Cybersécurité en collectivité : menaces et solutions
Cyberattaques contre les mairies, phishing DGFIP, obligations NIS2 : ce que chaque collectivité territoriale doit savoir pour se protéger efficacement.
En février 2021, l’hôpital de Dax était paralysé pendant plusieurs mois par un rançongiciel. En janvier 2021, la métropole d’Angers subissait une attaque qui affectait les services numériques de la ville et de l’intercommunalité. La même année, en février, Chalon-sur-Saône voyait ses données publiées sur le dark web par le groupe Pysa. En 2022, c’était la mairie de Caen. Ces incidents ne sont pas des accidents isolés : l’ANSSI classe le secteur des collectivités territoriales parmi les trois secteurs les plus ciblés en France depuis plusieurs années consécutives (Panorama de la cybermenace 2024, ANSSI, cyber.gouv.fr).
Pourtant, la grande majorité des 35 000 communes françaises ne dispose ni d’un responsable sécurité à plein temps, ni d’un budget informatique suffisant, ni d’un programme de formation de leurs agents. Le directeur général des services d’une ville de 15 000 habitants, l’élu délégué au numérique d’un département, le responsable informatique d’une communauté de communes : chacun d’eux se retrouve face à des menaces professionnelles avec des moyens artisanaux.
Cet article leur est destiné. Il décrit les attaques réelles qui ont touché des collectivités françaises, explique pourquoi les communes sont des cibles de choix, détaille ce que NIS2 change concrètement, et présente des solutions adaptées aux budgets du service public.
Pourquoi les collectivités sont des cibles de premier plan
Il faut dissiper une illusion répandue dans les mairies : « Nous ne sommes pas une banque, nous n’intéressons pas les hackers. » Cette conviction est précisément ce qui rend les collectivités vulnérables.
Des bases de données d’une valeur considérable
Une mairie, même de taille modeste, gère une accumulation de données sensibles : état civil (naissances, mariages, décès), listes électorales, dossiers d’aide sociale, fichiers de paie des agents, données cadastrales, historiques de paiement des prestations municipales (cantine, périscolaire, piscine). Une commune de 20 000 habitants détient potentiellement les données personnelles de l’intégralité de sa population, plus celles des agents et prestataires.
Ces données ont une valeur marchande sur les marchés du dark web. Un dossier d’état civil complet (identité, adresse, date de naissance, situation familiale) permet l’usurpation d’identité. Les fichiers de paie contiennent numéros de sécurité sociale et coordonnées bancaires. Les données électorales permettent le ciblage politique. Les groupes cybercriminels ne font pas de distinction entre un fichier de grande entreprise et un fichier municipal.
Un budget informatique structurellement insuffisant
Selon les données de l’Observatoire des finances et de la gestion publique locales, les dépenses informatiques représentent en moyenne moins de 1 % du budget de fonctionnement des collectivités françaises. À titre de comparaison, les référentiels de sécurité sectoriels recommandent généralement un minimum de 5 à 10 % du budget global pour les organisations traitant des données sensibles.
Concrètement, une ville de 15 000 habitants avec un budget de fonctionnement de 15 millions d’euros consacre environ 100 000 à 150 000 euros à son informatique. Sur cette somme, la maintenance courante (licences, matériel, support des éditeurs de logiciels métier) absorbe la quasi-totalité du budget. Il ne reste presque rien pour la sécurité.
Ce sous-investissement chronique se traduit par des postes sous Windows 10 non mis à jour, des logiciels métier (état civil, finances, RH) développés pour des systèmes obsolètes, des sauvegardes non testées, et une absence quasi totale d’outils de détection d’intrusion.
Une visibilité politique recherchée par certains attaquants
Parallèlement aux groupes à motivation financière, les collectivités subissent aussi des attaques de groupes hacktivistes ou étatiques qui recherchent la visibilité médiatique. Mettre hors service le site web d’une mairie ou dérober les données des élus constitue un acte politique qui intéresse des acteurs bien différents des groupes de rançongiciels classiques.
