Quand les collectivités découvrent leur impréparation à une crise cyber

Publié le par Olivier Devillers , pour Localtis
Numérique, Sécurité

Un exercice de gestion de crise organisé le 4 décembre 2025 par Manche numérique a plongé élus et agents territoriaux dans une simulation de crise cyber. Localtis y était. Pendant 1h30, soixante-dix participants ont mesuré l'écart entre la théorie et les multiples défis pratiques que pose une cyberattaque d'ampleur. Un exercice inspiré de l'opération Rempar25 menée sous l'égide de l'Anssi en septembre dernier. 

© O. Devillers

13h30, les premiers appels tombent. Des écoles primaires de la Manche signalent leur incapacité à ouvrir des documents. Une mairie ne peut plus accéder à la plateforme de gestion des dossiers élèves. Sur l'estrade, des représentants de Manche numérique, du centre de gestion et des syndicats d'eau et d'électricité ignorent qu'ils vont vivre une simulation de crise cyber avec les 70 représentants de collectivités présents.

Déclencher la cellule de crise ?

"Autant d'appels similaires, ce n'est pas normal", réagit-on en tribune. Pourtant, qui déclencherait une cellule de crise à ce stade ? La salle est indécise. "Pourquoi pas, mais on y met qui ?" s'interroge-t-on. Le responsable de la sécurité des systèmes d'information (RSSI) de Manche numérique pousse à une cellule à périmètre restreint, limitée au service informatique. Avec pour objectif "la levée de doute", autrement dit vérifier la nature de l'incident, sa localisation et tenter d'en évaluer l'ampleur. Pour les petites structures, sans service informatique, "vous appelez qui ?", questionne l'animateur. "Notre prestataire", répond la salle. Encore faut-il avoir ses coordonnées sous la main. "Et de préférence au format papier", ajoute le RSSI.

Cartographie du système d'information

Les alertes inquiétantes s'enchaînent, confirmant l'ampleur de la crise. Un agent ne peut plus imprimer ses bulletins de paie. L'espace numérique de travail (ENT) ralentit, le support recevant dix appels par minute. Dans la salle, on s'avoue incapable de dire où est hébergé l'ENT. Est-il dans le cloud ou en local ? Peu de mains se lèvent pour répondre à cette colle. Cette information est pourtant indispensable pour pouvoir agir, isoler les machines infectées et éviter la contamination, sauvegardes en tête. Cette phase d'investigation demande cependant l'existence d'une cartographie du système d'information et de ses dépendances externes. Or il s'avère que même les communes les plus importantes du département n'ont pas encore finalisé cet état des lieux.

Le CSirt, cet inconnu

À mesure que la crise s'intensifie, la nécessité d'un recours à une expertise cyber extérieure se fait de plus en plus sentir. La première entité à être mentionnée est la préfecture. La Cnil est aussi citée par la déléguée à la protection des données présente sur l'estrade puisqu'il s'avère que des logiciels traitant des données personnelles sont impactés. Mais quand appeler la gendarmerie ? "Faites au moins une pré-plainte", conseille le RSSI, sachant que la plainte est indispensable pour pouvoir faire jouer son assurance. Si le risque cyber est couvert par la police de la collectivité bien entendu... Il faut ensuite souffler l'acronyme aux participants pour que le centre de réponse à incident cyber (CSirt) normand soit enfin appelé. L'échange révélera la faible connaissance du CSirt sur les spécificités et l'imbrication des systèmes d'information publics de la Manche. Quant à la plateforme nationale 17cyber, le "guichet unique" de la gendarmerie et de la police, il est totalement inconnu des participants.

Communiquer… si on peut

Une heure s'écoule. Un représentant du gouvernement évoque "une panne de grande ampleur à l'échelle nationale". Les élus locaux commencent à s'impatienter et l'exécutif exige des informations "toutes les dix minutes". "C'est peut-être un peu exagéré" émet un participant. La presse s'agite à son tour en demandant des explications sur les blocages qui lui remontent. Quand faut-il communiquer ? "Quand on a des éléments fiables et validés" assure une chargée de communication. "Mais pour communiquer il faut un ordinateur et une boîte mail fonctionnelle", lui fait-on remarquer. Quant à l'information des agents, l'usage de leur numéro de mobile personnel suscite surtout des questions sur sa compatibilité RGPD

Mallette de crise

Au terme de l'exercice, il s'avère que les ralentissements proviennent d'une mise à jour défectueuse d'un antivirus et non d'une cyberattaque. "Un cas très critique", souligne le RSSI qui rappelle que ce scénario a occasionné une paralysie de 15 jours de plusieurs aéroports américains en 2024 avec des pannes en cascade contaminant tout le système d'information. Au terme de cette expérience, l'initiateur de l'exercice, Jérôme Lamache, en charge des services numériques au syndicat mixte, conclut qu'"entre les bonnes intentions et la vraie vie, il y a un sacré écart". Et d'encourager les collectivités à rédiger des "fiches réflexes" et à établir des listes de contacts imprimées et stockés sur une clef USB. Celles-ci rejoindront une "mallette cyber" contenant aussi un ordinateur et un mobile fonctionnels pour faire face à une crise dont la seule inconnue est la date.

› Une déclinaison de l'exercice Rampar25

L'exercice mené par Manche numérique est la déclinaison de celui mené par Déclic à Tours lors de la rencontre nationale des opérateurs de services publics numériques. Le scénario est lui-même inspiré de Rampar25, l'exercice national de gestion de crise cyber organisé le 18 septembre 2025 par l'Anssi. Celui-ci a réuni plus de 5.000 professionnels issus d'un millier d'organisations. Les collectivités y étaient largement représentées (Arnia, Adico, Grand Paris, Manche numérique, plusieurs Sdis …), les CSirt régionaux assurant l'animation des cellules de crise locales.

L'exercice a mis en lumière les enjeux de coordination entre direction générale, élus, DSI et communication dans un contexte de "brouillard de crise". Les difficultés à assurer la continuité des services publics essentiels - état civil, finances, restauration scolaire…  - ont également été mises en évidence. Ces missions sont totalement dépendantes de systèmes numériques et nécessitent de pouvoir fonctionner en mode dégradé, ce qui suppose d'avoir anticipé un retour au papier.

Ce type d'exercice souligne ensuite l'intérêt du format collectif, permettant aux collectivités de partager scénarios et bonnes pratiques avec l'État et les acteurs économiques face à des systèmes d'information de plus en plus interdépendants.

 

Voir aussi

    Abonnez-vous à Localtis !

    Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

    Découvrir Localtis

    Back to Top of the Page