Une cyberattaque contre une collectivité n’est pas seulement un incident informatique. C’est une mairie qui ne peut plus délivrer d’actes d’état civil, une paie bloquée, un service d’urbanisme à l’arrêt, des agents contraints de revenir au papier, des administrés qui perdent patience… et confiance. En quelques heures, le numérique cesse d’être un outil invisible pour devenir le point de rupture du service public. Pourquoi les élus doivent-ils s’en saisir ? Et comment renforcer la résilience numérique ? Réponses des experts de Cyberwings Academy.
Longtemps, la cybersécurité a été traitée comme une affaire de spécialistes : le sujet du responsable informatique ou du responsable sécurité, quand il existait, ou d’une ligne budgétaire difficile à défendre en conseil municipal. Cette époque est révolue. Pour les collectivités territoriales, la cybersécurité est désormais un sujet de gouvernance, de continuité d’activité et de responsabilité des élus.
Communes, intercommunalités, départements, régions ou établissements publics locaux : tous peuvent voir leurs services ralentis, leurs données compromises ou leur communication détournée.
La question posée à chaque collectivité est désormais simple : saurez-vous fonctionner demain matin si votre système d’information est indisponible ou si l’un de vos fournisseurs de services numériques vous fait défaut et coupe vos accès ?
Un risque cyber qui paralyse… littéralement
Les chiffres de l’ANSSI pour 2024 confirment la réalité du phénomène : 218 incidents cyber ont été traités par l’agence sur les seules collectivités territoriales, soit une moyenne de 18 par mois.
Ces incidents représentent 14 % de l’ensemble des incidents traités au niveau national, avec 15 % d’entre eux qualifiés de « criticité élevée ». La menace est une réalité quotidienne qui met en jeu la continuité des services publics, la confiance des administrés et la responsabilité directe des élus.
Selon le baromètre 2024 de Cybermalveillance.gouv.fr, une collectivité sur dix a subi une cyberattaque au cours des douze derniers mois : interruption de services publics dans 37 % des cas, vol ou destruction de données dans 24 % des cas.
Derrière ces chiffres, il y a des situations très concrètes.
À La Rochelle, une cyberattaque a rendu impossible l’utilisation des parkings souterrains en pleine période estivale, paralysé l’état civil, bloqué les ressources humaines et empêché pendant une semaine l’inhumation des défunts dans les cimetières de la ville. La collectivité a fonctionné en mode dégradé, c’est-à-dire « au papier et au crayon » durant 4 semaines.
À Angers, les agents ont dû ressortir des réserves les annuaires papier et les télécopieurs. Le 31 décembre 2024, une attaque par déni de service revendiquée par le groupe pro-russe NoName057(16) a simultanément mis hors ligne les sites Internet de plusieurs villes dont Nice, Pau et Marseille.
Ces exemples disent une chose simple : une cyberattaque peut devenir une rupture de service public.
Elle touche les agents, les administrés, les prestataires et les élus. Elle désorganise les services, expose des données personnelles, fragilise la confiance locale et oblige la collectivité à répondre publiquement, parfois dans l’urgence, souvent sous pression.
Une responsabilité qui ne peut plus être déléguée
Une cyberattaque engage la responsabilité de l’élu, au même titre qu’une coupure d’eau ou qu’une école fermée.
La gouvernance de ce risque doit être portée au plus haut niveau de l’exécutif territorial, inscrite dans les délibérations, budgétée dans les mandats, intégrée aux plans de mandat au même titre que les projets d’investissement structurants.
Le risque cyber ne peut plus être relégué au seul service informatique. Bien sûr, les équipes techniques jouent un rôle central. Mais elles ne peuvent pas porter seules des décisions qui relèvent de l’exécutif territorial : arbitrages budgétaires, choix des prestataires, niveau d’exigence contractuelle, organisation de crise, priorisation des services essentiels, communication aux administrés.
La responsabilité de l’élu n’est pas celle d’un technicien. Elle est celle d’un décideur public.
Il ne s’agit pas de demander à un maire, à un président d’intercommunalité ou à un vice-président de comprendre toutes les subtilités d’un chiffrement, d’un pare-feu ou d’une vulnérabilité logicielle. Il s’agit de lui permettre de poser les bonnes questions :
- Quels services doivent impérativement continuer à fonctionner ?
- Où sont nos données sensibles ?
- Qui peut accéder à nos systèmes ?
