Pourquoi les collectivités sont ciblées

Les collectivités sont des cibles attractives pour plusieurs raisons : budgets de sécurité historiquement faibles, données sensibles (état civil, social, fiscal), peu de personnel IT, criticité politique (impossible d'avoir un service à l'arrêt longtemps).

Depuis 2020, on compte plus de 150 attaques ransomware documentées sur des mairies, communautés de communes et conseils départementaux français. Les plus médiatisées : Angers, La Rochelle, Caen, Sartrouville, Saint-Cloud, et de nombreuses autres.

Les 7 priorités

1. La sauvegarde immuable

C'est le sujet numéro un. Une mairie sans sauvegarde immuable (qu'un ransomware ne peut pas chiffrer) est statistiquement condamnée à payer ou à perdre ses données.

Solutions : sauvegarde sur stockage objet immuable (S3 Object Lock, Wasabi Immutable), ou sur bandes hors site. Doit être testée tous les trimestres.

2. Le MFA généralisé

Le mot de passe « MairieXYZ2024! » ne tient pas 30 secondes face à un attaquant déterminé. MFA sur la messagerie, le SI métier (Berger-Levrault, Ciril, Civitas), les accès distants. C'est aujourd'hui exigible légalement (référentiel NIS2 français).

3. Le cloisonnement réseau

Le réseau « bureautique » doit être séparé du réseau « état civil » (très sensible). Le réseau Wi-Fi public bibliothèque doit être totalement isolé du SI mairie. Les caméras de vidéosurveillance et les badges d'accès aussi.

Une mairie typique a entre 5 et 15 réseaux logiques à séparer. C'est faisable avec un VLAN basique, sans gros investissement.

4. La formation des élus et des agents

Les élus sont aussi visés (compromission de boîte mail élu pour usurper l'identité du maire). Sensibilisation annuelle obligatoire. Format court (2h en présentiel ou en visio) suffit.

5. Le plan de continuité

Que se passe-t-il si le SI est inaccessible 7 jours ? Les services minimums (état civil pour les décès, urbanisme pour les permis urgents) doivent pouvoir fonctionner en mode papier. À documenter et tester une fois par an avec une journée de simulation.

6. La conformité NIS2

Depuis octobre 2024, les collectivités sont des entités essentielles au sens de NIS2. Obligation de notifier l'ANSSI dans les 24 heures en cas d'incident significatif. Obligation de mesures de cybersécurité de base. Sanctions financières en cas de non-conformité.

7. La cyber-assurance

Devenue presque obligatoire (et difficile à obtenir si le niveau de sécurité est faible). Une cyber-assurance couvre : restauration des systèmes, communication crise, expertise juridique, parfois la rançon (en dernier recours). Coût : 5 à 30 k€/an selon la taille de la collectivité.

Les ressources nationales

• ANSSI : « Guide d'hygiène informatique » spécifique collectivités
• France Num : aides au financement (jusqu'à 50 % pour les communes de moins de 50 000 habitants)
• CERT-FR : remontée des incidents et veille
• Cybermalveillance.gouv.fr : assistance aux victimes
• Programme Cybersécurité du plan France Relance : audits gratuits

Le coût comparé

Une attaque ransomware sur une mairie de 10 000 habitants coûte typiquement :

• 50-150 k€ de restauration
• 20-100 k€ de communication crise
• 30-200 k€ de pertes de productivité
• Préjudice politique parfois indissoluble

Une cybersécurité correcte coûte :

• Equipement : 30-80 k€ amortis sur 5 ans
• Formation et sensibilisation : 5-10 k€/an
• Maintenance et support : 20-50 k€/an

Le ROI est imbattable, à condition de ne pas attendre l'attaque pour s'en préoccuper.

La consultation des élus

Si vous êtes agent ou DSI dans une collectivité, faites passer ce sujet au conseil municipal au moins une fois par an. La cybersécurité est un sujet politique : il faut budget et décision. Sans portage politique, les meilleures intentions techniques se heurtent au vote.