Cybersécurité
Créer une illustration vectorielle moderne pour la section glossaire d’un site appelé Numérique360, au format paysage 1280 × 800 px. Thème : « Cybersécurité ». Style graphique : illustration éditoriale pédagogique, moderne, simple et lisible, proche d’un style institutionnel numérique. Utiliser des formes arrondies, des personnages vectoriels, des aplats de couleur, peu de détails, fond clair et composition équilibrée. Palette : fond blanc ou gris très clair, rouge vif comme couleur principal
Qu'est-ce que la cybersécurité pour les collectivités ?
La cybersécurité désigne l'ensemble des moyens humains, techniques, organisationnels et juridiques permettant de protéger les systèmes informatiques, les réseaux, les logiciels et les données contre les attaques numériques. Ces enjeux concernent autant les collectivités que les entreprises, qui doivent toutes deux faire face à des menaces croissantes et diversifiées.
Pour une collectivité, la cybersécurité consiste à garantir que les services numériques restent disponibles, que les données des habitants sont protégées et que les agents peuvent continuer à travailler même en cas d'incident. Elle concerne aussi bien l'état civil, les finances, les écoles, les services sociaux, l'urbanisme, les portails citoyens, la messagerie, les sauvegardes, les logiciels métiers ou les équipements connectés du territoire. À ce titre, il est essentiel de sécuriser les réseaux d'objets connectés déployés sur le territoire.
La cybersécurité ne se limite pas à installer un antivirus. Elle implique une organisation complète : identifier les risques, protéger les accès, former les agents, sauvegarder les données, superviser les incidents, préparer la continuité d'activité et savoir réagir en cas d'attaque. L'adoption de bonnes pratiques au quotidien constitue le socle de toute démarche de protection efficace.
Pour les collectivités, l'enjeu est particulièrement sensible car une cyberattaque peut empêcher la délivrance de documents administratifs, bloquer la facturation, interrompre un portail famille, perturber la paie, rendre indisponibles les services de communication ou exposer des informations personnelles. L'ANSSI indique qu'en 2024, elle a traité 218 incidents cyber affectant des collectivités territoriales, soit une moyenne de 18 incidents par mois.
Cybermalveillance.gouv.fr a conçu, en partenariat avec l'Association des maires de France, une méthode « clé en main » pour sensibiliser l'ensemble des agents aux risques cyber. Cette démarche pédagogique repose sur quatre thématiques essentielles et permet à chaque collectivité de s'approprier les bonnes pratiques selon ses besoins, sa taille et ses moyens. Parce que les cyberattaques exploitent souvent les erreurs humaines, former régulièrement les équipes constitue une action déterminante pour renforcer la sécurité informatique de la collectivité.
Aspects techniques : réseaux, technologies et protection
Les trois piliers : confidentialité, intégrité, disponibilité
D'un point de vue technique, la cybersécurité repose sur la protection du système d'information : postes de travail, serveurs, applications, bases de données, réseaux, comptes utilisateurs, accès distants, solutions cloud, équipements connectés et sauvegardes. L'objectif est de préserver trois propriétés essentielles : la confidentialité, l'intégrité et la disponibilité des données.
La confidentialité signifie que seules les personnes autorisées peuvent accéder aux informations sensibles (dossiers RH, données d'état civil, informations sociales, listes électorales, données financières). L'intégrité garantit que les données ne sont pas modifiées, supprimées ou altérées de manière non autorisée ; une attaque pourrait, par exemple, modifier un fichier de paiement ou supprimer des documents administratifs. La disponibilité signifie que les systèmes doivent rester accessibles lorsque les agents et les usagers en ont besoin ; les attaques par rançongiciel ou par déni de service visent justement à rendre les systèmes inutilisables.
Protections techniques et dimension humaine
Les protections techniques incluent l'authentification multifactorielle, la gestion des mots de passe forts, la segmentation des réseaux, les mises à jour de sécurité, les sauvegardes hors ligne ou isolées, le chiffrement, la supervision, les journaux d'événements, les pare-feux et la gestion des droits d'accès. La directive NIS 2 et les travaux de l'ANSSI insistent sur la gestion des risques, les mesures de sécurité, la notification d'incidents de cybersécurité et le renforcement de la résilience des organisations concernées.
La cybersécurité comprend aussi une dimension humaine essentielle. Les attaques par phishing (hameçonnage) exploitent souvent la confiance, l'urgence ou l'habitude des agents pour obtenir un mot de passe, déclencher un paiement frauduleux ou installer un logiciel malveillant. Cybermalveillance.gouv.fr met à disposition des ressources de prévention et d'assistance, notamment sur l'hameçonnage, le piratage de compte, les fuites de données ou les faux ordres de virement. La sensibilisation régulière des agents constitue ainsi un pilier déterminant de la protection, au même titre que les technologies de sécurité déployées.
Cadre juridique et réglementaire : RGPD, NIS 2 et cybermalveillance
Obligations réglementaires : RGPD et téléservices
Le RGPD constitue le socle réglementaire principal pour les collectivités. Il impose la protection des données personnelles à travers plusieurs obligations : sécurisation des accès, limitation des droits, conservation proportionnée, information des personnes, tenue d'un registre des traitements et notification des violations de données lorsque les conditions sont réunies. La CNIL rappelle que toutes les structures publiques doivent désigner un délégué à la protection des données.
