La cyber malveillance est loin d’être seulement l’affaire des entreprises et des particuliers. Véritable enjeu de solidarité nationale, elle touche aussi de plein fouet les collectivités territoriales. L’administration publique serait même devenue le secteur le plus ciblé d’Europe(1).
Pas toujours sensibilisés aux risques ni préparés à faire face, les services publics locaux sont autant de cibles prisées des cybercriminels. Et les conséquences humaines et financières sont parfois lourdes.
Comment accompagner au mieux les collectivités en matière de résilience numérique ? Une réponse collective est-elle possible ? Focus sur la cyber vigilance au cœur des territoires.
Les communes, nouvelles cibles des cybercriminels
1 collectivité sur 10 déclare avoir déjà été victime d’une ou plusieurs cyberattaques au cours des douze derniers mois. Ce chiffre, issu de la troisième édition du baromètre de la maturité cyber des collectivités initié par Cybermalveillancegouv.fr (2), pose les bases : les communes sont des cibles de choix.
Véritables mines d’or en matière de données personnelles, elles représentent aussi pour les hackers l’opportunité de déstabiliser l’appareil étatique au niveau local. Hameçonnage, attaques par rançongiciels(3) ou par défiguration du site Internet(4)… peu importe la technique, les conséquences sont bien réelles.
Les incidents de sécurité informatique touchent les collectivités de multiples façons. 37 % d’entre eux paralysent les activités et les services(2), impactant directement la population. 24 % impliquent un vol ou une destruction de données(2), fragilisant la confiance des administrés – d’autant que ces informations sensibles, une fois revendues, ouvrent la porte à des attaques plus ciblées.
Le coût d’une cyberattaque est également loin d’être anodin. Dans son rapport sur les cybermenaces publié en juin 2025, la Cour des comptes avance des chiffres édifiants : l’acte de cyber malveillance dont a été victime la ville de Marseille en mars 2020 aurait coûté 960 000 euros à la Métropole Aix-Marseille-Provence ! Tandis que pour Bondy en novembre 2020, les dommages sont évalués à 1,5 million d’euros.
À ces coûts directs – restauration des systèmes d’information, sécurisation et remise en service – s’ajoutent d’autres charges plus difficiles à mesurer mais tout aussi lourdes : la perte de confiance des usagers ou encore l’impact psychologique sur les équipes.
Face à une attaque, c’est souvent la sidération. Et c’est précisément là que le niveau de préparation peut faire la différence. Si les grandes métropoles s’organisent, d’autres communes de taille plus modeste manquent cruellement d’outils techniques et humains. Sans toujours prendre la mesure de la menace…
Des moyens insuffisants pour faire face
Et si les collectivités avaient une mauvaise perception de leur vulnérabilité ? C’est un autre constat relevé par le baromètre de Cybermalveillance.gouv.fr. 44 % d’entre elles s’estiment faiblement exposés au risque. Un chiffre qui atteint même 47 % pour les communes de moins de 1 000 habitants(2).
Dans le même temps, 53 % d’entre elles estiment bénéficier d’un bon niveau de protection(2). Et c’est justement ce combo moyens limités/faible niveau de protection, dont profite les cybercriminels. Alors qu’elle représente un véritable enjeu pour le quotidien des administrés, la cybersécurité est encore perçue comme un sujet trop technique ou une préoccupation lointaine. La faute à un manque de culture cyber ?
Pourtant fondamentales en matière de résilience numérique, les formations et actions de sensibilisation à destination des agents de la fonction publique territoriale sont encore trop rares. Et par conséquent, les réflexes sont trop limités. Beaucoup de communes hésitent par exemple à porter plainte, ou même à communiquer par peur de nuire à leur image. Elles manquent aussi de ressources. Peu d’entre elles disposent de plans de continuité d’activité(5), ou de procédures de crise cyber.
