La cybersécurité, grande absente des élections municipales

Auteur : Arnaud DUFOURNET, Directeur Marketing & Expérience Client

À l’heure où les Français viennent d’élire leurs maires pour les six prochaines années, un sujet pourtant brûlant est resté soigneusement absent des débats : la protection numérique de nos communes. Un silence assourdissant, quand les chiffres parlent d’eux-mêmes.

Une menace qui frappe toutes les semaines

Pendant que les candidats débattaient de tramways, d’encadrement des loyers et de vidéosurveillance algorithmique, une réalité s’impose discrètement : en 2025, l’ANSSI a traité 328 incidents cyber affectant des ministères ou des collectivités territoriales françaises, soit en moyenne 27 incidents par mois. Ces chiffres, publiés par l’Agence nationale de la sécurité des systèmes d’information le 11 mars dernier, représentent 24 % de l’ensemble des incidents traités par l’agence sur l’année. Et il ne s’agit que des cas signalés.

Les communes et intercommunalités concentrent l’essentiel de la sinistralité. Les noms s’accumulent, devenus des cas d’école pour les professionnels du secteur : Annecy, La Rochelle, Caen, Angers, Chalon-sur-Saône, Bondy, Gravelines, Val-de-Reuil, Isbergues… Des villes de toutes tailles, de toutes régions, touchées par des rançongiciels qui paralysent les services pendant des jours, voire des semaines. À Gravelines en avril 2024, c’est l’ensemble des services municipaux qui s’est retrouvé hors service : médiathèque, aides sociales, service de paie… retour au papier pendant au moins une semaine ! À La Rochelle fin 2020, les 170 000 habitants de l’agglomération ont vécu les fêtes de fin d’année avec une administration hors ligne. Et la facture est lourde : après l’attaque contre la ville de Lille en 2023, le coût de remédiation s’est élevé à 1 million d’euros.

Le contexte géopolitique tendu n’arrange rien. Des groupes hacktivistes pro-russes comme NoName057(16) ont spécifiquement visé 23 mairies et collectivités françaises, rendant inaccessibles les sites de Bordeaux, Marseille, Nice, Nantes ou Montpellier lors du réveillon du Nouvel An 2024.

Pourtant la sécurité numérique demeure encore un angle mort

Face à cette réalité documentée, le contraste avec les campagnes municipales de 2026 est frappant. Les candidats ont rivalisé d’ambition technologique — vidéosurveillance algorithmique à Paris, Lyon, Nice, Marseille et Toulouse, drones IA à Marseille, « réverbères intelligents » promis par certains — sans jamais s’interroger sur la sécurité des infrastructures numériques qu’ils promettaient de déployer. Chaque caméra connectée, chaque capteur intelligent, chaque service dématérialisé élargit mécaniquement la surface d’attaque de la commune. Personne n’en a parlé.

Aucun grand programme municipal n’a abordé la cybersécurité comme axe de mandat. Pas de référent cyber au sein de l’exécutif promis. Pas de budget dédié annoncé. Pas de plan de continuité d’activité évoqué. Le sujet reste ce qu’il a toujours été dans le débat local : invisible.

Pourquoi ce silence ?

Ce vide n’est pas une surprise en soi. Il s’explique par des facteurs profonds et enchevêtrés.

Le manque de compétences d’abord. Une étude de Cybermalveillance.gouv.fr publiée en novembre 2024 auprès de 1 710 élus et agents communaux est sans appel : 47 % des collectivités pointent le manque de connaissances sur le sujet comme premier frein, 36 % le manque de compétences. Plus troublant encore : 70 % d’entre elles ne sont pas en mesure d’évaluer si les offres de cybersécurité sont adaptées à leurs besoins.

L’invisibilité politique ensuite. La cybersécurité ne se voit pas. Un réseau de fibre optique sécurisé ne se photographie pas en inauguration. Un pare-feu bien configuré ne mérite pas de coupé de ruban comme une nouvelle piscine. Dans un contexte électoral où chaque dépense doit se traduire en image, en symbole, en promesse tangible, investir dans la protection numérique ne rapporte aucune visibilité politique. Jusqu’au jour où l’attaque survient.

La sous-estimation du risque enfin. La même étude révèle que 73 % des petites et moyennes collectivités ont un budget informatique annuel inférieur à 5 000 euros, et que 66 % n’envisagent pas de hausse à venir — même parmi celles qui se savent fortement exposées. Plus préoccupant : parmi les collectivités qui se déclarent « bien préparées » à une cyberattaque, 78 % ne disposent pas de procédure de réaction formalisée.

