🎬 Le jour où - Face à une menace cyber qui touche désormais une collectivité toutes les 40 heures, les retours d'expérience de 2024 révèlent les erreurs à éviter et les pratiques qui renforcent réellement la résilience.
Temps de lecture : 3 minutes
Mercredi matin, 8h12. La DSI ne répond plus.
Le directeur général des services d'une commune de 15 000 habitants en Occitanie ouvre son ordinateur. Rien. Ni la messagerie, ni le portail famille, ni le logiciel de paie. Il appelle la DSI - externalisée à un prestataire régional. Messagerie. Il rappelle. Toujours rien.
Il faudra deux heures pour comprendre ce qui s'est passé : un ransomware a chiffré l'ensemble du système d'information de la commune pendant la nuit. Les sauvegardes, connectées au même réseau, ont été chiffrées en même temps.
Ce scénario est fictif. Les faits qui suivent, eux, sont réels et documentés.
218 incidents en 2024 : une collectivité toutes les 40 heures
Le chiffre est dans le rapport de l'ANSSI publié en février 2025 : 218 incidents cyber ont concerné des collectivités en 2024, soit une moyenne de 18 incidents mensuels, représentant 14 % de l'ensemble des incidents traités par l'agence.
Ces incidents touchent toutes les strates : communes, EPCI, départements (44 incidents) et régions (29 incidents). Ce dernier chiffre est particulièrement significatif : avec seulement 18 régions en France, le taux d'exposition est considérable.
En 2025, la pression ne s'est pas relâchée. Les ministères et les collectivités territoriales représentent 24 % des secteurs les plus visés, selon le panorama de la cybermenace 2025 de l'ANSSI.
Et selon une étude de Cybermalveillance.gouv.fr présentée au Congrès des maires fin 2024, une collectivité sur dix déclare avoir déjà été victime d'une ou plusieurs attaques au cours de l'année 2024.
Ce que les incidents documentés ont en commun
L'ANSSI a publié plusieurs cas réels dans ses rapports. Trois situations illustrent ce qu'on retrouve systématiquement.
Cas 1 - Le ransomware en cascade (avril 2024)
En avril 2024, l'ANSSI a été alertée de la compromission par rançongiciel d'une commune. En raison de l'ampleur de la compromission, la commune a été contrainte d'isoler son système d'information d'internet et de couper l'ensemble des interconnexions avec d'autres communes. Le système d'information du bénéficiaire hébergeant ceux d'autres organisations, la coupure des accès a rendu les services de ces dernières indisponibles. La réouverture des flux a été permise progressivement dans les semaines suivant l'incident.
En d'autres termes : une seule attaque a paralysé plusieurs communes à la fois - parce qu'elles partageaient le même prestataire informatique. La mutualisation des moyens, souvent présentée comme une solution, peut devenir un vecteur de propagation.
Cas 2 - L'annuaire municipal vendu sur le darknet (janvier 2024)
En janvier 2024, une commune a été affectée par une fuite de données. L'ensemble de l'annuaire de la commune a été exfiltré et partagé sur plusieurs forums cybercriminels, exposant des données personnelles des employés de la ville.
Pas de ransomware, pas de spectaculaire blocage des systèmes. Juste des données d'agents municipaux accessibles à n'importe qui sur des forums spécialisés. Une violation RGPD avec obligation de notification à la CNIL - et une exposition médiatique et juridique immédiate.
Cas 3 - L'Active Directory d'un département compromis (novembre 2024)
En novembre 2024, un conseil départemental a signalé à l'ANSSI la compromission de son environnement Active Directory et une exfiltration de données. L'ensemble du système d'information a été isolé d'internet, provoquant de forts impacts métiers.
L'Active Directory, c'est l'annuaire central des accès de l'organisation - compromis, il donne aux attaquants les clés de tout le reste. C'est précisément pour ça que la gestion des accès et des identités est le sujet le plus critique, et le plus sous-traité, des DSI publiques.
Le coût réel : bien au-delà du budget IT
Bondy, Aix-en-Provence, Bois-Colombes, les sites de Bordeaux, Marseille, Montpellier et une dizaine d'autres grandes villes visées par des DDoS pro-russes le 31 décembre 2024 au soir : les collectivités françaises ont accumulé les incidents ces dernières années.
