Aller au contenu

Sekost

Logo Sekost by YesWeHack - Bleu
Flash offert
Accueil Sécurité Comment protéger votre collectivité des cyberattaques ?

Comment protéger votre collectivité des cyberattaques ?

Les collectivités territoriales et les administrations publiques sont les organisations les plus ciblées par les cyberattaques en Europe, selon un rapport de la Cour des Comptes. Mairies, intercommunalités, départements, régions : aucune structure n’est épargnée par la cybercriminalité, quelle que soit sa taille.

La plupart des collectivités doivent sécuriser leurs systèmes et les données de leurs administrés avec peu de moyens à accorder à la cybersécurité. Aujourd’hui, la question n’est pas de savoir si votre collectivité est une cible, mais de réduire votre surface d’attaque avec un budget réduit pour limiter votre niveau d’exposition aux cybermenaces.

Une femme consulte son ordinateur pour stopper la cyberattaque qui touche sa collectivité.
Une cyberattaque peut perturber durablement les services de votre collectivité.

Dans cet article, vous découvrirez :

  • l’état de la menace qui pèse sur votre collectivité,
  • pourquoi les attaquants ciblent les collectivités,
  • quels sont les différents profils d’attaquants et leurs motivations,
  • quels sont les modes opératoires par les cybercriminels,
  • les obligations réglementaires cyber qui s’appliquent à votre collectivité,
  • les mesures concrètes à mettre en place pour vous protéger.

1. Les collectivités sous le feu des cyberattaques

1.1 Un niveau de cybermenace très élevé

En 2025, les ministères et collectivités territoriales représentaient 24 % des incidents traités par l’ANSSI selon le Panorama de la cybermenace 2025.

À l’échelle nationale, 1 collectivité sur 10 a déclaré avoir subi une attaque en 2025, selon le groupement d’intérêt public Acyma, responsable de la cellule Cybermalveillance.gouv.fr.

Le dispositif 17Cyber, chargé de recueillir les demandes d’assistance en cas d’acte cybermalveillant, indique que les demandes provenant des collectivités et administrations ont progressé de +22 % en 2025.

Seulement 14 % des collectivités se déclarent bien préparées pour faire face à une cyberattaque.

La réalité du terrain est donc préoccupante : la cybercriminalité est en plein essor, et les collectivités sont en première ligne. Pourtant, la majorité d’entre elles n’ont pas encore les moyens de faire face aux cybermenaces.

1.2 Pourquoi les collectivités sont-elles des cibles privilégiées ?

Les collectivités cumulent plusieurs caractéristiques qui en font des cibles particulièrement attractives pour les cybercriminels. 

Vous hébergez des données sensibles, en grande quantité : état civil, données sociales, fiscales, coordonnées postales et téléphoniques…  Votre collectivité détient des données qui attisent la convoitise des cybercriminels. Ces informations peuvent être revendues sur le marché noir, utilisées pour réaliser des fraudes, ou encore exploitées pour usurper l’identité de vos administrés.

Par ailleurs, les systèmes informatiques des collectivités sont perçus comme faciles à attaquer car ils sont souvent fragmentés et vieillissants. La numérisation des services publics élargit la surface d’exposition. 

Un autre facteur est lié au fait qu’elles disposent de moyens limités : 77 % des collectivités dépensent moins de 2 000 € par an pour leur cybersécurité. D’autre part, la gestion des systèmes informatiques est souvent externalisée. Or les attaquants ciblent les prestataires pour atteindre leurs cibles : en 2025, 35 % des cyberattaques visant les organisations françaises ont été rendues possibles par la compromission d’un tiers, selon le baromètre CESIN 2026.

Par exemple, en octobre 2025, une faille de la plateforme Synbird (utilisée pour la prise de rendez-vous d’état civil) a été exploitée par des cybercriminels, provoquant une fuite de données au sein de 1 300 communes françaises. Enfin, les collectivités sont une cible symbolique et politique. Elles sont régulièrement visées par des cyberattaques véhiculant un message politique ou cherchant à impacter la confiance des citoyens envers leurs élus.

1.3 Qui sont les attaquants qui visent les collectivités ?

La plupart des cybercriminels sont motivés par l’appât du gain. Leurs actions sont souvent opportunistes : ils cherchent les organisations les plus faciles à compromettre, et s’en prennent ainsi aux collectivités. Leur objectif est purement financier, quel que soit le mode opératoire adopté.

Cependant, il existe également des groupes hacktivistes politiques : ils s’appuient sur des attaques par déni de service (DDoS) pour rendre indisponible les services en ligne des collectivités, ainsi que sur les défacements pour modifier le contenu de leur site web afin de transmettre un message politique. Le soutien de la France à l’Ukraine a déclenché plusieurs vagues d’attaques ciblant directement des collectivités françaises. Les 31 décembre 2024 et 1er janvier 2025, les sites internet de plus de 20 villes et départements (dont Marseille, Bordeaux, Nantes, la Haute-Garonne et les Landes) ont été rendus inaccessibles par un groupe pro-russe. 