- Nos sauvegardes sont-elles testées ?
- Quels prestataires sont critiques ?
- Que faisons-nous si notre messagerie tombe ?
- Combien de temps pouvons-nous tenir sans système d’information ?
Ces questions sont politiques avant d’être techniques.
S’entraîner, se former, corriger, anticiper la crise
La résilience ne s’improvise pas. Elle se prépare et se teste.
Les Jeux olympiques de Paris 2024 en ont fourni la démonstration : malgré 12 fois plus d’attaques cyber que lors des Jeux de Tokyo, aucun incident majeur n’a perturbé leur déroulement. Ce résultat tient à des mois d’exercices de simulation, de tests de continuité, de cartographie des vulnérabilités et d’entraînement des équipes à la gestion de crise.
Les collectivités peuvent s’inspirer de cette logique, à leur échelle. Un exercice de crise n’a pas besoin d’être spectaculaire pour être utile. Il peut commencer simplement : simuler l’indisponibilité de la messagerie, la perte d’accès à un logiciel métier, l’attaque d’un prestataire ou la diffusion d’un faux communiqué municipal.
L’objectif n’est pas de prédire exactement la prochaine attaque. Il est de vérifier que chacun sait quoi faire lorsque le numérique ne répond plus.
L’IA accélère la menace
L’intelligence artificielle générative transforme le rythme de la menace en améliorant la crédibilité des tentatives d’hameçonnage, en générant à grande échelle des sites malveillants à l’apparence légitime et en facilitant l’exécution d’attaques sur un périmètre défini. Selon une étude publiée par l’ANSSI en février 2026, plus de 40 modes opératoires d’attaque liés à des États ont utilisé l’IA pour perfectionner leurs cyberoffensives entre 2023 et 2024. Il est donc essentiel de former toutes les équipes à ces menaces.
Mais l’urgence ne concerne pas seulement l’hameçonnage. Elle porte aujourd’hui sur la correction des failles logicielles. L’IA accélère la détection automatisée de vulnérabilités exploitables.
En juin 2025, le système XBOW a soumis des centaines de rapports de vulnérabilités critiques à des programmes de bug bounty sans aucune intervention humaine. Face à cette accélération, le délai de correction des failles, souvent mesuré en semaines ou en mois dans les collectivités, est devenu intenable.
La priorité est claire : raccourcir drastiquement les cycles de déploiement des correctifs, former ses équipes sur les outils de développement sécurisés, s’entraîner régulièrement à des scénarios d’exploitation de faille et désigner les responsables de crise avant l’incident. Pendant l’incident, il est trop tard pour découvrir qui décide.
Guerre hybride : la désinformation cible aussi les territoires
La menace numérique intègre désormais une dimension informationnelle que les praticiens de la cybersécurité mesurent comme un vecteur à part entière.
Un faux compte d’élu, un faux communiqué de mairie, un site imitant celui d’une collectivité, une rumeur sur la qualité de l’eau, une fausse annonce de fermeture d’école, une vidéo manipulée ou un message alarmiste diffusé au bon moment peuvent suffire à créer une crise locale.
Viginum, le service de vigilance et de protection contre les ingérences numériques étrangères, a documenté en 2024 et 2025 une élévation structurelle de la menace informationnelle ciblant la France : campagnes pro-russes exploitant la guerre en Ukraine, opérations de déstabilisation lors des émeutes en Nouvelle-Calédonie, tentatives de manipulation du débat public pendant les élections européennes et les Jeux olympiques. Le rapport « Portal Kombat » a mis en évidence un réseau coordonné de désinformation ciblant les médias et institutions françaises.
L’ANSSI a recensé en mai 2023 plusieurs dizaines de sites de mairies françaises défigurés avec des messages pro-russes. Ces attaques, sans grande sophistication technique, portent directement atteinte à la confiance des administrés dans leurs institutions locales.
Le risque atteint son intensité maximale lors des grandes échéances électorales ou des événements sportifs et culturels d’ampleur. La vigilance informationnelle doit être intégrée au dispositif de gestion de crise territorial, au même titre que la continuité informatique.
La dépendance numérique devient un risque
Les collectivités dépendent de plus en plus d’outils numériques qu’elles ne maîtrisent pas toujours : logiciels d’état civil, paie, urbanisme, action sociale, messagerie, outils collaboratifs, hébergement cloud, téléphonie, archivage, cybersécurité, intelligence artificielle.
