Les administrations publiques font face à une réalité préoccupante : elles sont devenues des cibles de choix pour les cybercriminels. Depuis l’essor du numérique dans les années 1990, les collectivités territoriales, les organismes de santé et les administrations centrales accumulent des données sensibles qui attisent les convoitises. Au premier semestre 2025, les agences gouvernementales ont enregistré une augmentation de 65 % des attaques par ransomware, selon les données de SentinelOne. Ce chiffre alarmant illustre l’ampleur d’un phénomène qui menace directement la continuité des services publics et la confiance des citoyens envers leurs institutions.
Le secteur public : une cible privilégiée des cyberattaquants
Pourquoi les administrations attirent les cybercriminels
Le secteur public concentre une quantité considérable de données à haute valeur : informations personnelles, données médicales, dossiers financiers, identifiants fiscaux. Ces informations représentent un butin considérable pour les cybercriminels, qu’il s’agisse de groupes organisés, d’acteurs étatiques ou d’opportunistes. Contrairement aux entreprises privées, les administrations disposent souvent de budgets informatiques limités, de systèmes vieillissants et d’une culture de la sécurité encore insuffisamment développée.
Des exemples concrets d’attaques marquantes
Début 2023, la ville de Lille a subi une cyberattaque d’envergure qui a provoqué des dysfonctionnements majeurs dans les services municipaux pendant plusieurs jours. Cet incident illustre parfaitement la vulnérabilité des collectivités locales face à des attaquants déterminés. Les hôpitaux, les mairies et les ministères figurent régulièrement parmi les victimes recensées, avec des conséquences directes sur les citoyens.
Un ciblage stratégique et délibéré
Les cybercriminels ne s’attaquent pas au secteur public par hasard. Ils exploitent plusieurs facteurs structurels :
- La pression sociale et politique qui pousse les institutions à payer rapidement les rançons pour rétablir les services
- La faiblesse des défenses liée à des infrastructures informatiques souvent obsolètes
- La richesse des données stockées, revendables sur le dark web
- Le manque de personnel spécialisé en cybersécurité dans les équipes IT publiques
Ces facteurs combinés font du secteur public une cible particulièrement rentable pour les attaquants, ce qui explique l’intensification des offensives observée ces dernières années. Comprendre pourquoi les institutions sont visées permet d’identifier plus précisément les risques auxquels elles font face au quotidien.
Risques et défis de cybersécurité dans le secteur public
Des menaces en constante évolution
Les ransomwares restent la menace la plus visible et la plus dévastatrice pour le secteur public. Ces logiciels malveillants chiffrent les données des systèmes infectés et réclament une rançon pour les déverrouiller. Mais les cybercriminels ne s’arrêtent pas là : le phishing ciblé, les attaques par déni de service (DDoS), les intrusions via des fournisseurs tiers et l’exploitation de vulnérabilités zero-day constituent autant de vecteurs d’attaque utilisés contre les administrations.
La complexité croissante des environnements numériques
La transformation numérique des services publics, bien que nécessaire, a considérablement élargi la surface d’attaque des administrations. Le déploiement de portails en ligne, d’applications mobiles, de systèmes de télétravail et d’objets connectés multiplie les points d’entrée potentiels pour les attaquants. Les équipes IT, souvent sous-dimensionnées, peinent à surveiller l’ensemble de ces environnements en temps réel.
Les données sensibles : un enjeu critique
Les administrations gèrent trois grandes catégories de données particulièrement convoitées :
- Les données personnelles : numéros de sécurité sociale, adresses, situations familiales
- Les données financières : revenus, imposition, aides sociales
- Les données médicales : dossiers patients, prescriptions, antécédents
Une fuite de ces informations expose les citoyens à des risques d’usurpation d’identité, de fraude et de chantage. La responsabilité des institutions est donc doublement engagée : techniquement et juridiquement.
Le facteur humain, première cause de compromission
Malgré les investissements technologiques, l’erreur humaine demeure la principale porte d’entrée des cyberattaques. Un agent qui clique sur un lien malveillant, utilise un mot de passe faible ou connecte un périphérique non sécurisé peut compromettre l’ensemble du système d’information d’une collectivité. Ce constat souligne l’importance capitale de la formation et de la sensibilisation des agents publics.