Les acteurs étatiques ciblent également les infrastructures critiques gérées par les collectivités : réseaux d’eau, systèmes de gestion des déchets, infrastructures énergétiques locales… L’objectif n’est pas financier : certains États étrangers collectent des renseignements et mènent des actions de sabotage.

2. Comment les collectivités sont-elles attaquées ?

2.1 Les principaux modes opératoires

Plusieurs études permettent de documenter la menace qui pèse sur les collectivités. Le baromètre CESIN identifie les vecteurs d’attaque les plus utilisés contre les organisations françaises en général. Le Rapport d’activité 2025 de Cybermalveillance.gouv.fr établit encore plus précisément les modes opératoires des cybercriminels qui ciblent les collectivités.

  1. Le piratage de compte est le premier mode opératoire utilisé par les acteurs malveillants. Il représente 20 % des demandes d’assistance émises par les collectivités et administrations. Dans ce cas de figure, l’attaquant parvient à prendre le contrôle du compte d’un agent ou d’un élu.
    L’usurpation de compte est généralement rendue possible par une tentative de phishing réussie ou par l’exploitation d’une vulnérabilité non corrigée dans les systèmes de la collectivité. Une fois un compte compromis, l’attaquant dispose d’un point d’entrée pour exfiltrer des données sensibles.
  2. Le phishing arrive en seconde position et est à l’origine de 19 % des demandes d’assistance. Il s’agit d’emails frauduleux imitant un fournisseur, une administration ou un partenaire, dans le but de tromper un agent pour qu’il divulgue ses identifiants ou télécharge un fichier malveillant. Simple à mettre en œuvre, il s’agit d’une technique très répandue.
  3. Le rançongiciel complète le podium, avec 13 % des demandes d’assistance. Ce logiciel malveillant chiffre l’ensemble des données de la collectivité, paralysant ainsi tous ses services en ligne. Les attaquants se manifestent alors et exigent le paiement d’une rançon.
  4. La fraude au virement est en très forte progression (+262 % en 2025). Le cybercriminel se fait passer pour un fournisseur, un partenaire ou un dirigeant afin de convaincre un agent de réaliser à son insu un virement vers un compte bancaire frauduleux. Il peut par exemple s’agir d’un email imitant un prestataire habituel demandant de mettre à jour ses coordonnées bancaires. L’argent envoyé est rarement récupérable.
  5. La violation de données représente 7,7 % des demandes d’assistance. Les données personnelles des administrés sont exfiltrées puis revendues sur des forums cybercriminels, ce qui engage la responsabilité RGPD de votre collectivité et affecte sa réputation.
  6. Le cyberharcèlement a progressé de +209 % en 2025 pour les collectivités et administrations. Il cible directement les élus : selon l’Observatoire de la démocratie de proximité, 28 % des maires déclarent avoir été victimes de cybermalveillance, sous forme de menaces, d’usurpations d’identité ou de campagnes de désinformation sur les réseaux sociaux.

2.2 Quelles conséquences pour les collectivités ?

Beaucoup d’attaques aboutissent à une interruption des services publics. Demandes d’état civil, de logement social, inscriptions scolaires… quand le système d’information est affecté, les démarches en ligne sont souvent rendues inaccessibles. Une collectivité française compromise par rançongiciel peut mettre plusieurs mois avant de retrouver un fonctionnement normal.

Une autre conséquence fréquente réside dans la fuite des données des administrés, qui engage directement la responsabilité juridique. Votre collectivité est tenue de notifier la CNIL sous 72 heures en cas de violation de données personnelles. Les personnes dont les données ont fuité sont susceptibles d’être ciblées par des arnaques exploitant les informations dérobées.

Malheureusement, la plupart des attaques engendrent des coûts importants. La remise en service du système d’information mobilise des prestataires spécialisés, et consomme du temps et des budgets que peu de collectivités ont provisionnés. À cela s’ajoutent des frais juridiques, des coûts liés à la communication de crise, ou encore d’éventuelles amendes du régulateur.

Enfin, la perte de confiance des administrés est une autre forme de conséquence. Une cyberattaque fragilise le lien entre la collectivité et ses citoyens. La crédibilité de l’institution et de ses élus est affectée, parfois durablement.

3. Comment protéger ma collectivité des cyberattaques ?

3.1 Les réglementations cyber applicables aux collectivités

La cybersécurité des collectivités et de leurs administrés est structurée autour de trois principaux cadres réglementaires. Il y a d’abord le RGPD, qui s’applique à toute collectivité traitant des données personnelles. Il vous impose de protéger les données de vos administrés, de limiter leur accès aux seules personnes habilitées, et de réagir rapidement en cas d’incident. Toute violation de données personnelles doit être signalée à la CNIL dans un délai de 72 heures. En cas de manquement, la responsabilité de votre collectivité peut être engagée.

