Les parcours cyber de l'Anssi à l'heure du bilan : 75% des bénéficiaires sont des collectivités
L'Agence nationale de la sécurité des systèmes d'information (Anssi) vient de publier un bilan des "parcours de cybersécurité" initiés dans le cadre du plan France Relance. 945 structures ont été accompagnées dont les deux tiers de (grandes) collectivités. Un programme dont l'arrêt interroge alors même que les menaces cyber et les obligations réglementaires des collectivités se multiplient.

© ANSSI
Pour mémoire, les "parcours de cybersécurité" ont été lancés en 2021 dans le contexte de l'après covid, de la numérisation accélérée des structures publiques et d'un accroissement des cyberattaques en nombre impactant entre autres le fonctionnement des services publics. Piloté par l'Anssi, ce programme a bénéficié d'une enveloppe de 100 millions d'euros sur les 176 millions alloués au volet cybersécurité de France Relance.
Les collectivités, premières bénéficiaires du programme
Le bilan publié le 28 avril 2025 révèle 945 entités accompagnées parmi lesquelles 707 collectivités territoriales, soit près de 75% des bénéficiaires. Celles-ci ont pu bénéficier d'un accompagnement structuré en deux phases : un audit complet de leur système d'information, puis la mise en œuvre de mesures de protection adaptées. Si la carte des bénéficiaires montre une répartition équilibrée par région (outre-mer inclus) on rappellera que la principale condition posée par l'Anssi était de disposer d'un responsable de la sécurité des systèmes d'information en interne pour piloter le projet, ce qui a exclu de fait les petites collectivités.
Chaque collectivité a reçu une première subvention de 40.000 euros pour financer l'audit initial, avant de s'engager à cofinancer à hauteur de 30% les mesures correctives identifiées. Une carotte qui a eu un rôle moteur note le rapport, les investissements cyber ayant du mal à être priorisés par les collectivités. Au terme du programme, les bénéficiaires ont mis en œuvre plus de 3.000 mesures de sécurisation, principalement orientées vers la protection des systèmes d'information (64%), la gouvernance (27%), ainsi que la défense et la résilience (9%). Parmi les actions les plus déployées figurent :
- la sécurisation de l'active directory (1),
- le cloisonnement des systèmes,
- la mise en place de politiques de sécurité et la sensibilisation des personnels au phishing.
Les collectivités ont également investi dans des dispositifs de sauvegarde sécurisés et des plans de continuité d'activité pour garantir la permanence des services publics en cas d'attaque.
Au total, le score de "maturité cyber" calculé par l'Anssi pour les entités accompagnées a progressé en moyenne de "D+" à "B".
Et maintenant ?
L'Anssi estime que ce programme a posé les bases d'une "dynamique pérenne des investissements cyber", préparant les entités aux exigences de la directive européenne NIS 2. Elle souligne ainsi un niveau d'investissement moyen par les feuilles de route adoptées par les bénéficiaires, supérieur de 30% aux montants initialement prévus, signe d'une réelle prise de conscience. L'agence a en outre créé la plateforme "Club SSI" pour permettre aux structures publiques de continuer d'échanger sur les bonnes pratiques et la menace.
La poursuite du programme ou sa transformation n'est pas envisagée. Et pour cause : l'agence a été la première à faire les frais des restrictions budgétaires en n'obtenant pas les financements qu'elle avait demandés dans la loi de finances pour 2025. Or, les quelque 700 collectivités accompagnées cachent mal la forêt des dizaines de milliers de collectivités restées en dehors. Certaines sont il est vrai accompagnées par une grande collectivité ou une structure de mutualisation, mais avec l'Anssi pour amorcer la pompe. La couverture territoriale est en outre loin d'être homogène pour ces actions qui relèvent du seul volontarisme politique. C'est du reste pour ces raisons que les sénateurs ont inscrit l'accompagnement humain et financier dans le dur de la transposition NIS 2. Tout en renvoyant la question du "combien" au prochain budget (notre article du 20 décembre 2024).
(1) Active Directory (AD) est une base de données et un ensemble de services qui permettent de mettre en lien les utilisateurs avec les ressources réseau dont ils ont besoin pour mener à bien leurs missions