Et pourtant. Comprendre la menace, s’y préparer et savoir la gérer, c’est aussi mettre toutes les chances de son côté pour y faire face le moment venu. Car la question n’est plus de savoir si une cyberattaque va avoir lieu, mais plutôt… quand va-t-elle avoir lieu ? Et lorsqu’elle survient, un autre aspect de la crise passe souvent à la trappe : c’est le volet humain.
Au-delà des conséquences techniques, financières et organisationnelles, l’impact psychologique pour les équipes peut être énorme. Jérôme Poggi, RSSI(6) de la ville de Marseille, a livré un témoignage saisissant quant à la cyber crise dont a été victime sa ville en mars 2020(7). En une fraction de seconde, ce sont 1 300 serveurs et 400 applications qui se qui sont retrouvés hors service. Une crise de 6 mois qui selon Jérôme Poggi a laissé de profonds impacts psychologiques sur lui et ses équipes, dont certains membres n’ont pas échappé au burn-out…
L’occasion de mettre en lumière le tabou du stress post-traumatique de la cyber malveillance. De véritables blessures invisibles, trop souvent minimisées, par manque de suivi psychologique.
Vers une « cyber protection » mutualiste des territoires ?
Face à des cyberattaques toujours plus nombreuses et sophistiquées, les communes ne sont pas non plus totalement dénuées de moyens. Elles peuvent compter sur un grand nombre de dispositifs. Cybermalveillance.gouv.fr a par exemple mis au point un programme de sensibilisation à destination des élus. L’objectif ? Accompagner les communes pour appréhender les risques encourus, partager les bonnes pratiques et les encourager à faire de la cybersécurité une priorité au sein de l’organisation.
Fiches, mémos, supports, kits et guides pratiques… une myriade d’outils de sensibilisation sont également à leur disposition. Mais est-ce suffisant ? En mars 2025, le Sénat a souhaité inscrire dans la loi « les modalités de soutien aux collectivités territoriales et à leurs groupements »(8). La résilience numérique territoriale se met donc en mouvement, et c’est une bonne nouvelle. Mais peut-être a-t-elle encore besoin d’être structurée à l’échelle nationale, comme le préconise le rapport de la Cour des comptes ?
Car si les collectivités ont besoin de moyens techniques, financiers et humains, elles doivent aussi avancer selon une ligne directrice claire. Ou la nécessité de bâtir une cyber solidarité des territoires. Pour que la sécurité numérique soit une mission de service public partagé. Une chaîne de solidarité cyber au sein de laquelle Aéma Groupe pourrait prendre toute sa part. Avec la résilience numérique comme pilier de sa culture d’entreprise, il serait un véritable relais de confiance pour sensibiliser les agents du secteur public, proposer un accompagnement post crise, et même faciliter la coopération entre tous les acteurs.
———
1. Selon l’Anssi et le ministère de l’Intérieur
2. Cette étude 2024 a été conduite par OpinionWay pour Cybermalveillance.gouv.fr du 26 août au 4 octobre en ligne (CAWI) auprès d’un échantillon de 1710 élus de collectivités / agents communaux en charge de l’informatique et de la sécurité des communes de moins de 25 000 habitants en France métropolitaine et dans les départements et régions d ’Outre-Mer.
3. Les rançongiciels sont des logiciels malveillants qui bloquent l’accès à des fichiers en les chiffrant. Une rançon est alors réclamée à la victime pour pouvoir y accéder de nouveau.
4. La défiguration est le signe visible qu’un site internet a été piraté.
5. Un plan de continuité d’activité (PCA) est une stratégie mise en place afin de réagir face à des risques identifiés.
6. Responsable de la Sécurité des Systèmes d’Information
7. Témoignage livré à l’occasion du colloque inédit sur les répercussions psychologiques des cyberattaques organisé en février 2024 par Aéma Groupe – avec le soutien de Cybermalveillance.gouv.fr et France Victimes.
8. Il s’agit du projet de loi en cours d’adoption devant transposer trois directives européennes sur la cybersécurité, dont NIS 2, qui impacte directement les collectivités.
