Tour de France

Cybersécurité des collectivités : sortir de la logique technique

Dans le Var, une journée immersive co-organisée par le CNFPT (Centre national de la fonction publique territoriale) et la commune de La Farlède a réuni élus, dirigeants territoriaux et experts autour d'une conviction commune : face au risque cyber, la technique ne suffit plus. De la réponse à incident à la continuité du service public, retour sur une journée qui rappelle que la cybersécurité est l'affaire de tous.

Une menace qui s'aggrave, et qui n’épargne personne

Premier constat, posé par Antoine Parmentier, responsable du CSIRT Urgence Cyber Région Sud (le dispositif régional de réponse aux incidents pour les collectivités, TPE et PME de PACA) : la situation se dégrade. « Je vais peut-être un peu noircir le tableau, mais aujourd'hui la menace s'empire », reconnaît-il. Les chiffres parlent d'eux-mêmes : son équipe a traité 85 incidents depuis le début de l'année 2026, soit, en quelques mois seulement, davantage que sur l'ensemble de l'année 2025.

Au sommet de ce panorama, trois grandes familles de menaces : la compromission d'identifiants (souvent des boîtes mail détournées pour de l'usurpation d'identité ou de la fraude au virement), le phishing, présent dans 40 % des cas, et les rançongiciels.

Et personne n'est à l'abri. « On n'a pas besoin d'être une cible pour être une victime. » rappelle Antoine Parmentier. Des petites communes aux EHPAD, des mairies aux grandes structures, tous sont concernés. La raison ? Des attaquants qui pratiquent la reconnaissance de masse, ratissant le plus large possible pour toucher un maximum de victimes, sachant que les plus petits sont plus nombreux et moins bien protégés.

Les bons réflexes quand la crise survient et les erreurs à éviter

Quels sont les premiers réflexes à adopter en cas d’attaque ? Appeler le CSIRT Urgence Cyber Région Sud : un service gratuit, joignable au 0805 036 083. Le CSIRT récupère ainsi le signalement de la victime avant de qualifier l'incident et d'accompagner la collectivité jusqu'à la remédiation.

« Les premiers gestes [après nous avoir appelé], c'est d'isoler les systèmes d'Internet », explique Antoine Parmentier : couper le Wi-Fi, l'accès au fournisseur Internet, pour empêcher l'attaquant de garder la main. Contrairement aux idées reçues, il ne faut pas redémarrer les machines. En cas de poursuites judiciaires, éteindre un système peut altérer les preuves et compliquer l'enquête de la gendarmerie.

Mais selon lui, l'erreur la plus fréquente se situe en amont : « L'absence d'organisation et d'entraînement à la gestion de crise. C'est un peu l'improvisation totale chez les victimes. » Les collectivités découvrent la situation, ne connaissent pas leurs interlocuteurs, et perdent un temps précieux. Un second écueil, souvent sous-estimé : le facteur humain, et notamment le risque de burn-out des équipes pendant la crise. Il est nécessaire de rappeler qu’une crise cyber peut être un véritable traumatisme pour des équipes qui ne sont pas suffisamment préparées.

La continuité d'activité, porte d'entrée vers la prise de conscience

Dans bien des collectivités, ce sont les directeurs généraux des services (DGS) qui se sont emparés du sujet cyber. Garants du bon fonctionnement de l'administration, ils sont depuis longtemps en première ligne sur la gestion des risques (inondations, sécheresses, crises sanitaires). Le risque numérique est une menace de plus à intégrer dans cette culture de l'anticipation. Encore faut-il trouver la bonne clé d'entrée.

C'est tout l'apport de Lionel Pérès, DGS de Vaison-la-Romaine et auteur du livre Cyberattaque : assurer la continuité des services publics locaux. En recentrant le débat sur la continuité du service public plutôt que sur la technique, Lionel Pérès déplace la responsabilité là où elle doit se trouver : « La cybersécurité, ce n'est plus une question uniquement de technicien. C'est une question de gouvernant », résume-t-il. 

« Tant que les décideurs continueront de renvoyer le sujet à leur DSI, il n'y aura pas de prise de conscience collective » prévient Lionel Pérès.

Sa méthode séduit par son refus du jargon technique. Pour convaincre ses agents, il n'a parlé ni d'antivirus, ni de pare-feu, ni d'hygiène numérique. Il préfère les mettre face à la situation : que fait-on si l'ordinateur ne s'allume pas lundi matin ? Et parce qu'il connaît son métier mieux que personne, chaque agent sait imaginer le mode dégradé qui permettra de continuer à servir le public, imparfaitement, peut-être, mais sans rupture.

