La CNIL ne tourne plus autour du pot : en 2025, la cybersécurité des collectivités territoriales est dans le viseur.
Le 21 mars dernier, la Commission nationale Informatique et Libertés (CNIL) avait déjà annoncé que les politiques de cybersécurité des collectivités feraient partie de ses thématiques de contrôle prioritaires cette année (1).
Une mise en garde qui tombe à pic, alors que Cybermalveillance.gouv.fr aurait déjà reçu près de 160 appels à l’aide de collectivités victimes de ransomware depuis janvier.(2) Des mairies, des agglomérations, des conseils départementaux et régionaux, tous confrontés à la paralysie de leurs services, à la perte de données sensibles (les nôtres !) et à la pression croissante des cybercriminels.
Comment expliquer cette recrudescence ? Et quelles solutions concrètes pour renforcer les cyberdéfenses de nos entités publiques face à la menace ?
Les collectivités : Une mine d’or de données personnelles
Les collectivités territoriales occupent une place centrale dans notre vie quotidienne de citoyen : gestion des services publics, traitement de nos données (sensibles), accompagnement social, administration scolaire ou encore gestion des infrastructures locales. Des données, parfois (très) confi dentielles, en grand nombre et de fait convoitées ! Cette richesse informationnelle attire naturellement les cybercriminels, toujours en quête de données à revendre ou à exploiter pour d’autres attaques.
Des infrastructures complexes et des moyens limités
La diversité des outils informatiques, la coexistence d’équipements anciens et récents, et l’interconnexion croissante des systèmes compliquent la tâche des équipes IT locales. Sans parler de l’aspect fi nancier : 77 % des collectivités déclarent un budget cybersécurité limité (moins de 2 000 € par an) (3). Pas toujours simple dès lors de déployer les bons outils et recruter les bonnes personnes pour renforcer les équipes.
Renforcer les fondamentaux : les gestes simples qui font la différence
Les collectivités ne sont pas vulnérables par négligence, mais parce qu’elles sont au cœur de la vie locale, souvent avec des moyens contraints. La complexité des menaces nécessite un accompagnement adapté, des outils simples à prendre en main et des ressources pédagogiques accessibles à tous, pour que les agents municipaux et territoriaux (qui rappelons-le, gèrent nos données, mais sont avant tout des experts du service public, pas nécessairement des spécialistes de la cybersécurité) soient mieux protégés (et ainsi nos données soient en sécurité !). Les cyberattaquants profitent souvent d’opportunités simples, qui peuvent être réduites grâce à quelques ajustements accessibles à toutes les collectivités.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
Mots de passe trop faibles ou réutilisés
La gestion des mots de passe reste un casse-tête pour beaucoup de collectivités. Faute d’outil dédié, il n’est pas rare de voir des mots de passe simples ou recyclés d’un service à l’autre. Pourtant, adopter des mots de passe robustes et uniques pour chaque accès, c’est déjà fermer la porte à bon nombre d’attaques. La mise en place d’un simple coffre-fort centralisé, avec générateur de mots de passe intégré , facilite l’application de ces bonnes pratiques : tout est sécurisé, traçable (et donc prêt pour les éventuels contrôles de la CNIL !). Sans complexifier le quotidien des agents, ces outils fonctionnent comme le gestionnaire de mots de passe d’un navigateur (que beaucoup utilisent malheureusement encore); la sécurité en plus.
Pour ceux qui veulent creuser et voir comment d’autres collectivités s’y prennent sur le terrain, il y a ce livre blanc de LockSelf qui compile des retours d’expérience bien concrets. De quoi s’inspirer sans perdre de temps.
Comptes obsolètes jamais supprimés
Avec les mouvements de personnel, les changements de prestataires ou les évolutions de missions, il est facile d’oublier de désactiver certains comptes. Ces accès non utilisés peuvent devenir des portes d’entrée involontaires laissées à la disposition d’un attaquant. Un audit régulier des comptes et une procédure de suppression systématique lors des départs ou changements de poste sont des réflexes simples qui renforcent la sécurité globale. Pour faire gagner du temps aux équipes IT (souvent débordées), privilégiez des outils qui s’interfacent avec l’AD. Une fois sortie de l’AD, vous êtes certains qu’aucun accès n’aura été oublié, tout y étant relié.
