier et les cyber-risques

La pierre a beau être concrète, elle n’est pas immunisée pour autant contre les problèmes virtuels. En deux ans, le nombre d’attaques informatiques contre des acteurs du monde de l’immobilier a été multiplié par dix aux États-Unis, pour un total de pertes qui s’élève à 56 millions de dollars (chiffres du FBI cités dans cet article de Capital). Même s’il n’existe pas de chiffres pour la France, on peut juger de l’ampleur du phénomène en recensant les cas relayés par les journaux, comme l’histoire de ces hackers anglais qui sont parvenus à dérober plus de 10 millions d’euros à des acheteurs en se faisant passer pour leurs agents immobiliers.

On peut aussi regarder les chiffres globaux et constater que 8 entreprises sur 10 sont touchées chaque année, en France, par des cyberattaques (Baromètre de la cybersécurité du Cesin, édition 2019). Et la première cause de cette situation n’a rien de surprenant : c’est la transformation numérique des entreprises, notamment l’usage de systèmes d’information toujours plus présents et le stockage sur le Cloud.

De fait, la question de la cybersécurité dans l’immobilier se pose avec plus de force que jamais. Pour les bâtiments eux-mêmes, qui sont souvent considérés comme des portes d’entrée pour les hackers ; mais aussi pour les professionnels de la transaction, qui manipulent des données sensibles et précieuses. Qu’en est-il vraiment ? Et comment se protéger ?

La cybersécurité dans l’immobilier : le bâtiment et les fichiers clients comme cibles

Quand on parle de cybersécurité dans l’immobilier, on évoque deux cibles privilégiées des pirates. La première, ce sont les bâtiments eux-mêmes, véritables portes d’entrée pour les hackers qui envisagent de pirater un système informatique. À elles seules, les caméras de surveillance sont des vecteurs majeurs de piratage. Le développement des bâtiments connectés et des solutions de domotique (serrures électroniques, lumières ou stores contrôlés à distance…) augmente fortement les cyber-risques en multipliant les points de contact entre les hackers et les systèmes. Ce problème concerne aussi bien les promoteurs, qui construisent ces bâtiments innovants, que leurs occupants, qui installent des systèmes mal (ou pas du tout) protégés contre le piratage.

La seconde cible, ce sont les données collectées et stockées par les professionnels de la transaction. Autrement dit : les fichiers clients des agences immobilières et des réseaux de mandataires. Les hackers peuvent s’introduire dans les systèmes d’information des entreprises de l’immobilier pour y voler des données sensibles appartenant aux clients, et ensuite les utiliser à leur avantage pour envoyer des logiciels espions, inciter à une action de manière frauduleuse (via le phishing, ou « hameçonnage ») ou demander une rançon (via un ransomware, ou « rançongiciel »).

Ce qui fait de la cybersécurité dans l’immobilier un problème qui concerne tous les acteurs du secteur.

Les agences immobilières confrontées au risque cyber

Confrontés à la question des risques cyber, de nombreux professionnels de l’immobilier ont tendance à botter en touche au prétexte que ces problématiques ne les concernent pas vraiment. La raison ? Ils seraient trop « petits » pour être la cible des cybercriminels.

Or, il est faux de penser que les pirates informatiques s’attaquent uniquement aux grandes entreprises et aux institutions majeures. Comme pour toutes les activités criminelles, il y a ceux qui visent haut et ceux qui s’attaquent aux « petits » : on peut braquer un casino de Las Vegas ou chiper le sac à main d’une dame… Certes, les attaques contre de gros intérêts sont plus spectaculaires, mais les « petits » forfaits mis bout à bout ont des conséquences bien plus importantes au global. Une étude de SystemX réalisée en 2019 montre ainsi que le coût additionné des cyberattaques ayant touché les PME françaises s’élève à plus de 700 millions d’euros par an (à lire dans cet article publié sur Forbes).

D’ailleurs, il n’est pas nécessaire d’additionner les chiffres. Même à l’échelle d’une seule victime, ces attaques peuvent avoir des conséquences catastrophiques. C’est le cas dans l’immobilier : l’achat d’une résidence étant bien souvent le projet d’une vie, celle-ci peut être brisée par le vol de l’argent nécessaire à l’acquisition.