Face à ces risques multiples et interconnectés, les administrations ne peuvent plus se contenter de mesures défensives minimales. Des pratiques concrètes et structurées s’imposent pour renforcer la résilience des systèmes gouvernementaux.
Bonnes pratiques pour sécuriser les systèmes gouvernementaux
Mettre en place une politique de sécurité robuste
La première étape consiste à formaliser une politique de sécurité des systèmes d’information (PSSI) adaptée aux spécificités de l’institution. Ce document cadre définit les règles d’usage, les responsabilités, les procédures d’incident et les niveaux d’accès. Sans ce socle documentaire, les efforts techniques restent dispersés et peu efficaces.
Investir dans des technologies de sécurité adaptées
Les administrations doivent déployer un ensemble d’outils complémentaires pour assurer une protection en profondeur :
- Systèmes de détection et de réponse aux incidents (EDR/XDR) pour identifier les comportements suspects
- Pare-feux de nouvelle génération capables d’analyser le trafic chiffré
- Solutions de gestion des identités et des accès (IAM) avec authentification multifacteur
- Outils de sauvegarde et de restauration testés régulièrement
- Plateformes basées sur l’intelligence artificielle pour la détection d’anomalies en temps réel
Appliquer le principe du moindre privilège
Chaque agent public ne devrait avoir accès qu’aux ressources strictement nécessaires à l’exercice de ses fonctions. Ce principe, appelé least privilege, limite considérablement les dégâts en cas de compromission d’un compte. Associé à une gestion rigoureuse des droits d’accès et à des révisions périodiques, il constitue un rempart efficace contre les mouvements latéraux des attaquants au sein des réseaux.
Tester régulièrement les défenses
Les audits de sécurité, les tests d’intrusion (pentests) et les exercices de simulation de crise permettent d’identifier les failles avant que les attaquants ne les exploitent. Ces démarches proactives, encore trop rares dans le secteur public, doivent devenir une pratique systématique et budgétisée.
Ces bonnes pratiques techniques et organisationnelles s’inscrivent dans des cadres réglementaires qui définissent les obligations minimales des institutions publiques en matière de cybersécurité.
Principaux cadres et obligations de cybersécurité pour le secteur public
Le cadre européen : la directive NIS2
La directive européenne NIS2, entrée en vigueur en 2023 et transposée progressivement dans les législations nationales, élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité. De nombreuses administrations publiques, collectivités et organismes de santé entrent désormais dans son champ d’application. Elle impose notamment :
- La mise en place de mesures de gestion des risques documentées
- L’obligation de notification des incidents significatifs dans des délais stricts
- La responsabilisation des dirigeants sur les questions de cybersécurité
- Des exigences renforcées sur la sécurité de la chaîne d’approvisionnement
Le référentiel général de sécurité (RGS) en France
En France, le référentiel général de sécurité (RGS), établi par l’ANSSI, définit les règles auxquelles doivent se conformer les systèmes d’information des administrations de l’État. Il couvre notamment la gestion des certificats électroniques, l’authentification, la confidentialité et l’intégrité des échanges. Le respect de ce référentiel constitue une obligation pour les services de l’État et une recommandation forte pour les collectivités.
Comparatif des principaux cadres applicables
| Cadre | Périmètre | Caractéristique principale |
|---|---|---|
| NIS2 | UE — entités essentielles et importantes | Notification obligatoire des incidents |
| RGS | France — administrations d’État | Homologation des systèmes d’information |
| RGPD | UE — tout organisme traitant des données personnelles | Protection des données personnelles |
| ISO 27001 | International — tout secteur | Certification du système de management de la sécurité |
L’homologation de sécurité : une étape clé
L’homologation de sécurité est une démarche formelle par laquelle une autorité administrative reconnaît que les risques pesant sur un système d’information sont acceptables. Elle implique une analyse de risques, un plan de traitement et une décision documentée. Trop souvent négligée, cette étape est pourtant indispensable pour tout nouveau projet numérique dans le secteur public.