La Cour des comptes, dans son rapport sur les cybermenaces publié en juin 2025, cite des coûts directs estimés à 960 000 euros pour la métropole Aix-Marseille-Provence et à plus de 1,5 million d'euros pour la ville de Bondy. À quoi s'ajoutent, comme le note la Cour, des coûts indirects difficiles à chiffrer : activités non réalisées, perte de confiance des administrés, procédures RGPD, contentieux éventuels.
Pour une commune de taille moyenne, une cyberattaque peut représenter plusieurs mois de budget informatique - souvent sans que cela ait été anticipé dans aucun plan de continuité.
Trois failles qui reviennent à chaque incident
En croisant les cas documentés par l'ANSSI, trois fragilités structurelles ressortent systématiquement.
Faille n°1 - Des sauvegardes connectées au réseau principal
C'est l'erreur la plus fréquente et la plus coûteuse. Quand le ransomware chiffre le système de production, il chiffre aussi les sauvegardes si elles sont accessibles depuis le même réseau. L'ANSSI insiste : la présence d'un plan de reprise d'activité recensant et priorisant les différentes applications ainsi que la disponibilité de sauvegardes saines et déconnectées sont des facteurs décisifs.
Faille n°2 - Des équipements de bordure non mis à jour
Routeurs, pare-feux, VPN : les équipements situés en bordure de SI ont représenté plus de la moitié des opérations de cyberdéfense de l'ANSSI en 2024. Ces équipements sont des points d'entrée privilégiés parce qu'ils sont souvent anciens, rarement mis à jour, et exposés directement sur internet.
Faille n°3 - Une cartographie du SI inexistante ou obsolète
Les collectivités peuvent éprouver des difficultés à maîtriser la cartographie de leurs réseaux et à les garder dans de bonnes conditions de sécurité, note l'ANSSI. Sans cartographie, impossible de savoir ce qui est exposé, qui a accès à quoi, et où se trouvent les données sensibles des administrés.
Ce que font différemment les collectivités résilientes
Les collectivités qui s'en sortent le mieux partagent trois pratiques - simples, mais rarements formalisées.
Elles ont un plan de continuité testé, avec des procédures de fonctionnement en mode dégradé explicitement définies. Quand le système tombe, elles savent exactement quoi faire et dans quel ordre.
Elles signalent rapidement à l'ANSSI. L'ANSSI insiste sur la nécessité de signaler rapidement tout incident pour bénéficier d'un accompagnement expert et limiter la propagation des attaques à d'autres collectivités. Le signalement n'est pas une faiblesse - c'est ce qui permet d'éviter que l'incident ne se propage aux communes voisines.
Elles ont cartographié leurs dépendances numériques - prestataires, logiciels SaaS, interconnexions avec d'autres collectivités - avant d'être attaquées, pas pendant.
Sources
- ANSSI, Collectivités territoriales - Synthèse de la menace, CERTFR-2025-CTI-002, février 2025 - PDF complet · Page de référence
- ANSSI, Panorama de la cybermenace 2024, mars 2025 - Page de présentation
- ANSSI, Panorama de la cybermenace 2025, mars 2026 - PDF complet · Page de présentation
- Cour des comptes, La réponse de l'État aux cybermenaces sur les systèmes d'information civils, juin 2025 - PDF complet · Page de présentation
- Cybermalveillance.gouv.fr / OpinionWay, 3e édition du baromètre de la maturité cyber des collectivités françaises, novembre 2024 - PDF complet · Communiqué de presse
- Maire-Info, Des cyberattaques menées contre les collectivités en fin d'année 2024, janvier 2025 - Article
- Banque des Territoires, État de la menace 2024 : 18 collectivités ciblées par une cyberattaque chaque mois, mars 2025 - Article
Alto France accompagne les communes et intercommunalités dans leur sécurisation cyber. Notre offre Alto MUNICIPAL.IT permet d'obtenir un état des lieux complet en 15 jours - avec mobilisation minimale de vos équipes.