L'anecdote qu'il en tire est devenue emblématique. À l'accueil des sites antiques de Vaison-la-Romaine, l'agente chargée de la billetterie n'a pas hésité une seconde : son mode dégradé l'attendait dans le troisième tiroir, sous la forme de vieux tickets du Trésor public conservés depuis quinze ans, prêts à servir le jour où le terminal de paiement lâcherait. Ainsi, on réalise qu’un Plan de Continuité d'Activité n'est pas un pavé de procédures indigestes, mais la formalisation de savoir-faire qui existent déjà, souvent transmis par des générations d'agents.

Quand la communication devient le maillon faible

Cette dimension organisationnelle, la table ronde de l'après-midi l'a prolongée sur un terrain souvent négligé : la communication. Car au cœur d'une cybercrise, un paradoxe surgit. La première contre-mesure technique consiste à isoler les systèmes… au risque de couper ses propres moyens de communication. Comment prévenir les agents, informer les élus, répondre aux administrés et à la presse quand l'outil informatique ne répond plus ?

La réponse tient en un mot : anticipation. Préparer en amont les éléments de langage, identifier les canaux alternatifs, désigner un porte-parole, formaliser une chaîne de décision claire. Mais sur le terrain, l'écart reste vertigineux entre l'importance reconnue du sujet et les moyens mobilisés.

Le volet réglementaire ajoute une couche de complexité. En cas de fuite de données personnelles, la collectivité doit notifier la CNIL, parfois informer les usagers, le tout sous la pression d'une éventuelle seconde vague médiatique si les données réapparaissent des semaines plus tard sur le dark web.

Sensibiliser, s'entraîner, créer le collectif

Comment ancrer durablement les bons réflexes ? Pour Antoine Parmentier, la réponse passe par l'entraînement : « Le fait de s'entraîner va permettre d'avoir les bons réflexes, ça va permettre aussi de parler le même vocabulaire entre les techniciens et les non-techniciens. » 

« Il vaut mieux que je perde une heure en faisant un exercice de gestion de crise, que perdre trois semaines derrière dans le traitement d'une vraie crise. » insiste Antoine Parmentier.

C'est précisément la démarche de La Farlède, commune hôte de la journée. Son DGS, Lilian Cardona, assume une posture proactive : « C'était une façon d'affirmer qu'on ne subit pas le risque, qu'on s'y prépare, et qu'on essaie peut-être d'en faire un levier d'optimisation de notre organisation. »

Lui non plus n'est pas technicien : « Je n'y comprends pas grand-chose, j'ai juste essayé de saisir l'enjeu organisationnel de la question. » Sa force ? Une culture du risque déjà installée dans la collectivité, héritée de la gestion d'autres menaces comme la sécheresse ou les inondations. « Si on ne commence pas par ça, on aura du mal à développer le volet cyber. »

Parmi les outils déployés : le war game, un exercice de crise grandeur nature. « Il vient questionner notre posture collective, notre organisation… mais aussi nos postures individuelles », explique-t-il. Car le défi est aussi celui de la diversité : 250 métiers, autant de profils à sensibiliser. 

« Chacun à son niveau est un petit maillon de la sécurité, parce que sur le risque cyber, on est tous concernés. » réaffirme Lilian Cardona.

Une affaire de gouvernance, et de petits pas

De ces trois regards - la réponse à incident, l'expertise de la continuité, la mobilisation managériale - se dégage une même conviction. La cybersécurité des collectivités n'est pas un défi technique réservé aux informaticiens : c'est une question de gouvernance, de culture du risque, et d'organisation.

Reste la réalité du terrain : des budgets contraints, des équipes réduites, des priorités qui s'accumulent. Dans ce contexte, la leçon la plus précieuse est peut-être celle de la politique des petits pas. Une checklist de contacts imprimée sur papier. Un porte-parole identifié à l'avance. Un canal de communication alternatif prévu. Ce n'est pas grand-chose, mais le jour J, cela peut faire toute la différence entre une organisation qui subit et une organisation qui tient.

Merci aux équipes du CNFPT et de La Farlède pour l’organisation de cette journée dédiée à la cybersécurité chez les collectivités territoriales.

📕 Le livre de Lionel Pérès, « Cyberattaque : assurer la continuité des services publics locaux », est paru aux Éditions Territoriales.

Lionel Pérès

Découvrez les derniers articles

Tous les articles

Écouter des podcasts, c'est gratuit !

Le monde de la cyber est disponible sur toutes les plateformes d'écoute.