La commune, acteur critique d’une chaîne de confiance

Ce que l’on oublie trop souvent, c’est que la mairie n’est pas seulement un prestataire de services. Elle est le dépositaire des données les plus intimes de ses administrés : naissance, décès, mariage, aide sociale, urbanisme. Elle gère parfois les réseaux d’eau, d’éclairage public, les transports. L’ANSSI l’a souligné explicitement dans son rapport 2025 : les infrastructures liées à l’approvisionnement en eau et en énergie, opérées par les collectivités, sont des cibles récurrentes de tentatives de sabotage à l’échelle mondiale.

Et les interconnexions fragilisent l’ensemble. En avril 2024, la compromission d’une seule commune, ici Saint-Nazaire, par le rançongiciel LockBit 3.0 a contraint à couper les interconnexions avec plusieurs communes voisines dont elle hébergeait les systèmes, rendant leurs services indisponibles pendant plusieurs semaines. Une commune attaquée peut devenir le vecteur d’une attaque en chaîne.

Rappelons par ailleurs que la fonction publique territoriale compte 1,99 million d’agents dont 13 % d’entre eux télétravaillent . Cela représente environ 258 000 connexions distantes aux SI communaux chaque semaine. Or, selon Cybermalveillance.gouv.fr, le phishing reste la cause principale de 30 % des incidents déclarés par les collectivités, et les accès distants mal sécurisés constituent l’un des vecteurs d’attaque les plus exploités par les rançongiciels.

La démocratie locale a aussi une surface d’attaque

Les Français confient à leur mairie ce qu’ils ont de plus précieux : l’acte de naissance de leurs enfants, les données de leurs proches décédés, les dossiers de leurs difficultés sociales. Ils font confiance à leurs élus pour gérer l’eau qu’ils boivent et la lumière qui éclaire leurs rues.

Des solutions concrètes et accessibles existent, y compris pour les communes aux budgets modestes. L’ANSSI propose le dispositif MonAideCyber, un accompagnement gratuit permettant à toute collectivité d’obtenir un diagnostic de sa situation et une feuille de route priorisée. La plateforme cybermalveillance.gouv.fr offre ressources pédagogiques, diagnostic en ligne et mise en relation avec des prestataires certifiés. TheGreenBow depuis la crise Covid 19 propose aux collectivités le VPN français, une solution de sécurisation des accès distants à moins d’un euro par mois et par utilisateur.

En 2026, exercer cette responsabilité implique de prendre la cybersécurité au sérieux — non comme un sujet de DSI à déléguer, mais comme un enjeu de gouvernance municipale à part entière. Les candidats qui ont gagné ces élections héritent d’un mandat de six ans. Ils vont devoir se confronter à la directive NIS2, qui élargit considérablement les obligations de cybersécurité pesant sur les collectivités. Les communes dépassant les 30 000 habitants devront formaliser leur gouvernance cyber, notifier les incidents dans des délais contraints et se soumettre à des audits réguliers, sous peine de sanctions financières.

Problème : les élus qui prennent leurs fonctions aujourd’hui vont devoir se préparer à ces obligations sans filet législatif. Bien qu’adoptée unanimement en commission spéciale à l’Assemblée nationale dès le 17 septembre 2025, le texte n’a toujours pas été inscrit à l’ordre du jour de l’hémicycle. Le gouvernement a officiellement repoussé son examen à la session extraordinaire de juillet 2026. La Commission supérieure du numérique et des postes (CSNP) vient de s’en émouvoir dans un communiqué publié le 18 mars. Elle y voit un « décalage préoccupant » susceptible d’affaiblir la position française dans les négociations européennes en cours, notamment autour de la révision du Cybersecurity Act. Vingt États membres sur vingt-sept ont déjà procédé à la transposition. Sans transposition effective, les collectivités territoriales restent dans l’incertitude quant à leurs obligations, leurs moyens et leur niveau de protection attendu. Je crains fort que cette situation ne soit de nature à conforter les nouveaux maires dans une attente commode : celle que quelqu’un d’autre — l’État, l’Europe, un prestataire — s’en charge à leur place. Ce serait une erreur. La prochaine attaque, elle, n’attendra pas juillet.