Les périodes électorales (municipales, législatives, européennes) voient une recrudescence des attaques ciblant les collectivités. La vulnérabilité des systèmes électoraux, même partiellement, constitue un enjeu de souveraineté que l’ANSSI et le ministère de l’Intérieur surveillent de près.
Des agents sans formation face à des attaquants professionnels
Un agent de l’état civil qui traite cent actes par jour, une assistante de direction qui gère les agendas des élus, un comptable qui valide des mandats de paiement : ces agents sont les cibles directes du phishing. Leur quotidien est fait de documents officiels, de circulaires, de notifications préfectorales. Un email frauduleux qui imite parfaitement une communication de la Direction Générale des Finances Publiques (DGFiP) ou une notification de la préfecture s’insère naturellement dans leur flux de travail.
Selon le rapport Proofpoint State of the Phish 2025, un employé sur trois clique sur un lien de phishing sans formation préalable. Dans une mairie de 50 agents, cela représente plus de quinze points d’entrée potentiels. Pour une analyse des taux de clic par secteur : Phishing en entreprise : statistiques 2026.
Les cyberattaques qui ont frappé des collectivités françaises
Ces incidents sont documentés dans les rapports de l’ANSSI, les communications officielles des collectivités concernées, et la presse spécialisée.
Métropole d’Angers — 2021 : une métropole paralysée en plein hiver
En janvier 2021, la métropole d’Angers Métropole et la ville d’Angers ont subi une attaque par rançongiciel qui a paralysé une partie significative de leurs systèmes informatiques. L’attaque a affecté les serveurs de la mairie et de la métropole, perturbant l’accès à plusieurs services en ligne.
La communication officielle est restée prudente sur les détails techniques, mais la perturbation des services aux administrés a été réelle pendant plusieurs semaines. L’incident illustre la vulnérabilité des intercommunalités, dont les systèmes d’information sont souvent plus étendus et plus complexes que ceux d’une commune isolée.
Chalon-sur-Saône — 2021 : les données des administrés exposées
La ville de Chalon-sur-Saône a été touchée en février 2021 par une attaque informatique qui a compromis une partie de son système d’information. Le groupe cybercriminel Pysa (également connu sous le nom Mespinoza) a revendiqué l’attaque et publié des données volées sur le dark web, incluant des documents administratifs et des informations sur des agents.
Ce cas illustre la stratégie de double extorsion devenue standard : les attaquants chiffrent les données et menacent simultanément de les publier si la rançon n’est pas payée. La ville de Chalon, comme la quasi-totalité des collectivités françaises qui refusent de payer (position recommandée par l’ANSSI), a subi la publication des données.
Mairie de Caen — 2022 : plusieurs semaines de perturbations
La mairie de Caen (110 000 habitants) a subi en novembre 2022 une cyberattaque qui a touché son système d’information municipal. Les services numériques aux administrés ont été perturbés pendant plusieurs semaines. La collectivité a fait appel à l’ANSSI et à des prestataires spécialisés pour la remédiation.
La taille de Caen est significative : si une ville de cette envergure, avec des ressources informatiques plus importantes que la moyenne, peut être touchée durablement, l’exposition des petites communes est encore plus grande.
Hôpital de Dax — février 2021 : la collectivité publique face au ransomware
Bien qu’un hôpital ne soit pas une collectivité territoriale au sens strict, l’attaque contre le centre hospitalier de Dax illustre un phénomène directement applicable aux mairies : les structures publiques locales sous-financées en informatique sont des cibles de choix. L’hôpital de Dax a mis plusieurs mois à reconstruire son système d’information après le rançongiciel, en partie parce que les sauvegardes elles-mêmes avaient été compromises.
Pour une analyse détaillée des cyberattaques contre les établissements publics de santé : Cyberattaques sur les hôpitaux français : un bilan.