Absence d’authentification forte
L’authentification multifacteur (MFA) est l’un des moyens les plus efficaces pour bloquer les accès non autorisés, même en cas de fuite de mot de passe. Pourtant, son déploiement reste inégal dans le secteur public, souvent par manque de ressources ou de solutions compatibles. Généraliser l’activation du MFA, au moins sur les accès les plus sensibles.
Transferts non sécurisés de données entre agents et partenaires
Le partage de documents et d’informations entre agents ou avec des partenaires extérieurs fait partie du quotidien des collectivités. Pourtant, l’utilisation de solutions non sécurisées (messageries classiques, plateformes de transfert non-souveraines, clés USB) expose les données à des risques de fuite ou d’accès non autorisé. La réglementation impose d’ailleurs aux collectivités de privilégier des outils souverains, garantissant que les données restent sur le territoire français et sont accessibles uniquement aux personnes habilitées. Opter pour des plateformes de partage certifiées, des coffres-forts numériques et des solutions de chiffrement de bout en bout permet de sécuriser ces échanges, tout en restant conforme aux obligations légales.
Sauvegardes mal sécurisées ou non testées
Disposer de sauvegardes fi ables est essentiel pour faire face à une attaque ou à un incident technique. Mais il ne suffi t pas d’en avoir : il faut aussi s’assurer qu’elles sont stockées de manière sécurisée (idéalement hors ligne ou sur un support isolé) et qu’elles peuvent être restaurées rapidement en cas de besoin. Tester régulièrement la restauration des sauvegardes permet d’éviter les mauvaises surprises le jour où tout doit repartir de zéro.
Le chantier peut sembler vaste et pourtant, il existe aujourd’hui des solutions souveraines et accessibles qui permettent de répondre à l’ensemble de ces enjeux de façon centralisée. C’est le cas de notre partenaire LockSelf, qui propose un outil tout-en-un pour gérer les mots de passe, sécuriser les accès, partager des documents de manière chiffrée et disposer de sauvegardes externalisées. Une démarche pragmatique pour avancer sereinement, même avec des moyens limités.
Preuve que des solutions concrètes font la différence : le SIIM 94 (structure publique) a pu stopper net une cyberattaque en moins de 24h. Comment ? Ils avaient déployé LockSelf depuis quelque temps pour centraliser la gestion des accès et assurer le partage sécurisé des documents. Résultat : incident circonscrit, services maintenus. Son témoignage est dispo ici.
La cybersécurité, un effort collectif et continu
La cybersécurité n’est pas une affaire de quelques experts isolés, ni un projet ponctuel à cocher dans une liste. C’est un engagement collectif, qui demande la mobilisation de tous les acteurs : élus, agents, DSI, prestataires, partenaires et même les citoyens.
Dans le secteur public, cette dynamique est d’autant plus cruciale que les ressources sont souvent limitées. La coopération entre collectivités, le partage d’expériences et la mutualisation des moyens sont des leviers essentiels. Ce n’est qu’en faisant de la cybersécurité un réfl exe quotidien que les collectivités pourront véritablement protéger leurs services et leurs usagers.
Pas de fatalité, mais l’heure n’est plus à l’attentisme
Avec la CNIL qui annonce des contrôles renforcés, et des chiffres (assez alarmants) de ce début d’année, il est urgent d’agir : revoir ses mots de passe, auditer les accès, activer l’authentifi cation multifacteur, former ses agents, tester ses sauvegardes.
Le rôle des collectivités dans la continuité des services essentiels est déterminant, la protection cyber nécessaire.
Rejoignez-nous sur la Lettre d’actualité gratuité de ZATAZ S’abonner à la newsletter ou encore sur WhatsApp et suivez notre veille sur Twitter/X, LinkedIn & YouTube.
Source :
1.https://www.cnil.fr/fr/les-controles-de-la-cnil-en-2025
2.https://www.lemagit.fr/actualites/366624138/Hauts-de-Seine-une-enieme-collectivite-victime-de-cyberattaque
3.https://www.vie-publique.fr/en-bref/296130-les-petites-communes-sont-particulierement-exposees-aux-cyberattaques
