Cybersécurité : anticiper et contrer les menaces dans les démarches en ligne locales

2023 aura encore été marquée par une hausse constante des attaques informatiques en France, touchant prioritairement les services publics et les collectivités territoriales. Selon l’ANSSI (Agence nationale de la sécurité des systèmes d'information), près de 20 % des incidents majeurs signalés au niveau national sont survenus dans les administrations locales (ANSSI). Alors que le passage des guichets physiques aux démarches en ligne s’accélère – état civil, urbanisme, recensement, démarches sociales, inscription scolaire, etc. –, la question n’est plus de savoir si les services publics seront ciblés, mais quand et comment.

Cette transformation numérique, saluée pour sa capacité à simplifier la vie des usagers et à optimiser les ressources locales, expose simultanément les systèmes à des risques spécifiques : fuites de données personnelles, usurpation d’identité, rançongiciels, indisponibilité des services, et bouleversement de la relation de confiance entre citoyens et institutions.

En 2022, 60 % des mairies françaises déclaraient ne pas avoir de politique de cybersécurité clairement définie (Clusif). Toute la chaîne des démarches en ligne (usagers, agents, prestataires techniques) est concernée. Mais comment réduire concrètement l'exposition aux menaces ?

Comprendre les risques est la première étape pour y répondre efficacement. Voici une typologie des menaces les plus critiques pour les démarches en ligne dans les territoires :

• Vol ou compromission de données personnelles : Les formulaires administratifs traitent des données sensibles (état civil, situation familiale, adresses, pièces d’identité…). Une fuite peut avoir des conséquences lourdes pour les usagers : harcèlement, usurpation, fraudes, etc.
• Rançongiciels (ransomwares) : Les attaques par cryptage de données et demandes de rançon sont en forte progression. Exemple marquant : la Métropole d’Aix-Marseille-Provence, paralysée en 2023 pendant plusieurs jours (Franceinfo), coût total estimé à plus de 3 millions d’euros.
• Indisponibilité ou dysfonctionnements de services : Suite à une attaque DDoS ou un exploit logiciel ; interruptions qui peuvent priver les citoyens de démarches essentielles (déclarations fiscales, dépôt d’actes, inscription scolaire…)
• Phishing ciblé (hameçonnage) : Poussée du spear phishing, visant non seulement les agents, mais aussi les citoyens via de faux portails ou courriels aux couleurs de la commune.
• Détournement ou altération de documents : Manipulation de pièces justificatives, signatures électroniques, ou validations administratives.
• Manquements à la conformité RGPD : Inobservance des droits des usagers (accès, suppression, portabilité), stockage non sécurisé, traçabilité défaillante.

• En 2022, 59 % des collectivités ont reconnu avoir déjà été la cible d’au moins une attaque informatique (Association des Maires de France).
• Le temps moyen de réponse à une attaque (detection + remédiation) est de 21 jours pour les collectivités locales, contre 11 jours en moyenne pour les entreprises privées (CERT-FR).
• 8 % seulement des budgets informatiques locaux sont dédiés à la cybersécurité (Banque des Territoires), alors que l’État, via le plan France Relance, encourage depuis 2021 la mobilisation avec des aides à la hauteur de 60 millions d’euros.
• 72 % des élus locaux disent ne pas avoir une vision claire sur le niveau de risque cyber de leur collectivité (Livre blanc Banque des Territoires – Cyber-sécurité).

Face à ce contexte, la prévention se doit d’être intégrée dès la conception des services numériques.

1. Évaluation des risques et cartographie des vulnérabilités

• Réaliser un audit initial : état des lieux des process, identifications des faiblesses organisationnelles, techniques et humaines (avec ou sans assistance externe).
• Prioriser les démarches critiques : portails liés à l’enfance, à la santé, à la fiscalité, etc.
• Veille permanente : suivi des alertes du CERT-FR et de l’ANSSI sur la sécurité des applications, failles logicielles connues ou nouveaux modes opératoires des attaquants.