Collectivités rurales : les invisibles de la statistique
Une réalité moins documentée : les petites communes (moins de 3 500 habitants) subissent des attaques qui ne font jamais les manchettes. Une défiguration du site web municipal, une prise de contrôle de la messagerie du maire, un ransomware sur les deux postes du secrétariat : ces incidents sont traités en interne, souvent sans appel aux autorités, et n’alimentent aucune statistique officielle.
Cybermalveillance.gouv.fr, la plateforme nationale d’assistance aux victimes de cyberattaques, a traité plusieurs milliers de demandes provenant de collectivités territoriales depuis sa création. La grande majorité concerne des communes de moins de 10 000 habitants.
Le phishing ciblant les agents municipaux : modes opératoires
Le phishing contre les collectivités ne ressemble pas aux emails génériques sur les « prix gagnés » ou les « virements de princes nigérians ». Il est ciblé, contextuel, et exploite la réalité administrative des agents.
Les faux emails DGFiP
La Direction Générale des Finances Publiques est l’interlocuteur quotidien des services financiers des collectivités. Les attaquants imitent les notifications DGFiP : avis de mise à jour du portail Chorus Pro, demande de validation de mandats, notification de modification des procédures de virement. Ces emails reproduisent fidèlement la charte graphique officielle et utilisent des domaines qui ressemblent à ceux de l’administration (dgfip-services.fr, chorus-pro-notification.fr).
Un agent comptable habitué aux emails DGFiP légitimes devra exercer une vigilance très fine pour détecter la fraude — d’autant que les attaquants synchronisent parfois leurs campagnes avec de vraies communications DGFiP pour augmenter la confusion.
Pour comprendre comment vérifier l’origine d’un email suspect : Tracer l’origine d’un email suspect : analyse des en-têtes.
Les faux courriers préfectoraux
Les préfectures communiquent régulièrement avec les mairies : contrôle de légalité, demandes de documents, notifications de subventions, circulaires réglementaires. Les attaquants imitent ces communications pour inciter les agents à cliquer sur un lien (« télécharger la circulaire »), ouvrir une pièce jointe (« rapport de contrôle à valider »), ou saisir leurs identifiants (« accès sécurisé à la plateforme préfectorale »).
Les fraudes aux virements lors des changements budgétaires
En début d’exercice budgétaire, lors des votes du budget primitif, ou en période de versement des subventions d’équipement, les services financiers des collectivités reçoivent de nombreuses communications sur les flux financiers. Les attaquants exploitent ces moments pour glisser de faux ordres de virement, des demandes de changement de coordonnées bancaires de fournisseurs (fraude au faux RIB), ou des demandes d’avance urgente.
La fraude au faux virement dans le secteur public fonctionne sur le même mécanisme que dans le privé. Pour le détail de ce type d’attaque : Arnaque au changement de RIB.
Les périodes électorales, fenêtre d’opportunité
Les élections municipales, régionales, législatives ou européennes génèrent une intensification des communications officielles : listes électorales à mettre à jour, procurations à enregistrer, résultats à transmettre. Les attaquants synchronisent leurs campagnes de phishing avec ces périodes pour exploiter l’urgence et le volume d’emails légitimes. L’ANSSI émet systématiquement des alertes à destination des mairies et préfectures avant chaque scrutin.
Le phishing interne par compromission de compte
Une variante particulièrement dangereuse : l’attaquant compromet d’abord le compte email d’un agent (par phishing classique), puis utilise ce compte pour envoyer des messages frauduleux en interne. Un email venant de « d.martin@mairie-example.fr » avec l’habituel fil de discussion RH ou comptabilité sera ouvert sans méfiance par les collègues.
Ce vecteur explique l’importance de la protection des comptes email par double authentification — si l’attaquant vole le mot de passe mais ne peut pas passer la deuxième vérification, la compromission est bloquée.