Le Référentiel Général de Sécurité (RGS) est un autre cadre spécifique aux administrations publiques françaises, fixé par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Il s’applique à l’ensemble des téléservices et des échanges numériques avec les usagers et les partenaires institutionnels. Le RGS définit des règles de sécurité à respecter, notamment en matière d’authentification des utilisateurs, de signature électronique, de chiffrement des données ou encore de gestion des certificats numériques.

Enfin, la directive NIS2 concerne environ 1 500 collectivités françaises : régions, départements, métropoles et intercommunalités. Les communes de moins de 30 000 habitants rattachées à une intercommunalité sont directement concernées. L’adoption définitive de la directive est attendue en juillet 2026. Les obligations principales portent sur la gestion des risques cyber : identification des vulnérabilités, sécurisation de la chaîne d’approvisionnement, élaboration d’un plan de continuité d’activité… Cette démarche globale engage directement la responsabilité des élus.

3.2 10 bonnes pratiques pour renforcer la sécurité de votre collectivité

L’ANSSI a récemment publié une feuille de route de la sécurité numérique de l’État 2026-2027. Bien que celle-ci s’adresse principalement aux ministères et aux établissements publics de l’État sous leur tutelle, elle est facilement transposable aux collectivités. Elle se résume à 10 bonnes pratiques :

  1. Définissez une gouvernance de la cybersécurité. Désignez un référent pour la cybersécurité au sein de votre collectivité. Élaborez une feuille de route fixant des objectifs atteignables et un plan d’action pour renforcer votre niveau de cybersécurité.
  2. Cartographiez vos actifs numériques. Recensez l’ensemble de vos services en ligne afin d’identifier le périmètre à sécuriser. Identifiez vos actifs les plus critiques afin de prioriser vos efforts.
  3. Maîtrisez votre chaîne d’approvisionnement. Vérifiez le niveau de sécurité de vos fournisseurs et prestataires informatiques. Contractualisez vos exigences auprès de vos prestataires et définissez une politique de contrôle de la chaîne d’approvisionnement.
  4. Corrigez vos vulnérabilités. Réalisez des audits de sécurité à l’aide d’outils comme Sekost pour identifier vos failles.Appliquez les correctifs de sécurité pour réduire votre surface d’attaque.
  5. Sécurisez vos services exposés sur Internet. Identifiez l’ensemble des services accessibles depuis l’extérieur : site web, messagerie, portail famille, outils de gestion. Là encore, appuyez-vous sur des outils de diagnostic comme ceux proposés par Sekost pour obtenir cette cartographie à distance.
  6. Renforcez l’authentification et la gestion des accès. Activez l’authentification multifacteur sur tous vos comptes sensibles pour vérifier l’identité des utilisateurs à l’origine des demandes de connexion. Supprimez les comptes inutilisés. Vérifiez régulièrement qui a accès à quoi dans votre organisation.
  7. Sécurisez l’administration de vos systèmes. Réservez des postes dédiés aux administrateurs, distincts de ceux utilisés au quotidien. Vérifiez régulièrement leurs droits d’accès et révoquez ceux qui ne sont plus nécessaires.
  8. Dotez-vous d’une capacité de détection et de réponse aux incidents. Déployez un outil de détection des menaces sur vos postes et serveurs. Identifiez à l’avance votre CSIRT territorial, premier interlocuteur en cas d’attaque. Définissez à l’avance la marche à suivre en cas d’incident.
  9. Intégrez la cybersécurité dans votre plan de reprise d’activité. Testez vos sauvegardes régulièrement et vérifiez qu’elles sont déconnectées du réseau. Testez votre plan de reprise au moins une fois par an. Prévoyez un mode de fonctionnement dégradé pour maintenir vos services essentiels en cas d’attaque.
  10. Préparez la transition vers la cryptographie post-quantique. Identifiez vos données les plus sensibles et les systèmes qui les protègent. Planifiez leur migration vers des algorithmes résistants aux futures capacités de calcul quantique, qui rendront obsolètes les mécanismes de chiffrement actuels à horizon 2030. 

Conclusion

La cybersécurité n’est pas un sujet réservé aux directions informatiques des grandes métropoles. Elle concerne toutes les collectivités, quelle que soit leur taille, et engage directement la continuité du service public ainsi que la responsabilité des élus.

Face à l’essor de la cybercriminalité, l’attentisme n’est plus une option. Priorisez vos actions en privilégiant des mesures efficaces et peu coûteuses. Commencez par identifier les failles de vos systèmes existants et corrigez vos vulnérabilités pour réduire votre surface d’attaque.

une jauge graduée du vert au rouge foncé qui point vers le rouge clair

Besoin d’un audit cyber ?

Notre équipe identifie les failles avant les attaquants. 100% à distance, sans rien installer.

Demander un audit gratuit