La cybercriminalité ne cesse de progresser. Elle n’a pas de frontière et devient de plus en plus sophistiquée. Dans son rapport dressant un panorama de la cybermenace publié en mars 2025, l’ANSSI1 rappelle que les cyberattaques visent toutes les organisations et les entreprises, précisant que les PME et les TPE représentent près de 40% des victimes.
Les collectivités locales et territoriales, les organisations publiques, para-publiques, sont également confrontées à l’augmentation constante des cybermenaces.
Une étude de Cybermalveillance.gouv.fr publiée en novembre 2024, a révélé qu’1 collectivité locale sur 10 a été victime d’une ou plusieurs cyberattaques au cours des 12 derniers mois, ayant entrainé une interruption d’activité et de services publics (pour 37% d’entre elles), une destruction ou vol de données (pour 24 % d’entre elles), une perte financière et une atteinte à la réputation (pour 10% d’entre elles[1]). Cette étude a mis en exergue la nécessité d’une plus forte sensibilisation, prévention, préparation à la cybersécurité pour les communes. En effet, les risques cyber sont encore insuffisamment pris en considération ou ne sont pas appréhendés dans toute leur ampleur et leur complexité par les agents et les élus. Des collectivités locales se heurtent également à un manque de budget et expriment un besoin d’accompagnement et de sensibilisation.
La cybersécurité est devenue l’affaires de tous. Elle constitue un enjeu majeur les collectivités locales, dont la continuité d’activité, de services, comme la réputation et l’image peuvent être mises en péril par une cyberattaque.
Plusieurs catégories d’attaques peuvent être identifiées :
- Les attaques par social engineering : ces attaques visent les personnes plutôt que les systèmes en manipulant, souvent avec beaucoup d’habilité, leur confiance pour obtenir des informations sensibles.
Les méthodes sont variées, trompeuses, subtiles, difficiles à détecter et peuvent constituer en un :
- Hameçonnage (fishing) :
un appât sous forme d’un message frauduleux est expédié par SMS ou mail,
et imite une source de confiance (banque, administration, fournisseur
d’énergie …) pour inciter le destinataire à cliquer sur un lien ou à fournir des données personnelles ou coordonnées bancaires.
Le nom de l’expéditeur du mail est usurpé, souvent par de simples fautes volontaires d’orthographe (ex : martun.fr au lieu de martin.fr ; googgle.com au lieu de google.com).
Une grande attention doit donc être portée à l’entête du mail, au nom de l’expéditeur, à l’objet, au corps du mail, comme à l’adresse du site qui s’affiche dans le navigateur.
Il convient également d’éviter impérativement de consulter un site officiel en cliquant sur un lien contenu dans un mail.
- Baiting ou juice jacking :
La connexion d’un ordinateur ou d’un téléphone portable à une borne de recharge publique, peut permettre à un pirate d’injecter un logiciel malveillant ou d’accéder à vos données via une connexion USB. Il est recommandé d’utiliser des chargeurs et batteries externes.
- Fraude au Président et/ou fraude aux virements bancaires
L’attaquant se présente habilement comme un dirigeant d’entreprise et demande dans l’urgence, la réalisation d’un virement bancaire, abusant d’autorité pour manipuler un employé.
L’’intelligence artificielle permet, de surcroît, au jourd’hui, une reproduction trompeuse de la voix d’un dirigeant ou d’un manager.
Une grande vigilance s’impose donc.
- Typosquatting
Il s’agit de la création d’un faux site ou « site miroir » dont l’adresse et la présentation ressemblent à celles d’un site officiel, dans le but de recueillir les données personnelles et bancaires. Il faudra agir immédiatement pour obtenir la fermeture du site frauduleux et le blocage du nom de domaine frauduleux, notamment par la mise en œuvre d’une procédure d’arbitrage AFNIC[2], rapide et peu coûteuse.
- Les attaques malwares : les pirates introduisent un logiciel malveillant dans le système informatique de l’entreprise, pour prendre en otage, voler ou bloquer l’accès à ses données en les chiffrant, dans le but d’obtenir le paiement d’une rançon pour les déverrouiller.
Cette intrusion peut également avoir lieu chez un prestataire de l’entreprise (supply chain), dans un serveur de sauvegarde ou dans les accès à distance VPN.