NIS2 et les collectivités territoriales : ce que dit la directive
La directive NIS2 (Directive (UE) 2022/2555, transposée en France en 2025) est souvent présentée comme une contrainte pour les entreprises. Elle concerne tout autant le secteur public.
Quelles collectivités sont dans le périmètre ?
La loi de transposition française a intégré les collectivités territoriales dans le périmètre NIS2 selon des critères de taille et de mission. Les catégories concernées incluent notamment :
Entités importantes : Les régions, départements, et communes ou intercommunalités de plus de 30 000 habitants, ainsi que les syndicats mixtes qui gèrent des services critiques (eau, assainissement, énergie, transports).
Entités essentielles : Les collectivités qui opèrent directement des services de distribution d’eau potable, de traitement des eaux usées, de gestion des déchets, ou des réseaux de transport public de voyageurs peuvent être qualifiées d’entités essentielles si leur taille et leur caractère critique le justifient.
Pour savoir si votre structure est dans le périmètre, l’outil d’auto-diagnostic de l’ANSSI et notre guide NIS2 fournissent une grille d’évaluation en quelques questions.
Quelles obligations concrètes ?
Pour les collectivités dans le périmètre NIS2, les obligations de l’article 21 se traduisent en mesures opérationnelles :
| Obligation NIS2 | Traduction concrète pour une collectivité |
|---|---|
| Politique de sécurité des SI | Document formel approuvé par l’assemblée délibérante |
| Gestion des incidents | Procédure de déclaration à l’ANSSI sous 24h |
| Continuité d’activité | Plan de reprise après sinistre cyber testé annuellement |
| Sécurité de la chaîne d’approvisionnement | Clauses cyber dans les marchés publics informatiques |
| Formation du personnel | Programme de sensibilisation documenté et mesurable |
| Authentification multifacteur | MFA déployé sur toutes les connexions distantes et les comptes à privilèges |
La responsabilité de l’élu. L’article 20 de NIS2 impose que les mesures de gestion des risques soient approuvées par les « organes de direction ». Pour une collectivité, cela signifie que le conseil municipal ou communautaire doit formellement adopter une politique de cybersécurité, et que le maire ou président assume une responsabilité personnelle de supervision. L’ignorance ne sera plus une défense recevable en cas d’incident.
Les sanctions
Pour les entités importantes (la majorité des collectivités dans le périmètre), les sanctions administratives peuvent atteindre 7 millions d’euros ou 1,4 % du budget annuel. Pour les entités essentielles, le plafond monte à 10 millions d’euros ou 2 % du budget.
Ces montants semblent abstraits face aux budgets limités des collectivités. Mais les sanctions financières ne sont pas le risque principal : c’est l’obligation de remédiation sous contrôle de l’ANSSI, et la mise en cause potentielle de la responsabilité personnelle des élus, qui constituent les enjeux les plus concrets.
Pour une analyse complète du cadre NIS2 : NIS2 : votre PME est-elle concernée ? — les critères présentés dans cet article s’appliquent également aux collectivités.
Solutions pratiques pour les collectivités à budget limité
La bonne nouvelle : les mesures qui ont le plus d’impact ne sont pas nécessairement les plus coûteuses. Voici un plan d’action structuré par priorité.
Priorité 1 : Sécuriser les identifiants avec le double facteur
Pourquoi c’est prioritaire. La grande majorité des compromissions de collectivités commence par le vol d’identifiants d’un agent. Un email de phishing réussit, l’agent saisit son mot de passe sur une fausse page, l’attaquant a accès à la messagerie et au réseau. Si le compte est protégé par une double authentification (envoi d’un code par SMS ou application), le mot de passe volé est inutilisable.
Comment le faire. Les suites bureautiques utilisées par la majorité des collectivités (Microsoft 365 via les marchés publics, ou Oodrive, ou les solutions souveraines Nextcloud) intègrent le MFA sans coût supplémentaire. Un guide de déploiement est disponible sur le site de l’ANSSI (cyber.gouv.fr). Le déploiement pour une collectivité de 20 à 50 agents prend moins d’une journée de travail pour un responsable informatique.