Les exemples pullulent et tendent à se multiplier, mettant de plus en plus la question de la cybersécurité dans l’immobilier sur le devant de la scène. Nous le disions en introduction : les pertes relatives aux cyberattaques contre les agences immobilières aux USA ont causé quelque 56 millions de dollars de pertes. La méthode la plus courante est d’une simplicité diabolique : les hackers suivent les dossiers clients en piratant les systèmes d’information ou les boîtes mail des intermédiaires chargés de faire transiter les fonds. Au moment où le paiement du bien immobilier doit être réalisé, ils usurpent l’identité de l’intermédiaire pour informer l’acheteur d’un changement dans les coordonnées bancaires, remplaçant le vrai compte par un autre, frauduleux. Il faut quelques minutes pour que l’argent disparaisse dans le dédale des transferts bancaires internationaux – ce qui explique que les sommes ainsi volées soient quasiment impossibles à recouvrer. À Washington, un couple victime de cette arnaque aurait perdu 1,5 million de dollars en une transaction.

En 2016, des hackers anglais ont traqué des échanges de mails entre des agents immobiliers et leurs clients dans le but d’intervenir au moment du paiement. 13 millions d’euros ont été dérobés, pour une moyenne de 150 000 euros par transaction (l’histoire est racontée sur cette page).

Ces exemples issus des États-Unis et de l’Angleterre ne doivent pas laisser penser que les professionnels français de l’immobilier n’ont rien à craindre. La même arnaque pourrait avoir lieu demain sur notre territoire. Les pirates informatiques peuvent usurper l’identité de n’importe quelle partie prenante, agent immobilier bien sûr, mais aussi banquier, avocat ou notaire. Les établissements bancaires sont impuissants : dès lors que l’ordre de virement est donné par le titulaire du compte avec toutes les vérifications d’usage qui s’imposent, l’argent est transféré légalement… et irrécupérable.

Les hackers s’appuient sur une double faille : des systèmes insuffisamment sécurisés et des acteurs mal informés. Ces derniers sont aussi bien les victimes elles-mêmes, des acheteurs en état de grande intensité émotionnelle, que les professionnels de la transaction, qui ne pensent pas être ciblés par ces risques cyber. Les pirates savent qu’ils ont affaire à des « novices » en matière de technologie et de cyberprotection. Ce qui ne les empêche pas de soigner leurs attaques : avec cette arnaque, on est loin du phishing balourd pour lequel un hacker a reproduit grossièrement la page d’une banque en laissant des fautes d’orthographe partout. En vertu des sommes importantes en jeu, ces attaques sont préparées et menées avec soin. Et d’autant plus difficiles à déceler.

La responsabilité des professionnels de l’immobilier au regard des cyber-risques

C’est un challenge majeur pour la cybersécurité dans l’immobilier. Et pas seulement parce que les professionnels ont à cœur de protéger leurs clients, mais parce que les conséquences d’une telle attaque peuvent impacter durement les professionnels eux-mêmes en termes de réputation et de responsabilité légale.

En juin 2018, un tribunal de Kansas City a condamné une agence immobilière à rembourser à ses clients acheteurs, victimes d’un piratage, 85 % de la somme volée par les hackers. Ceux-ci avaient usurpé l’identité d’un négociateur de l’agence. Le tribunal a estimé que la responsabilité en revenait en partie aux professionnels, censés offrir toutes les garanties de sécurité eu égard à leurs systèmes d’information. Ils doivent faire le nécessaire pour protéger leurs clients. Ce genre de décision de justice pourrait faire des petits. En France, le cadre réglementaire va de plus en plus vers une responsabilisation des agents immobiliers (nous en avons récemment donné un exemple avec les estimations fournies par les négociateurs, à lire dans notre article « Avis de valeur : et si votre responsabilité d’agent immobilier était engagée ? »), et la cybersécurité dans l’immobilier pourrait en faire partie.

Toutefois, la principale conséquence d’une faille de sécurité touche à la réputation de l’agence mêlée à l’attaque. Pour le comprendre, il suffit de vous imaginer à la place de cette agence dont les clients ont perdu 1,5 million de dollars au cours de leur transaction… Une fois l’histoire rendue publique, comment expliquer à vos prospects que leurs économies seront en sécurité avec vous, malgré ce fâcheux précédent ?

Un exemple de cyber-responsabilité : la protection des données personnelles

S’il n’est pas aisé d’embrasser les enjeux de la cybersécurité dans l’immobilier pour des professionnels qui n’ont pas l’habitude de se poser ces questions, il faut néanmoins rappeler qu’il existe un précédent majeur chez nous : l’entrée en vigueur du RGPD, le règlement général pour la protection des données personnelles des utilisateurs.