De même, un logiciel malveillant peut s’introduire dans le système informatique sous forme de cheval de Troie et permettre, une fois installé, le contrôle à distance et l’accès aux données de l’entreprise (Droidbot – octobre 2024).
Un ver informatique peut également se propager automatiquement en exploitant des failles de sécurité, sans aucune action de l’utilisateur (Ver blaster – août 2023).
Des arnaques aux faux supports techniques sont aussi fréquemment constatées : l’ordinateur est brutalement bloqué et un message d’alerte de rappel d’un support technique tel que Windows ou Microsoft reproduisant illégalement le logo Windows ou Microsoft apparaît. En exposant faussement que l’atteinte est grave et doit être traitée immédiatement, le but est d’obtenir immédiatement le paiement d’un faux dépannage et/ou la souscription d’un abonnement.
Dans tous les cas, il est vivement conseillé de ne jamais cliquer sur un lien douteux, de ne pas ouvrir de mails suspects, d’effectuer régulièrement des sauvegardes sur des supports adaptés et déconnectés du réseau, de mettre à jour antivirus et logiciels, d’utiliser des mots de passe différents et complexes pour chaque site et application.
Il est également vivement recommandé de ne pas se connecter sur un réseau Wifi public.
Les collectivités locales ont de nombreuses obligations à satisfaire, notamment sur la protection des données personnelles, sur la notification des incidents à l’ANSSI, sur la formation et la sensibilisation des agents aux risques cyber. Ces obligations s’inscrivent dans le cadre d’une réglementation importante et en constante évolution (RGPD, Loi informatique et libertés, le Référentiel Général de Sécurité RGS, le règlement Eidas, la directive européennes NIS 1(2016/1148) et la directive européenne NIS 2(2022/2555)[3] qui sera prochainement applicable)[4].
En conclusion, il est vivement recommandé de :
- Diligenter un audit de cybersécurité pour détecter les vulnérabilités, prévenir les intrusions et prioriser les actions à mener ; apprécier l’opportunité de souscrire une assurance contre les cyber-risques.
- Sécuriser le réseau informatique (protéger les infrastructures, effectuer les mises à jour régulières sur les systèmes d’exploitation, serveurs, bases de données) : utiliser des logiciels de sécurité, pares-feux, filtres anti-spams et anti-virus et outils de blocage des accès non-autorisés.
- Procéder à une sécurisation des postes de travail mobiles, utiliser le chiffrement pour les supports amovibles et sécuriser les équipements utilisés dans le cadre du télétravail.
Les attaques contre des téléphones portables professionnels et personnels sont en forte augmentation. Ces téléphones doivent également être sécurisés.
L’employeur est responsable et a l’obligation de garantir la sécurité et la confidentialité des données professionnelles transitant sur le téléphone personnel de ses employés. Il est par conséquent indispensable de mettre en place des mesures de cloisonnement entre les usages personnels et professionnels des téléphones et/ou des ordinateurs utilisés par le personnel.
Une attention particulièrement forte doit être portée aux obligations contractuelles de confidentialité et d’utilisation des outils par les employés, au règlement intérieur, à la charte informatique, à la charte de télétravail, à l’usage de l’intelligence artificielle qui constitue tout autant un instrument de protection qu’un risque accru de cybermenaces, si elle est mal utilisée.
Il est également impératif que tous alertent et forment leurs salariés ou agents à la cybersécurité.
Il est également nécessaire de définir les obligations des prestataires externes, lorsque tout ou partie des services informatiques est externalisés.
par Cécile MOREIRA Avocate, Associée,
Alister avocats
[1] « 3ème édition du baromètre de la maturité cyber des collectivités » publié le 18 novembre 2024 sur www.cybermalveillance .gouv.fr
[2] AFNIC : Association Française pour le Nommage internet en Coopération – https://www.afinc.fr
[3] https://cyber.gouv.fr – la directive NIS2
[4] Un excellent guide à l’attention des collectivités locales sur leurs obligations et responsabilités en matière de cybersécurité est publié par https://www.cybermalveillance.gouv.fr et la CNIL : https://www.cnil.fr/fr/cybermalveillancegouvfr-et-la-cnil-publient-un-guide-sur-les-obligations-et-les-responsabilites-des