Priorité 2 : Protéger le domaine email
Le problème. Sans configuration correcte des enregistrements SPF, DKIM et DMARC, n’importe qui peut envoyer un email en se faisant passer pour « secretariat@mairie-votrecommune.fr ». Les attaquants exploitent cette faille pour lancer des campagnes de phishing crédibles au nom de la mairie elle-même — touchant à la fois les agents et les administrés.
La solution. La configuration de ces trois protocoles est gratuite et ne nécessite qu’un accès à la gestion DNS du domaine. Elle se fait en quelques heures. Pour tester la configuration actuelle de votre domaine : test de sécurité email.
Priorité 3 : Former les agents par la simulation
Les chiffres. Selon les données KnowBe4 Phishing by Industry Benchmarking Report 2024, le taux de clic initial sur un email de phishing simulé dans le secteur public est d’environ 33 %. Après 12 mois de programme structuré de simulation et micro-formation, ce taux descend généralement en dessous de 5 %.
Ce n’est pas un chiffre théorique. C’est la différence entre une collectivité où un agent sur trois clique sur chaque phishing reçu, et une collectivité où moins d’un agent sur vingt commet l’erreur.
Comment le faire en pratique. Les solutions de simulation de phishing adaptées aux collectivités (y compris avec des scénarios imitant DGFiP, préfecture, Ameli) sont disponibles à partir de quelques dizaines d’euros par agent par an. Certains éditeurs proposent des tarifs spéciaux secteur public, et des groupements de commandes régionaux permettent la mutualisation.
Pour un guide complet sur la mise en place d’un programme de simulation : Guide de la simulation de phishing en entreprise 2026.
Pour comprendre comment structurer la formation au-delà de la seule simulation : Guide de formation cybersécurité pour les employés.
Priorité 4 : Sauvegardes déconnectées et plan de reprise
La leçon de Dax. L’hôpital de Dax a mis plusieurs mois à reconstruire son SI parce que ses sauvegardes étaient connectées au réseau — et donc chiffrées en même temps que les données de production. Une règle simple : au moins une copie de sauvegarde doit être physiquement déconnectée du réseau (bande magnétique dans un coffre, disque externe débranché, copie dans un datacenter accessible uniquement en lecture depuis un compte séparé).
Pour une petite commune. La règle 3-2-1 (trois copies, deux supports différents, une hors ligne) est accessible sans budget important. Un NAS réservé à la sauvegarde avec une copie hebdomadaire sur un support externe stocké dans un lieu différent du serveur principal coûte quelques centaines d’euros par an.
Priorité 5 : S’appuyer sur les ressources gratuites de l’ANSSI
L’ANSSI propose gratuitement plusieurs outils et ressources spécifiquement adaptés aux collectivités :
- MonAideCyber : outil d’auto-évaluation de la maturité cyber, avec accompagnement par des référents locaux (cyber.gouv.fr)
- Diagnostics cyber de premier niveau : pour les collectivités sans ressources internes
- Les guides sectoriels : notamment le guide « Cybersécurité pour les collectivités territoriales »
- Cybermalveillance.gouv.fr : assistance en cas d’incident, mise en relation avec des prestataires qualifiés PRIS
Ces ressources permettent à une commune de 2 000 habitants d’engager une démarche structurée sans budget initial.
Le coût d’une cyberattaque sur une collectivité
Les collectivités territoriales, comme les entreprises, sous-estiment le coût réel d’un incident cyber.
Coûts directs
Remédiation technique. Reconstruire un système d’information après un rançongiciel coûte entre 50 000 et plusieurs centaines de milliers d’euros selon la taille de la collectivité. Pour les communes de petite taille, ce montant peut représenter plusieurs années de budget informatique.
