Cybersécurité des collectivités territoriales : mairies, conseils régionaux et OPSN
Les collectivités territoriales françaises sont une cible croissante des cyberattaquants. En 2023-2024, des dizaines de communes, intercommunalités et conseils régionaux ont subi des attaques par ransomware avec des impacts opérationnels majeurs (services civiques interrompus, données citoyens compromises). La directive NIS2 et les nouvelles obligations ANSSI structurent maintenant la cybersécurité du secteur public local.
Quelle collectivités sont soumises à NIS2 ?
NIS2 prévoit explicitement un régime pour les administrations publiques (section 6 de l'Annexe I). En France, la transposition a introduit une classification spécifique pour les collectivités :
Entités essentielles (administrations centrales et régions)
- Les administrations centrales de l'État (ministères, agences régaliennes)
- Les conseils régionaux (13 régions métropolitaines + Corse + DOM-TOM)
- Les grandes métropoles et agglomérations (Métropole du Grand Paris, Lyon Métropole, Aix-Marseille-Provence, etc.)
- Les services à compétences nationales critiques
Entités importantes (administrations publiques régionales et locales)
- Les conseils départementaux
- Les intercommunalités (EPCI) de plus de 50 000 habitants
- Les grandes communes (plus de 30 000 habitants selon le décret de transposition)
- Les établissements publics de coopération intercommunale à fiscalité propre de taille significative
Collectivités hors périmètre NIS2 direct
Les communes de moins de 30 000 habitants ne sont pas dans le périmètre NIS2. Elles restent cependant exposées aux cybermenaces et peuvent bénéficier des dispositifs ANSSI (Mon Aide Cyber, CaRE) et des politiques régionales de cybersécurité.
Attaques récentes : bilan et leçons
Depuis 2021, les collectivités françaises ont subi de nombreuses cyberattaques avec des impacts sévères :
- Ville de Caen (2023) : Ransomware, services numériques interrompus plusieurs semaines
- Conseil Régional d'Île-de-France (2021) : Ransomware Pysa, données personnelles exfiltrées
- Roubaix, Vincennes, et dizaines de communes : Attaques successives démontrant la vulnérabilité systémique
- CHU, hôpitaux (Corbeil-Essonnes, Versailles) : Secteur santé public très touché
Les vecteurs d'attaque récurrents : phishing ciblant les agents, systèmes d'information vieillissants non patchés, absence de sauvegarde déconnectée, et manque de segmentation réseau.
Le programme CaRE de l'ANSSI pour les collectivités
L'ANSSI a lancé le programme CaRE (Cybersécurité Accélération et Résilience des Établissements) spécifiquement pour les organisations publiques (collectivités, établissements de santé). CaRE propose :
- Diagnostics de sécurité subventionnés : Diagnostics ANSSI cofinancés pour les collectivités
- Parcours de montée en maturité : Formation, guides pratiques, accompagnement personnalisé
- CERT-FR : Veille sur les menaces, alertes en temps réel, et réponse aux incidents pour les entités publiques
- Mon Aide Cyber : Outil d'auto-évaluation de la posture cyber pour les collectivités (gratuit)
Obligations NIS2 pour les collectivités concernées
Les collectivités dans le périmètre NIS2 (régions, grandes métropoles, grandes communes) doivent respecter les mesures de l'article 21 :
- Politique de sécurité des SI (PSSI) : Document formalisé décrivant les mesures de sécurité adoptées, approuvé par l'assemblée délibérante ou l'exécutif
- Gestion des incidents : Procédure de détection, qualification et notification des incidents significatifs à l'ANSSI dans les délais NIS2 (alerte pr écoce 24h, notification 72h)
- Plan de continuité et de reprise : PCA/PRA testé avec des exercices périodiques, sauvegardes déconnectées
- Sécurité de la chaîne d'approvisionnement : Exigences cybersécurité imposées aux prestataires IT (hébergeurs, éditeurs de logiciels métiers)
- Gestion des vulnérabilités : Processus de patch management, scan de vulnérabilités régulier
- MFA : Authentification à plusieurs facteurs sur tous les accès sensibles (VPN, accès administrateurs, messagerie)
Budget cybersécurité : combien faut-il prévoir ?
Le budget cybersécurité d'une collectivité dépend de sa taille, de son niveau de maturité initial et de ses besoins spécifiques. Ordres de grandeur indicatifs :
- Commune de 30 000-100 000 habitants : 50 000 à 150 000 €/an pour la sécurité SI (inclut outils, formation, prestataires, audits)
- Intercommunalité de 100 000-500 000 habitants : 150 000 à 500 000 €/an
- Conseil départemental : 300 000 à 1 M€/an selon la taille du SI
- Conseil régional / Grande métropole : 1 M€+ par an
Ces budgets peuvent être partiellement couverts par les fonds FEDER (volet numérique), les dotations de l'État (DETR, DSIL), et les subventions ANSSI dans le cadre des programmes spécifiques collectivités.
Bonnes pratiques prioritaires pour une commune
Pour une commune qui commence sa démarche cyber, CyberConform recommande ces actions prioritaires :
- 1. Réaliser le diagnostic Mon Aide Cyber (ANSSI) — gratuit, 2 heures
- 2. Activer le MFA sur tous les comptes d'administration et de messagerie
- 3. Mettre en place des sauvegardes déconnectées (règle 3-2-1) et les tester
- 4. Former les agents à la détection du phishing (exercice de phishing simulé)
- 5. Mettre à jour tous les systèmes et clôturer les vulnérabilités critiques
- 6. Rédiger une PSSI simplifiée adaptée aux collectivités
- 7. Désigner un référent cybersécurité (interne ou RSSI mutualisé entre collectivités)
Conclusion
Les collectivités territoriales sont face à un double défi : une menace cyber en forte hausse et des obligations réglementaires NIS2 nouvelles. L'ANSSI accompagne les collectivités via les programmes CaRE et Mon Aide Cyber. CyberConform propose des audits de sécurité adaptés aux contraintes budgétaires et organisationnelles des collectivités : diagnostic NIS2, PSSI, plan de remédiation priorisé, et formations des agents et élus.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit