Les chiffres résonnent comme un avertissement. Sur les 1 700 élus et agents territoriaux interrogés dans les collectivités de moins de 25 000 habitants, 45 % reconnaissent avoir été victimes d’attaques informatiques dont la cause demeure inconnue. Plus inquiétant encore, une administration sur dix déclare avoir subi des intrusions malveillantes, ce taux doublant pour les communes dépassant les 5 000 habitants.
Derrière ces statistiques se dessine le portrait d’institutions territoriales mal préparées face aux défis numériques du XXIᵉ siècle. Ce n’est pourtant pas les exemples qui manquent rien que pour cette année : entre le colossal piratage de Free, les attaques pendant les JO cet été ou l’offensive de LockBit sur l’Hôpital Simone-Veil de Cannes, le paysage de la cybersécurité a rarement été aussi secoué sur le sol national.
Une vulnérabilité masquée par une fausse confiance
L’étude révèle un paradoxe saisissant : 53 % des collectivités affirment disposer d’une protection informatique satisfaisante, une perception en hausse de six points par rapport à 2023. Cette confiance repose sur l’installation d’équipements très basiques : antivirus (88 %), systèmes de sauvegarde (85 %) et pare-feu (61 %).
Toutefois, seules 14 % d’entre elles se considèrent réellement prêtes à affronter une cyberattaque. Ces outils sont certes essentiels, mais ils ne constituent qu’une première ligne de défense et ne suffisent absolument pas à garantir une protection complète.
La moitié ne dispose d’aucun plan de continuité ou de reprise d’activité (PCA/PRA), tandis que 28 % ignorent même l’existence de telles procédures dans leur structure. Ce sont pourtant des documents essentiels qui détaillent les actions à mettre en œuvre pour maintenir ou rétablir les activités d’une entité en cas d’incident informatique majeur. Une sorte de plan de sauvetage pour sortir de la tempête.
Sans surprise, les conséquences sont lourdes : 40 % des collectivités ciblées ont subi des interruptions de service suite à une attaque, sans compter les vols de donnés et les destructions qui concernent respectivement 12 % et 15 % d’entre elles.
L’étranglement budgétaire, reflet d’une méconnaissance des enjeux
Les racines de cette vulnérabilité globale plongent dans une réalité financière préoccupante. Sept collectivités sur dix fonctionnent avec un budget informatique annuel inférieur à 5 000 euros, dont plus des trois quarts consacrent moins de 2 000 euros à leur sécurité numérique. Un budget informatique aussi limité, et plus particulièrement un budget sécurité aussi restreint, laisse présager de nombreuses failles dans les systèmes de défense des collectivités concernées.
Deux tiers des administrations n’envisagent, de plus, aucune augmentation de ces ressources pour l’année à venir. En effet, la cybersécurité peut être perçue comme un investissement à long terme, moins prioritaire que des dépenses plus immédiates et les élus locaux ne sont pas toujours conscients de l’importance que revêt pourtant cet aspect.
Une véritable paralysie budgétaire, qui s’accompagne justement d’une sous-estimation chronique des menaces : 44 % des structures, particulièrement les communes de moins de 300 habitants (49 %), considèrent le risque de cyberattaques comme faible, voire très faible.
Face à ce constat, les collectivités appellent à une triple action. 45 % d’entre elles estiment qu’il faudrait renforcer l’accompagnement technique de leurs équipes, 54 % souhaiteraient améliorer le parc d’outils de sécurisation et 62 % plaident pour une meilleure sensibilisation de leurs équipes.
Et l’État dans tout ça ? Il pourrait imposer des obligations de résultats aux collectivités en matière de cybersécurité, tout en leur laissant une certaine latitude dans le choix des moyens à mettre en œuvre. Bien sûr, l’instauration d’un tel cadre exigerait le déblocage de subventions suffisantes, de crédits d’impôts ou de faire appel à des financements européens. Le sentiment d’être délaissé par l’État est une récurrence historique pour les petites communes en France, dans l’idéal, il serait de bon ton que l’histoire ne se répète pas.
- Près de 45 % des petites collectivités ont subi des cyberattaques sans en identifier l’origine, révélant ainsi une importante vulnérabilité systémique.
- La plupart des collectivités se disent bien protégées, mais manquent de plans d’urgence et d’outils avancés.
- Avec des budgets inférieurs à 2 000 euros, elles sous-estiment les risques et peinent à se préparer.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Il faudrait centraliser l’it des collectivités territoriales. Un WordPress des mairies, avec des fonctionnalités, une sécurité et des coûts mutualisés