Perte de données. Si les sauvegardes sont compromises ou insuffisantes, certaines données (historiques d’état civil, archives comptables) peuvent être perdues définitivement — avec des conséquences juridiques et administratives graves.
Coûts indirects
Interruption des services aux administrés. Une mairie qui perd son système d’état civil ne peut plus délivrer de certificats de naissance, d’actes de mariage ou de décès. Pour des citoyens en attente d’une succession, d’une naturalisation ou d’un mariage, chaque jour de retard a des conséquences concrètes.
Atteinte à la confiance des administrés. La publication de données personnelles d’administrés sur le dark web — avec leur adresse, leur situation familiale, leurs dossiers d’aide sociale — constitue une atteinte grave à la confiance dans les institutions locales. La communication de crise est coûteuse, et la réputation d’une commune met du temps à se reconstruire.
Sanctions RGPD et NIS2. Une collectivité qui n’a pas mis en place les mesures de sécurité adaptées (article 32 du RGPD) et qui subit une violation de données personnelles peut être sanctionnée par la CNIL. Les collectivités dans le périmètre NIS2 qui n’ont pas respecté leurs obligations de sécurité sont exposées aux sanctions ANSSI.
Pour les collectivités qui souscrivent une assurance cyber, une cyberattaque peut aussi déclencher une révision des conditions de renouvellement. Les évolutions du marché de l’assurance cyber impactent désormais le secteur public comme le secteur privé : Assurance cyber : ce qui change en 2026.
Pour une analyse chiffrée du coût d’une cyberattaque applicable à une structure de quelques dizaines d’agents : Combien coûte une cyberattaque pour une PME de 50 personnes.
La mutualisation : la réponse structurelle pour les petites communes
L’une des réalités de la cybersécurité dans les collectivités, c’est qu’une commune de 800 habitants ne peut pas se payer un responsable sécurité à temps plein. La mutualisation est donc la voie pragmatique.
Les GIP et syndicats numériques
Plusieurs régions ont créé des groupements d’intérêt public ou des syndicats mixtes consacrés à l’informatique des collectivités. Ils proposent des services mutualisés : hébergement souverain, messagerie sécurisée, accompagnement à la mise en conformité, formations groupées. Les exemples incluent Gironde Numérique, Mégalis Bretagne, ou les services numériques proposés par les centres de gestion de la fonction publique territoriale.
Les marchés publics de cybersécurité de l’UGAP
L’UGAP (Union des groupements d’achats publics) propose des marchés publics nationaux sur la cybersécurité (formations, simulations de phishing, outils de sécurité) que les collectivités peuvent actionner sans procédure d’appel d’offres propre. C’est une voie rapide pour accéder à des solutions qualifiées à des tarifs négociés.
Les référents cyber des préfectures
Depuis 2022, chaque préfecture dispose d’un référent cybersécurité chargé d’accompagner les collectivités de son département. Ce référent, en lien avec l’ANSSI, peut orienter les communes vers les bonnes ressources, effectuer un premier diagnostic, et coordonner la réponse en cas d’incident.
Préparer les agents : pourquoi la sensibilisation change tout
La sensibilisation des agents est souvent perçue comme optionnelle, voire comme un luxe pour les grandes structures. C’est une erreur de priorisation.
Une collectivité qui investit 200 000 euros dans un nouveau firewall mais ne forme pas ses agents maintient un taux de clic sur phishing de l’ordre de 30 à 35 % (données KnowBe4, secteur public). Une collectivité qui investit 50 euros par agent par an dans un programme de simulation et de micro-formation mais ne peut pas se payer le firewall dernier cri résout le problème à la source.
Les attaques n’entrent pas par le firewall : elles entrent par la messagerie d’un agent qui clique. Bloquer ce clic — ou réduire sa probabilité de 33 % à moins de 5 % — est l’une des mesures les plus efficaces disponibles, à un coût très inférieur aux solutions techniques. Pour comprendre comment construire un programme complet : Formation cybersécurité des employés : guide pratique.
