Cybersécurité en mairie : le guide essentiel pour les élus
28/04/2026
En 2024-2025, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) a observé une hausse de 30 % des cyberattaques visant les collectivités territoriales. Ransomwares paralysant les services d'état civil pendant des semaines, phishing ciblant les boîtes email des agents, fuites de données d'administrés sur le dark web : les exemples se multiplient.
Et aucune commune n'est trop petite pour être ciblée. Les attaquants ciblent les cibles les plus vulnérables, pas les plus grandes.
Ce guide donne aux élus et aux DGS les clés pour comprendre les menaces, évaluer leur niveau de protection et agir avec un budget réaliste.
Pourquoi les mairies sont des cibles privilégiées
Les collectivités territoriales cumulent trois caractéristiques qui en font des cibles de choix pour les cyberattaquants.
Elles détiennent des données sensibles : état civil (naissances, mariages, décès), listes électorales, données sociales du CCAS (revenus, situation familiale, santé), cadastre, vidéoprotection, données RH des agents. Ces données ont de la valeur sur le marché noir ou servent de levier pour une rançon.
Elles ont des SI souvent vétustes : postes sous Windows non mis à jour, mots de passe partagés entre agents, sauvegardes non testées, pas de pare-feu digne de ce nom. Les petites communes n'ont pas de DSI, et l'informatique est gérée "en plus" par un agent polyvalent.
Elles sont peu préparées : pas de plan de continuité d'activité (PCA), pas de procédure en cas d'incident, pas de formation des agents aux risques numériques. Quand l'attaque arrive, c'est la panique.
Le coût moyen d'une cyberattaque pour une collectivité se chiffre en dizaines de milliers d'euros : restauration des systèmes, perte de données, interruption de services, notification CNIL, atteinte à la réputation.
Les 5 menaces principales pour votre collectivité
1. Ransomware (rançongiciel)
Un logiciel malveillant chiffre l'ensemble des fichiers du réseau de la mairie. Les services sont paralysés : plus d'accès à l'état civil, à la comptabilité, aux boîtes email. Les attaquants exigent une rançon (souvent en cryptomonnaie) pour fournir la clé de déchiffrement.
Impact : interruption totale des services pendant plusieurs jours à plusieurs semaines. Coût de restauration : 10 000 à 100 000 euros selon la taille de la collectivité.
2. Phishing (hameçonnage)
Un email frauduleux imite un fournisseur, une administration ou un collègue pour inciter un agent à cliquer sur un lien malveillant ou à communiquer ses identifiants. C'est le vecteur d'attaque le plus fréquent et le plus efficace.
Impact : vol d'identifiants, accès non autorisé aux systèmes, point d'entrée pour un ransomware.
3. Fuite de données
Les données personnelles des administrés sont exposées suite à une erreur humaine (fichier envoyé au mauvais destinataire, base de données accessible sans mot de passe) ou à une intrusion. La collectivité doit notifier la CNIL sous 72 heures et informer les personnes concernées.
Impact : obligation de notification CNIL, atteinte à la confiance des administrés, risque juridique.
4. Compromission du site web
Le site de la mairie est défiguré (défacement), ou du code malveillant est injecté pour rediriger les visiteurs vers des sites frauduleux. Les formulaires en ligne peuvent être détournés pour collecter les données des citoyens.
Impact : atteinte à l'image, risque pour les administrés qui utilisent les formulaires, perte de confiance.
5. Attaque par supply chain
L'attaque ne vise pas directement la mairie, mais un de ses prestataires (éditeur de logiciel métier, hébergeur, prestataire de maintenance). Les attaquants utilisent l'accès du prestataire pour pénétrer dans le SI de la collectivité.
Impact : difficile à détecter, peut toucher simultanément toutes les collectivités clientes du prestataire compromis.
Checklist cybersécurité pour les élus (10 points)
Cette checklist couvre les mesures de base que toute collectivité doit mettre en place, quelle que soit sa taille.
- Sauvegardes automatiques testées régulièrement, stockées hors site (règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site)
- Mots de passe individuels pour chaque agent (12 caractères minimum), jamais partagés
- Authentification multi-facteur (MFA) sur la messagerie et les accès distants
- Mises à jour automatiques des systèmes d'exploitation, navigateurs et logiciels
- Antivirus/EDR installé et à jour sur tous les postes
- Formation annuelle des agents au phishing (simulation d'attaque recommandée)
- Pare-feu configuré et segmentation du réseau (les postes agents ne doivent pas accéder directement aux serveurs)
- Plan de Continuité d'Activité (PCA) documenté et testé au moins une fois par an
- Clauses de sécurité dans les contrats prestataires (hébergement, logiciels métier, maintenance)
- Contact ANSSI et Cybermalveillance.gouv.fr enregistré et connu des agents clés
Si vous cochez moins de 6 points, votre collectivité est exposée. Commencez par les sauvegardes (point 1), les mots de passe (points 2-3) et la formation phishing (point 6) : ce sont les trois mesures à plus fort impact pour un coût minimal.
PCA/PRA : que faire si votre mairie est attaquée ?
