Longtemps réservée aux administrations centrales et aux opérateurs « d'importance vitale », la cybersécurité concerne désormais les territoires. Le Panorama de la cybermenace 2025 de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), publié en mars 2026, le confirme : parmi les signalements et incidents qu'elle a traités, les ministères et les collectivités territoriales forment la deuxième catégorie la plus visée, 24 % du total, derrière l'éducation et la recherche (34 %).

La mairie, l'intercommunalité ou le centre communal d'action sociale sont devenus des cibles à part entière. Quand un système d'information municipal tombe, c'est l'état civil, la paie, parfois les données de milliers d'administrés qui vacillent : la cybersécurité des territoires est moins une affaire d'informaticiens qu'une question de continuité du service public et de confiance.

Les collectivités, deuxième cible des cyberattaquants

En 2025, l'Agence a traité 3 586 événements de sécurité (2 209 signalements, 1 366 incidents), en baisse de 18 % sur un an (fin du pic des Jeux olympiques et paralympiques de 2024). Mais la répartition par secteur ne faiblit pas : éducation et recherche (34 %), ministères et collectivités territoriales (24 %), santé (10 %), télécommunications (9 %).

Éducation & recherche34 %Ministères & collectivités24 %Santé10 %Télécommunications9 %
Répartition par secteur des signalements et incidents traités par l'ANSSI, 2025. Source : ANSSI, Panorama de la cybermenace 2025.

Les collectivités cumulent les facteurs de risque : systèmes parfois anciens, forte dépendance au numérique, large surface d'attaque et, souvent, une seule personne, quand elle existe, pour gérer l'informatique de centaines d'agents.

Une menace qui a changé de visage

Le dispositif public Cybermalveillance.gouv.fr, groupement d'intérêt public adossé à l'État, montre l'autre face du miroir : en 2024, plus de 420 000 demandes d'assistance, en hausse de près de 50 % en un an. Pour les collectivités, l'hameçonnage reste la porte d'entrée, mais les rançongiciels, qui chiffrent les données contre rançon, figurent au deuxième rang, devant le piratage de comptes. Les attaques se durcissent aussi : double ou triple extorsion, exfiltration puis menace de publication. Phénomène nouveau, le cyberharcèlement visant élus et agents a explosé (+533 % de demandes pour les collectivités en un an), signe que l'attaque se double parfois d'une dimension politique.

Quand une commune est paralysée

Derrière les pourcentages, il y a des semaines d'arrêt : standard muet, état civil bloqué, paies suspendues, marchés publics figés. La remédiation, reconstruire, restaurer les sauvegardes, notifier les personnes dont les données ont fuité, se compte en mois et en centaines de milliers d'euros. Et compromettre le prestataire unique d'une petite commune, c'est souvent atteindre des dizaines de clients publics d'un coup.

NIS 2, le tournant réglementaire

C'est ici qu'intervient la directive européenne NIS 2, en cours de transposition via le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », adopté par le Sénat en première lecture le 12 mars 2025 puis examiné à l'Assemblée nationale. Le changement d'échelle est considérable : d'environ 500 entités régulées, on passe à près de 15 000, sur 18 secteurs. Pour la première fois, les collectivités y entrent massivement : près de 1 500 d'entre elles, toutes les régions et départements, environ 1 000 communautés de communes, près de 300 communes de plus de 30 000 habitants. L'ANSSI, jusqu'ici protectrice des réseaux de l'État, devient régulateur, vérifiant des obligations de sécurité et de notification.

Le contre-argument : une charge de trop ?

L'objectif fait consensus ; sa mise en œuvre, beaucoup moins. Nombre d'élus, surtout dans les petites collectivités, redoutent une obligation difficile à financer, recruter un responsable sécurité, auditer ses systèmes, se mettre en conformité -, au risque de voir NIS 2 perçue comme une norme descendante de plus, voire une recentralisation déguisée. L'objection mérite d'être entendue : le Sénat a d'ailleurs inscrit dans le texte un volet d'accompagnement des collectivités. La réponse la plus crédible reste la mutualisation : à l'échelle intercommunale ou départementale, partager service de sécurité, outils et compétences protège les plus petits sans les écraser. La cybersécurité devient alors un sujet de coopération territoriale autant que de conformité.

Du régalien au sociétal : une menace qui se reconfigure

Cette extension raconte une bascule : hier cantonnée à la défense et aux infrastructures critiques, la cybersécurité devient un enjeu de société qui irrigue chaque territoire. Le directeur général de l'ANSSI prévient que la France doit se préparer à une hausse massive des attaques « hybrides » d'ici 2030 ; les attaques coordonnées contre des infrastructures électriques polonaises, fin 2025, en donnent un avant-goût. Les menaces étatiques restent liées à la Russie et à la Chine (espionnage, « pré-positionnement ») : une collectivité peut devenir, sans le savoir, un point d'entrée dans la résilience nationale.

Des enjeux pour tous les acteurs

La cybersécurité territoriale ne concerne plus les seuls informaticiens. Elle engage la continuité du service public et les données des administrés pour les collectivités ; les responsabilités le long de la chaîne d'approvisionnement pour les prestataires, éditeurs et assureurs cyber ; la gestion de crise et la lutte contre la désinformation pour les médias. Et, pour les citoyens, chaque incident éprouve la confiance dans le service public numérique, lente à construire, rapide à perdre.

Mesurer la confiance pour sécuriser durablement

Face à une menace technique, la tentation est de ne répondre que par la technique. Ce serait une erreur : la sécurité d'une collectivité repose d'abord sur des humains, l'agent qui clique ou non sur le mauvais lien, l'élu qui arbitre ou non un budget de protection, l'habitant qui accepte ou non la dématérialisation. Comprendre ces perceptions est aussi décisif que déployer un pare-feu.

Mesurer la culture du risque des agents, objectiver la préparation ressentie des élus, évaluer la confiance des administrés dans la protection de leurs données : ces diagnostics transforment une obligation réglementaire en stratégie partagée. À l'heure où NIS 2 fait entrer des milliers de collectivités dans la cybersécurité obligatoire, l'Institut Quorum aide les décideurs publics et privés à objectiver ce qui n'apparaît pas dans les pare-feux : la confiance, la vigilance et l'adhésion, conditions premières d'une résilience durable.