Congrès des maires – Les maires invités à tester leur résilience cyber
Si les petites communes ne sont pas directement concernées par les obligations NIS2, elles font pleinement partie des cibles des cyberattaquants. Au 107e Congrès des maires, les représentants de l'État ont vanté la diversité des outils sur lesquels les maires peuvent s'appuyer pour assumer leur responsabilité cyber. Les représentants de l'AMF ont surtout regretté une dispersion des moyens.
© Patrick Molinoz/ Anne Le Hénanff et Patrick Molinoz
Le 25 avril 2024, un pirate informatique a pénétré dans le système d'information de Gravelines (12.000 habitants, Nord). Un robot avait d'abord testé des milliers d'identifiants au VPN utilisé pour le télétravail, avant d'en trouver un qui fonctionne. Un humain a pu dès lors désactiver les antivirus et installer un ransomware de type Lockbit. Grâce à sa DSI de dix personnes – et à une attaque en semaine – le pire a été évité même si l'affaire a coûté 50.000 euros à la collectivité. "Nous sommes convaincus que le pirate qui nous a touchés ne savait même pas qu'il s'attaquait à une mairie", a témoigné son maire Bertrand Ringot au forum cybersécurité du Congrès des maires le mercredi 19 novembre 2025. En d'autres termes, la commune a été victime d'une "pêche au chalut" qui consiste à attaquer toute entité présentant une faille. "La question n'est pas de savoir si on va être attaqué mais quand" (notre article du 17 décembre 2020) ont martelé en cœur les représentants de l'Etat, venus en nombre pour tenter de sensibiliser des communes qui continuent de se sentir préservées par leur petite taille.
Deepfakes et ingérence étrangère
Les élus ont aussi été mis en garde sur la mutation de la menace, l'intelligence artificielle démultipliant les capacités de nuisance des malfaiteurs. Le général Christophe Husson représentant le COM-Cyber-MI a détaillé ces nouvelles menaces : mails et SMS sans faute générés automatiquement par l'IA, deepfakes vidéo ou audio grâce au "morphing vocal", montage de "fausses visioconférences" pour obtenir, par exemple, un virement frauduleux. Et à quelques mois des municipales, en cette période de tensions géopolitiques, la menace s'étend au champ électoral. "Les communes risquent d'être des cibles, mais les candidats aux élections aussi", a alerté Anne Le Hénanff, la ministre du numérique, en citant l'exemple danois.
Patrick Molinoz, vice-président de l'AMF, a détaillé le scénario : "Ils copient des organes de presse légitimes, Le Monde, Le Figaro, et font passer de fausses informations pour des informations qui auraient réellement été publiées. Ils balancent ça sur les réseaux sociaux ou les messageries." Objectif : "Faire basculer l'opinion publique, faire monter le sentiment d'insécurité. Même dans nos petites communes, on peut être impacté par ces manipulations."
Evaluer sa préparation au pire
Face à des attaques en hausse (+74% sur 5 ans pour les atteintes aux biens), l'Etat a étoffé son offre de services. Une lettre ouverte a été diffusée en amont du Congrès pour les rappeler aux élus. On signalera notamment le nouveau Mooc "SenCyCrise" de Cybermalveillance pour évaluer sa préparation à une cyberattaque. Une version 2, conçue avec l'AMF, prévue pour la fin du premier trimestre 2026, permettra de "tester son plan de gestion de crise".
L'outil "MonAideCyber", développé avec l'Anssi, permet aux collectivités de se faire coacher par des experts pour réaliser un diagnostic, être accompagné dans sa stratégie de résilience, bientôt étendue à la conformité NIS2. "Du cyber, on en a partout sur les territoires", a insisté le général Husson, évoquant le guichet "unique" 17cyber qui coordonne les gendarmes et la police nationale dans la réponse aux victimes. Celui-ci s'ajoute cependant à Cybermalveillance et aux C-Sirt des régions.
"Trop d'interlocuteurs"
Or ce foisonnement agace l'AMF. "Quand on est au bout de la chaîne, si on a 15 interlocuteurs, on ne sait plus à qui s'adresser", a déploré Patrick Molinoz. "Notre interlocuteur de proximité en rural, c'est le gendarme. En ville, c'est le policier. Il faut que ce soit simple pour nous. Quand j'appelle le 17, débrouillez-vous pour que ça fonctionne" a lancé l'élu face à ses quatre interlocuteurs représentant l'Etat.
Cette dispersion est d'autant plus problématique que les moyens ne suivent pas. Patrick Molinoz a rappelé que l'aide de l'Anssi aux C-Sirt régionaux est passé "de 1 million d'euros par région il y a quatre ans à zéro" avant qu'un appel à projets cet été ne débloque 400.000 euros. "On demande beaucoup aux collectivités. Les maires sont coupables de rien mais responsables de tout et on n'a pas beaucoup de moyens financiers" a-t-il rappelé alors que de nouvelles obligations se profilent pour les collectivités.
La ministre a promis de revenir "très prochainement" devant la commission numérique de l'AMF, la prochaine étape étant la discussion du projet de loi NIS2 annoncée pour janvier à l'Assemblée.