Lorsqu'une collectivité propose des téléservices locaux (portail famille, démarche d'état civil en ligne, paiement dématérialisé), elle doit sécuriser l'authentification, les échanges et l'hébergement. Le guide CNIL–Cybermalveillance.gouv.fr précise les exigences relatives à l'identification, à l'authentification et à la signature électronique des usagers. La responsabilité des collectivités peut être engagée en cas de cyberattaque ou de dommage lié à une insuffisance de sécurité, sur le plan administratif, civil ou pénal.
Directive NIS 2 et accompagnement gouvernemental
La directive européenne NIS 2 vise à renforcer le cadre de cybersécurité des entités publiques et privées essentielles au fonctionnement de la société. L'ANSSI, agence nationale de la sécurité des systèmes d'information, indique que NIS 2 élargit fortement le périmètre de la réglementation cyber et concerne environ 15 000 entités en France, dont des collectivités gérant des infrastructures critiques (eau, déchets, mobilités, services numériques).
Depuis le 17 mars 2026, l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), document de travail listant les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS 2. Ce référentiel intègre un principe de proportionnalité selon lequel le niveau d'effort attendu est adapté à la maturité des entités.
Une cyberattaque peut empêcher l'accès à un service public local, désorganiser les agents et fragiliser la confiance dans l'administration, d'où l'importance de la continuité du service public. L'accompagnement gouvernemental s'appuie sur les délégués territoriaux de l'ANSSI et sur le dispositif 17Cyber, service d'assistance en ligne proposé par la Police nationale, la Gendarmerie nationale et Cybermalveillance.gouv.fr, destiné aux victimes de cybermalveillance dans le domaine de la cybersécurité.
Cas d'usage pour les collectivités
Sécurisation face au rançongiciel et réaction en cas d'incident
Une commune visée par un rançongiciel peut voir ses fichiers partagés chiffrés, ses logiciels métiers bloqués et ses postes de travail rendus indisponibles. L'ANSSI indique que 128 compromissions par rançongiciel ont été portées à sa connaissance en 2025, avec les collectivités parmi les cibles privilégiées. Les mesures de cybersécurité essentielles incluent les sauvegardes hors ligne, la segmentation du réseau, la mise à jour régulière des systèmes, la limitation des droits administrateurs et la préparation d'un plan de reprise d'activité.
Lorsqu'un agent constate un piratage de compte, un hameçonnage via e-mails frauduleux, une fuite de données ou une paralysie informatique, la collectivité doit qualifier l'incident rapidement. Le dispositif 17Cyber permet aux victimes de réaliser un diagnostic en ligne, de recevoir des recommandations adaptées et d'être orientées vers les forces de l'ordre si nécessaire.
Protection des portails et des données sensibles
Un portail famille traite des informations sur les enfants, les parents, les inscriptions, la restauration scolaire ou les paiements. Ces ressources numériques doivent être protégées contre les accès non autorisés, les erreurs de configuration et l'usurpation de compte. La cybersécurité du portail repose sur l'authentification des utilisateurs, la gestion des droits, la journalisation des accès, la sécurisation de l'hébergement et la maîtrise du prestataire.
Les centres communaux d'action sociale ou services solidarité traitent des données particulièrement sensibles. Une fuite ou une indisponibilité peut avoir des conséquences humaines, administratives et réputationnelles importantes. Les mesures essentielles portent sur la limitation stricte des accès, le chiffrement lorsque pertinent, la traçabilité, la sensibilisation des agents et la préparation d'une procédure de gestion d'incident.
Préparation à NIS 2 et mutualisation avec un OPSN
Une intercommunalité gérant des services numériques mutualisés, de l'eau, des déchets ou des plateformes de démarches en ligne peut être concernée par les obligations renforcées prévues par NIS 2. La directive impose un seuil de 30 000 habitants pour les communes, avec des critères sectoriels définis par décret. La préparation consiste à cartographier les systèmes, identifier les services critiques, évaluer les risques, formaliser la gouvernance cyber et vérifier les exigences imposées aux prestataires. L'ANSSI met à disposition le ReCyF pour guider les mesures recommandées.
Les OPSN, opérateurs publics de services numériques, accompagnent les collectivités par la mutualisation de services, d'expertise, d'hébergement et de compétences. La fédération Déclic recense 75 opérateurs répartis sur l'ensemble du territoire. Cette mutualisation permet de déployer des sauvegardes, des messageries sécurisées, des audits, des formations ou des solutions d'authentification à l'échelle territoriale.
Les petites communes n'ont pas toujours les moyens de recruter un responsable cybersécurité. Les OPSN, opérateurs publics de services numériques, accompagnent les collectivités par la mutualisation de services, d'expertise, d'hébergement et de compétences. La fédération Déclic recense 75 opérateurs répartis sur l'ensemble du territoire. Cette mutualisation permet de déployer des sauvegardes, des messageries sécurisées, des audits, des formations ou des solutions d'authentification à l'échelle territoriale.
| Situation | Menace principale | Actions clés |
|---|---|---|
| Mairie face au rançongiciel | Chiffrement des fichiers, blocage des logiciels | Sauvegardes hors ligne, segmentation réseau, plan de reprise |
| Portail famille | Accès non autorisés, usurpation de compte | Authentification forte, gestion des droits, journalisation |
| Données sociales sensibles | Fuite de données, indisponibilité | Limitation des accès, chiffrement, traçabilité, sensibilisation |
| Intercommunalité et NIS 2 | Non-conformité réglementaire | Cartographie systèmes, gouvernance cyber, ReCyF |
| Petite commune | Manque de moyens humains et financiers | Mutualisation via OPSN, services partagés |
| Incident cyber | Paralysie informatique, hameçonnage | Dispositif 17Cyber, diagnostic en ligne, notification autorités |