Les obligations des professionnels au regard du RGPD s’appuient sur une prise de conscience des risques liés aux failles de sécurité dans les systèmes d’information des entreprises, et à l’utilisation frauduleuse des données personnelles potentiellement sensibles. Ce faisant, le règlement européen est déjà un premier pas important en direction d’une vraie politique de cybersécurité dans l’immobilier.

Les exemples cités ci-dessus sont assez parlants : les pirates n’ont pu exercer leur manœuvre frauduleuse qu’après avoir pénétré les systèmes des agences et dérobé des données personnelles, notamment des adresses mail. L’application du RGPD n’aurait pas pu empêcher ces attaques ; mais elle aurait contraint les agences à évaluer les risques, à identifier les pertes ou les vols de données, et à prévenir les premiers intéressés… qui n’auraient sans doute pas donné l’ordre de virer l’argent !

Prenons un exemple aux conséquences moins sérieuses : celui des administrateurs de biens. Ceux-ci ont tendance à sous-évaluer les risques relatifs aux nombreuses données qu’ils collectent, souvent sensibles et convoitées par les hackers – qui peuvent utiliser les informations à leur avantage (les données bancaires fournies pour les prélèvements des loyers ou des charges de copropriété), ou revendre noms et adresses à des tiers malfaisants (par exemple des cambrioleurs qui viendront ensuite « visiter » les biens). Ce risque est accru par les obligations légales, comme celle du 1^er janvier 2015 consistant à mettre en place un extranet pour rendre disponible l’ensemble des documents relatifs à la copropriété… sans imposer aucun cadre sécuritaire.

Ainsi, les administrateurs de biens, qui collectent et traitent les données personnelles des clients, peuvent être sanctionnés par la justice en cas de perte ou de vol de ces informations, perdre leurs mandats de gestion, et avoir à compenser les dommages subis.

Ne croyez pas que les sanctions n’existent pas : un grand nom de l’immobilier a récemment été retoqué par la Cnil pour avoir omis de corriger un problème concernant son système informatique des mois durant. Nous l’avons relaté dans un précédent article en rappelant que la sanction financière est moins rude, pour cette grande enseigne, que la perte nette en termes de notoriété…

La cybersécurité dans l’immobilier et la maîtrise des risques

Oui, les risques cyber existent pour les professionnels de l’immobilier, même pour les petites agences indépendantes ou franchisées et pour les mandataires. Non, la cybersécurité dans l’immobilier ne doit pas être prise à la légère. Une seule victime parmi vos clients, et cela pourrait causer des dommages irréversibles à votre enseigne en termes de réputation.

Toute la question est donc de savoir comment maîtriser ces risques. Le premier réflexe serait d’implémenter des solutions techniques très sécurisées, qui vont au-delà des seuls antivirus et pare-feux (inefficaces pour ce genre d’attaque). Mais ces solutions coûtent cher et sont surtout destinées aux grandes entreprises. Heureusement, il est possible de contourner les risques en adoptant des bonnes pratiques. Par exemple :

• Professionnaliser la gestion des systèmes d’information et des données en établissant une stratégie de sécurisation. Celle-ci doit permettre d’évaluer les risques, de maîtriser le cycle de vie des données, de les classer selon leur niveau de sensibilité, et de les stocker de manière sécurisée.
• Mettre à jour le matériel. Le simple fait d’avoir des ordinateurs récents et des logiciels mis à jour (y compris les systèmes d’exploitation et les navigateurs web) permet d’éviter quantité de soucis.
• Adopter des outils conformes aux exigences de sécurité. C’est notamment le cas pour le RGPD.
• Sensibiliser les négociateurs. Les négligences internes sont à l’origine de la plupart des incidents. La cybersécurité dans l’immobilier passe donc par l’adoption de gestes simples par les équipes : définir des mots de passe complexes et les changer régulièrement, éviter d’utiliser des supports amovibles non sécurisés, sauvegarder souvent les données, etc.
• Communiquer auprès des clients. Expliquez à vos mandants que vous ne leur demanderez jamais de vous communiquer des informations bancaires par email et que vous n’apporterez pas de changement majeur dans la transaction sans les prévenir par téléphone ou de visu. Si vos clients connaissent les risques, ils seront plus à même de les identifier.

En matière de cybersécurité dans l’immobilier, il n’y a pas de « petite » attaque. Toute menace est à considérer comme potentiellement dommageable pour vos clients et pour votre enseigne. Voilà pourquoi vous devez connaître les risques, protéger votre business, et être prêt à agir au moindre doute. Il en va de la sécurité de vos mandants… et de la solidité de votre réputation !