Votre collectivité est-elle protégée contre le phishing ? Testez la configuration de sécurité de votre domaine email en quelques secondes. Si un attaquant peut usurper l’adresse de votre mairie pour envoyer de faux emails à vos administrés ou agents, vous avez une priorité immédiate.
Tester la sécurité email de votre collectivité — gratuit, résultat immédiat.
FAQ : Cybersécurité des collectivités territoriales
Pourquoi les mairies et communes sont-elles ciblées par les cyberattaques ?
Les collectivités territoriales cumulent plusieurs facteurs qui les rendent attractives pour les attaquants : elles gèrent des bases de données d’état civil, fiscales et sociales représentant des millions de dossiers ; leur budget informatique est souvent inférieur à 1 % du budget de fonctionnement ; leurs systèmes sont fréquemment obsolètes faute de ressources ; et leur visibilité politique crée un effet de notoriété recherché par certains groupes. L’ANSSI classe régulièrement le secteur des collectivités parmi les trois secteurs les plus ciblés en France.
NIS2 s’applique-t-elle aux collectivités territoriales françaises ?
Oui. La directive NIS2, transposée en droit français en 2025, concerne les collectivités territoriales à partir d’une certaine taille. Les régions, départements et communes de plus de 30 000 habitants sont visés par les obligations d’entités importantes. Les collectivités qui gèrent des services de distribution d’eau, de traitement des eaux usées, de gestion des déchets ou de transports publics peuvent être qualifiées d’entités essentielles. L’ANSSI est l’autorité compétente pour accompagner et contrôler ces entités.
Qu’est-ce que le phishing ciblant les collectivités, et comment le reconnaître ?
Le phishing ciblant les collectivités prend des formes spécifiques : faux emails de la Direction Générale des Finances Publiques (DGFiP), faux courriers de la préfecture demandant une mise à jour de données, faux avis de la DGCL, notifications de subventions frauduleuses nécessitant de cliquer un lien. Ces emails exploitent la légitimité des tutelles administratives et la pression réglementaire sur les agents. Les signaux d’alerte classiques s’appliquent : urgence artificielle, demande de clic sur un lien externe, demande de saisie d’identifiants.
Une commune de petite taille peut-elle se protéger avec un budget limité ?
Oui, et les premières mesures ne sont pas nécessairement coûteuses. L’ANSSI publie gratuitement MonAideCyber, un outil d’auto-évaluation et d’accompagnement pour les petites structures. Les actions prioritaires à faible coût incluent : activer l’authentification double facteur sur la messagerie (souvent incluse dans les offres Microsoft 365 ou Google Workspace), former les agents par des simulations de phishing (à partir de quelques dizaines d’euros par agent par an), configurer SPF et DKIM sur le domaine email. Les communes peuvent également rejoindre des groupements de commandes régionaux pour mutualiser l’achat de solutions de cybersécurité.
Quelles sont les obligations de déclaration d’incident pour une collectivité ?
Depuis 2024, toute collectivité peut déclarer un incident sur Cybermalveillance.gouv.fr, qui coordonne la réponse et oriente vers des prestataires qualifiés PRIS. Les collectivités qualifiées d’entités essentielles ou importantes sous NIS2 ont une obligation de notification à l’ANSSI dans les 24 heures suivant la détection d’un incident significatif, et une notification détaillée dans les 72 heures. En cas de violation de données personnelles, la collectivité doit également notifier la CNIL sous 72 heures.
Thomas Ferreira est consultant en cybersécurité certifié CISSP. Il accompagne les organisations françaises dans la protection contre les menaces par ingénierie sociale. Les données de cet article proviennent des rapports ANSSI (Panorama de la cybermenace 2024, cyber.gouv.fr), des publications de Cybermalveillance.gouv.fr, du rapport KnowBe4 Phishing by Industry Benchmarking Report 2024, du rapport Proofpoint State of the Phish 2025, et des communications officielles des collectivités touchées.