Cette dépendance n’est pas nécessairement un problème en soi. Elle le devient lorsqu’elle n’est ni connue, ni mesurée, ni contractualisée, ni réversible.
Un prestataire peut subir une cyberattaque. Un éditeur peut modifier ses conditions commerciales. Un service peut être suspendu. Une donnée peut être hébergée avec un cadre juridique mal maîtrisé. Une solution peut devenir indispensable sans qu’aucune alternative n’ait été identifiée.
Les collectivités sous-estiment souvent une réalité : un service numérique étranger peut devenir indisponible pour des raisons économiques, réglementaires ou géopolitiques. Ce risque ne relève plus de la théorie.
L’actualité vient d’en administrer une démonstration brutale. Le 12 juin 2026, Anthropic (l’un des leaders mondiaux de l’intelligence artificielle) a suspendu l’accès à ses modèles les plus avancés pour l’ensemble des utilisateurs non américains, sur ordre de l’administration Trump au nom de la « sécurité nationale ». Des organisations françaises intégrant ces outils dans leurs workflows de cybersécurité ou d’analyse se sont retrouvées privées de ces capacités du jour au lendemain, sans avoir préalablement anticipé et identifié les alternatives européennes ou open source crédibles.
Une commission d’enquête parlementaire lancée en janvier 2026, présidée par le député Philippe Latombe, s’attelle justement à quantifier ce risque. Sa mission est notamment d’évaluer dans quelle mesure les administrations publiques françaises dépendent de solutions numériques extra-européennes, d’identifier les vulnérabilités qui en résultent et d’examiner les alternatives. Les conclusions sont attendues à l’été 2026.
Pour les collectivités, la première réponse à ce risque consiste à cartographier leurs dépendances numériques.
Chaque collectivité doit pouvoir répondre à 4 questions simples :
- Quels logiciels métiers sont hébergés hors d’Europe ?
- Quels processus critiques reposent sur un prestataire unique sans solution de repli ?
- Quelles données sensibles transitent par des serveurs soumis à des lois extraterritoriales comme le Cloud Act américain ?
- Quels contrats de licence engagent la collectivité sans clause de réversibilité ?
Cette cartographie est le fondement d’un pilotage stratégique du risque numérique et le point de départ d’un plan d’autonomie progressive.
L’enjeu est aussi budgétaire : trop de collectivités financent année après année des licences récurrentes à des éditeurs non européens, sans capitaliser sur des actifs durables. Réduire ces dépendances, c’est réorienter progressivement la dépense publique vers des investissements pérennes (équipements maîtrisés, compétences internes et formation des équipes, solutions qualifiées), plutôt que vers une reconduction automatique de contrats qui fragilisent la souveraineté opérationnelle du territoire.
Former pour gouverner
La formation est le levier qui relie tous ces sujets : cybersécurité, continuité d’activité, crise, conformité, souveraineté numérique et confiance publique.
Former les élus, ce n’est pas leur demander de devenir experts techniques. C’est leur donner les moyens de comprendre le risque, de poser les bonnes questions, d’arbitrer les budgets, d’organiser la crise et d’exiger des garanties de leurs prestataires.
Former les DGS et les cadres territoriaux, c’est leur permettre d’intégrer la cybersécurité dans l’organisation quotidienne des services : continuité d’activité, procédures, responsabilités, communication, protection des données, gestion des incidents.
Former les équipes techniques, c’est renforcer leur capacité à anticiper, détecter, corriger et réagir.
Former les agents, enfin, à travers des formations de sensibilisation à la cybersécurité, c’est réduire l’exposition quotidienne de la collectivité aux erreurs humaines, aux tentatives d’hameçonnage et aux usages numériques risqués.
ORSYS et Cyberwings proposent des formations spécialisées pour les décideurs publics, les cadres territoriaux et les équipes techniques : sensibilisation des élus aux risques cyber, gestion de crise et exercices de simulation, conformité NIS 2 et RGPD, cartographie des dépendances numériques, stratégie de résilience territoriale, sécurité des prestataires et préparation au fonctionnement en mode dégradé.
Une collectivité ne sera jamais invulnérable. Mais elle peut être préparée. Elle peut savoir quoi faire, qui mobiliser, comment communiquer et comment continuer à servir les administrés lorsque le numérique vacille.
C’est désormais cela, la responsabilité numérique des élus.