Le PCA (Plan de Continuité d'Activité) et le PRA (Plan de Reprise d'Activité) définissent ce que fait la collectivité quand une cyberattaque survient. Sans ces documents, la réponse à l'incident est improvisée, ce qui aggrave les dégâts.
Les 6 étapes en cas d'attaque
1. Isoler. Déconnectez immédiatement les machines infectées du réseau (câble Ethernet ET WiFi). Ne les éteignez pas : les traces forensiques en mémoire sont utiles pour l'analyse.
2. Alerter. Contactez Cybermalveillance.gouv.fr (plateforme nationale d'assistance) et votre prestataire informatique. Pour les attaques graves (ransomware, fuite massive), contactez aussi l'ANSSI via le CERT-FR.
3. Ne pas payer la rançon. Le paiement ne garantit pas la récupération des données, finance les réseaux criminels et fait de votre collectivité une cible récurrente.
4. Communiquer. Informez les agents de la situation et des consignes (ne pas se reconnecter, ne pas ouvrir d'emails sur les postes personnels). Si des données personnelles sont compromises, notifiez la CNIL sous 72 heures et informez les administrés concernés (obligation RGPD).
5. Restaurer. Remettez en service les systèmes à partir des sauvegardes, après avoir vérifié qu'elles ne sont pas elles-mêmes compromises. C'est pour cette raison que le point 1 de la checklist (sauvegardes testées, hors site) est le plus critique.
6. Analyser et renforcer. Une fois la crise passée, réalisez un post-mortem : comment l'attaque est entrée, quelles failles ont été exploitées, quelles mesures auraient pu l'empêcher. Mettez à jour le PCA en conséquence.
Quel budget pour sécuriser une collectivité ?
| Prestation | Fourchette | Récurrence |
|---|---|---|
| Audit cybersécurité | 5 000 - 20 000 euros | Tous les 2-3 ans |
| Diagnostic Cybermalveillance.gouv.fr | Gratuit | Ponctuel |
| PCA/PRA (rédaction + test) | 3 000 - 15 000 euros | Mise à jour annuelle |
| Formation agents anti-phishing | 500 - 3 000 euros/session | Annuel |
| Infogérance sécurisée | 20 - 250 euros/poste/mois | Mensuel |
| Test d'intrusion | 5 000 - 15 000 euros | Tous les 2 ans |
La cybersécurité fait partie des projets éligibles à la DSIL (Dotation de Soutien à l'Investissement Local). Consultez notre guide des financements pour constituer un dossier.
Pour une petite commune (5-10 postes), un budget annuel de 3 000 à 8 000 euros couvre les fondamentaux : sauvegarde externalisée, antivirus, formation phishing et infogérance de base.
Questions fréquentes
Ma commune de 2 000 habitants est-elle vraiment une cible ?
Oui. Les cyberattaquants automatisent leurs attaques : ils scannent les réseaux à la recherche de systèmes vulnérables, sans se soucier de la taille de l'organisation. Une commune de 2 000 habitants avec un serveur Windows non mis à jour est une cible plus facile qu'une métropole avec un DSI et un pare-feu. Les ransomwares ne font pas de distinction.
Le diagnostic Cybermalveillance.gouv.fr est-il gratuit ?
Oui. Cybermalveillance.gouv.fr propose un diagnostic en ligne gratuit et un accompagnement en cas d'incident. La plateforme met également en relation les collectivités avec des prestataires de proximité référencés. C'est le premier réflexe à avoir, avant ou après un incident.
Quelles obligations légales en cas de cyberattaque ?
Si des données personnelles sont compromises (fuite, accès non autorisé), la collectivité doit notifier la CNIL sous 72 heures (article 33 du RGPD) et informer les personnes concernées si le risque est élevé (article 34). Le non-respect de ces délais constitue un manquement au RGPD, en plus de l'incident lui-même.
Peut-on financer un audit cybersécurité avec la DSIL ?
Oui. La cybersécurité fait partie des thématiques éligibles à la DSIL au titre de la modernisation et de la sécurisation des services publics numériques. L'audit, la rédaction du PCA et les mesures de remédiation sont des investissements éligibles. Certaines préfectures ont même défini la cybersécurité comme priorité départementale.
Quelle différence entre PCA et PRA ?
Le PCA (Plan de Continuité d'Activité) définit comment maintenir les services essentiels pendant une crise (mode dégradé). Le PRA (Plan de Reprise d'Activité) définit comment revenir à un fonctionnement normal après la crise (restauration des systèmes). En pratique, les deux sont souvent regroupés dans un seul document.
Pour conclure
La cybersécurité n'est pas un sujet technique réservé au DSI. C'est une responsabilité d'élu. Un maire qui n'a pas de PCA et dont la commune est paralysée par un ransomware devra rendre des comptes aux administrés et au conseil municipal.
Commencez par la checklist en 10 points. Mettez en place les sauvegardes, les mots de passe individuels et la formation anti-phishing. Le reste suivra.
Pour un audit cybersécurité de votre collectivité, prenez rendez-vous avec notre équipe. Et pour comprendre le cadre réglementaire complet, consultez notre article sur les obligations RGPD, RGS et RGAA.