2. Sécuriser en profondeur les portails de démarches en ligne

La sécurité ‘by design’ reste la stratégie la plus efficace. Quelques leviers concrets :

• Authentification forte : Généralisation de la double authentification (2FA/MFA) pour les agents et, si possible, pour les administrés via FranceConnect ou d’autres fédérations d’identités sécurisées.
• Chiffrement systématique : du stockage et du transit des données (applications, solutions cloud, serveurs locaux).
• Exigence sur les prestataires : imposition de clauses de conformité sécurité et RGPD dans tous les marchés publics numériques.
• Tests réguliers des systèmes : campagnes de penetration testing, revues de code, simulations d’incidents (table-tops, Red Team) au moins une fois par an sur les applications sensibles.
• Supervision en temps réel : monitorat via des solutions de détection d’intrusion, alertes automatiques et réponse rapide aux signaux faibles.

3. Sensibilisation et formation : un levier (encore) sous-estimé

La plupart des attaques réussies s’appuient sur l’erreur humaine, volontaire ou non. Le rapport IBM X-Force 2023 l’atteste : 95 % des incidents trouvent leur origine dans une faille de sensibilisation (IBM).

• Formations régulières à la détection du phishing et des comportements à risque pour les agents et les élus.
• Campagnes à destination des citoyens : explications simples sur les dangers, infographies sur l’hameçonnage, outils de vérification de fiabilité des sites (ex. : URLs officielles, présence de FranceConnect, HTTPS…)
• Création de “référents cybersécurité” dans chaque département ou structure (initiative encouragée par l’ANSSI et l’AMF).

4. Réagir vite pour limiter les dégâts : la gestion de crise

• Procédure claire de notification : toute suspicion de fuite, d'attaque ou d’incident doit être remontée via une procédure unifiée à l’équipe SI, au DPO, voire à l’ANSSI.
• Plan de continuité d’activité (PCA) : pour l’ensemble des services numériques, avec possibilité de bascule en mode dégradé ou retour au papier si besoin.
• Plans de communication : prévoir des modèles de messages à destination des administrés en cas d’incident : reconnaissance, explications, durée estimée de la coupure. La transparence est essentielle pour maintenir la confiance.
• Retours d’expérience : après chaque incident, organiser un debrief pour ajuster les protocoles et renforcer la prévention.

• Cybermalveillance.gouv.fr : Portail de signalement, documentation et assistance technique dédiée aux communes et aux usagers victimes de cyberattaques.
• Kit de l’AMF sur la cybersécurité : Guide opérationnel (modèles de documents, checklists) régulièrement actualisé et téléchargeable (AMF).
• FranceConnect : Dispositif d’authentification fédérée, déjà utilisé par plus de 42 millions de Français (FranceConnect), permettant de limiter les créations de comptes multiples ou frauduleux.
• Relais RGPD (DPO mutualisé) : Solutions d’accompagnement pour externaliser la fonction de délégué à la protection des données, fréquemment via des syndicats mixtes ou centres de gestion.
• Offres de cyberassurance : De plus en plus d’intercommunalités y ont recours, bien qu’il ne s’agisse évidemment pas d’une solution miracle.

La massification des démarches en ligne n’est pas qu’une commodité, mais une promesse démocratique : celle d’un accès facile, sûr, équitable à l’administration pour toutes et tous. Or, trop de collectivités n’ont encore qu’une culture minimaliste, “à la défense”, de la cybersécurité. L’enjeu, ce n’est pas d’ériger des murailles infaillibles, mais d’intégrer la prévention et la réponse aux risques dans chaque maillon de la chaîne numérique.

Transparence sur les failles, pédagogie auprès des usagers, mutualisation des ressources et innovations de terrain : la prévention cyber est désormais indissociable de la confiance citoyenne. C’est aussi une condition de la réussite des politiques d’inclusion numérique, qui doivent rassurer les publics les plus vulnérables (seniors, personnes en situation de handicap, non-numérisés).

Davantage de projets de mutualisation, d’échanges d’expériences et de coopération avec l’écosystème cyber public-privé émergent à l’échelle des territoires (exemple : CSIRT régionaux, groupes de travail intercommunalités – voir Cybermalveillance.gouv.fr). La prochaine étape ? Faire de la cybersécurité une dimension pleinement stratégique de chaque projet numérique local.

Un chantier permanent, où chaque territoire a des enseignements à partager et à transmettre.