Les cyberattaques ciblent de plus en plus les collectivités, alerte un rapport de la Cour des comptes

"La forte croissance des cybermenaces, de plus en plus sophistiquées et diversifiées, justifie la définition, fin 2024, d'une nouvelle stratégie nationale de cybersécurité, qui met en œuvre le cadre européen récemment adopté", rappelle le rapport de la Cour des Comptes intitulé "La réponse de l’État aux cybermenaces sur les systèmes d'information civils" publié ce lundi 16 juin 2025. Ce rapport concerne à de nombreuses reprises les collectivités locales et souligne leur exposition croissante aux cyberattaques et les lacunes dans la protection de leurs systèmes. Cette recrudescence des menaces s'inscrit dans un contexte de professionnalisation et d'industrialisation des cyberattaques, facilitées par la vente en ligne d'outils offensifs (stealers, rançongiciels, etc.) à bas coût. Les groupes cybercriminels, voire des États hostiles, n'hésitent plus à attaquer les maillons faibles des chaînes de production et les prestataires de services publics locaux.

Des dispositifs d'accompagnement "foisonnants" mais "illisibles"

La prise de conscience du risque cyber dans les territoires a conduit à une prolifération de dispositifs d'accompagnement, souvent financés par des crédits d'amorçage (plan de relance, France 2030, etc.). Des outils comme Cybermalveillance.gouv.fr, les CSIRT (Computer Security Incident Response Team) régionaux ou encore le Campus Cyber ont vu le jour, mais leur visibilité, leur articulation et leur pérennité restent très insuffisantes. La Cour souligne que cette "foisonnance" crée une "illisibilité des dispositifs", avec un empilement d'aides et d'acteurs sans modèle économique stable. 

Une gouvernance à revoir, un pilotage interministériel à renforcer

L'élargissement du champ des entités soumises à régulation, en vertu de la directive NIS 2 transposée en 2024, accroît considérablement la charge qui pèse sur les collectivités. Désormais, environ 15.000 entités (dont de nombreuses collectivités de toutes tailles) devront répondre à des obligations de cybersécurité modulées selon leur taille et leur secteur.

Face à cette montée en charge, la Cour recommande un pilotage interministériel plus lisible, incarné par le Secrétariat général de la défense et de la sécurité nationale (SGDSN), et un rôle renforcé de l'Agence nationale de la sécurité des systèmes d'information (Anssi) dans l'accompagnement, la qualification des produits et la formation. L'absence de "traduction budgétaire" de la politique interministérielle actuelle empêche une "déclinaison opérationnelle dans les territoires", estime la Cour. 

Des collectivités encore trop peu préparées

Le rapport relève que la maturité des collectivités en matière de cybersécurité reste très hétérogène, notamment entre les grandes métropoles et les petites communes. Si des progrès sont notables dans les régions pionnières (Hauts-de-France, Bretagne, Occitanie…), l'architecture locale de cybersécurité reste largement à construire. 
La Cour rappelle, en citant les chiffres de l'Anssi, que les coûts de sécurisation sont inférieurs aux coûts moyens d’une cyberattaque, citant des coûts directs estimés à 960.000 euros pour la métropole Aix-Marseille-Provence (mars 2020) et à plus de 1,5 million d'euros pour la ville de Bondy (novembre 2020). "À ces coûts directs s'ajoutent des coûts indirects, liés aux activités non réalisées ou à la perte de confiance des usagers, mais leur chiffrage est complexe, tout particulièrement dans le cas de missions de service public", peut-on lire dans le rapport. 

La Cour appelle à intégrer la cybersécurité dans les pratiques courantes des entités locales, via des audits réguliers, des formations adaptées et une véritable stratégie de gestion des risques numériques. La Cour relève aussi que peu de collectivités disposent de plans de continuité d'activité (PCA) ou de plans de reprise d'activité (PRA) efficaces.
L'audit montre aussi des délais de mise à jour des correctifs critiques sur des systèmes accessibles depuis Internet. Enfin, des outils critiques (VPN, messagerie, ERP -Entreprise Ressources Planning, en français progiciel de gestion intégré) restent exposés malgré des alertes du Cert-FR.

La Cour souligne par ailleurs le besoin de construire un "vivier de ressources humaines", en renforçant les formations labellisées et l'attractivité des carrières cyber dans la fonction publique territoriale.

Une stratégie nationale finalisée, mais à territorialiser

La nouvelle stratégie nationale de cybersécurité, validée fin 2024 en Conseil de défense et de sécurité nationale (CDSN), marque un tournant : elle intègre les collectivités dans ses priorités, en cohérence avec les directives européennes (NIS 2, Dora, REC). Mais la Cour estime que sa mise en œuvre reste à territorialiser et à planifier dans le temps. Elle préconise notamment d'adosser cette stratégie à un échéancier d'actions, à une programmation pluriannuelle des ressources, et à la définition de conventions spécifiques avec chaque ministère et, par extension, avec les grandes familles de collectivités.

Une réponse collective à construire

Pour les magistrats financiers, dans un contexte de menaces systémiques, aucun acteur public ne doit être laissé seul face à la menace. Ils insistent sur la nécessité d'un "effort coordonné entre l'État, les opérateurs nationaux, les structures régionales et les collectivités". L'heure est à la mutualisation, à la clarification des rôles, et à la pérennisation des financements. Le rapport de la Cour des comptes remet la question au centre de l'agenda, en soulignant l'impératif de construire une cybersécurité à la hauteur des enjeux démocratiques, sociaux et économiques des territoires.