Au-delà des obligations réglementaires, il est essentiel de mesurer concrètement ce qu’une cyberattaque réussie peut coûter à une institution publique, en termes financiers, opérationnels et humains.
Les impacts d’une cyberattaque pour les institutions publiques
L’interruption des services publics : un impact immédiat
Lorsqu’une administration est victime d’un ransomware, la première conséquence est l’interruption totale ou partielle de ses services. Les agents ne peuvent plus accéder à leurs outils de travail, les citoyens ne peuvent plus effectuer leurs démarches en ligne, et les processus critiques — paiement des aides sociales, gestion des urgences médicales, délivrance de documents officiels — sont paralysés. Ces interruptions peuvent durer de quelques heures à plusieurs semaines.
Les coûts financiers : bien au-delà de la rançon
Le coût d’une cyberattaque pour une institution publique dépasse largement le montant de la rançon éventuellement demandée. Il faut comptabiliser :
- Les coûts de remédiation : reconstruction des systèmes, achat de nouveaux équipements
- Les frais d’expertise : intervention de spécialistes en réponse à incident
- Les pertes de productivité pendant la période de crise
- Les sanctions réglementaires en cas de violation de données personnelles (RGPD)
- Les coûts de communication de crise et de restauration de l’image
L’impact sur la confiance des citoyens
Au-delà des aspects financiers, une cyberattaque réussie porte atteinte à la confiance des citoyens envers leurs institutions. Lorsque des données personnelles sont exposées ou que des services essentiels sont interrompus, le sentiment d’insécurité se diffuse rapidement. Cette dimension, difficile à quantifier, a des conséquences durables sur la relation entre l’administration et les administrés.
Les risques pour la sécurité nationale
Dans les cas les plus graves, notamment lorsque des ministères régaliens, des infrastructures critiques ou des systèmes de défense sont ciblés, les cyberattaques peuvent menacer la sécurité nationale. Les attaques attribuées à des acteurs étatiques étrangers visent souvent à déstabiliser les institutions, à voler des informations stratégiques ou à préparer des opérations d’influence. Ces scénarios, autrefois théoriques, sont désormais documentés et récurrents.
Pour limiter ces impacts, la sensibilisation des agents publics constitue un levier fondamental, souvent sous-estimé mais décisif dans la chaîne de protection des systèmes d’information.
Sensibilisation à la cybersécurité : un programme en trois étapes
Étape 1 : évaluer le niveau de maturité et identifier les lacunes
Avant de déployer un programme de sensibilisation, il est indispensable d’évaluer le niveau de connaissance actuel des agents en matière de cybersécurité. Cette évaluation peut prendre la forme de questionnaires, de simulations de phishing ou d’audits organisationnels. Elle permet d’identifier les profils les plus exposés, les comportements à risque et les thématiques prioritaires à traiter. Sans ce diagnostic initial, les efforts de formation risquent d’être mal ciblés et peu efficaces.
Étape 2 : déployer des formations adaptées et régulières
La formation ne doit pas être un événement ponctuel mais un processus continu. Les modules de sensibilisation doivent couvrir les thématiques essentielles :
- La reconnaissance des tentatives de phishing et d’ingénierie sociale
- La gestion sécurisée des mots de passe et l’utilisation des gestionnaires de mots de passe
- Les bonnes pratiques de navigation et d’utilisation des messageries
- La gestion des appareils mobiles et du télétravail
- Les procédures à suivre en cas d’incident ou de suspicion d’attaque
Des formats variés — e-learning, ateliers en présentiel, serious games — permettent d’adapter la pédagogie aux différents profils d’agents.
Étape 3 : tester, mesurer et améliorer en continu
Un programme de sensibilisation efficace intègre des mécanismes de mesure et d’évaluation réguliers. Les simulations de phishing permettent de tester la vigilance des agents après formation et de mesurer les progrès réalisés. Les indicateurs clés à suivre incluent le taux de clics sur des liens malveillants simulés, le taux de signalement des incidents et le niveau de connaissance mesuré avant et après formation. Ces données permettent d’ajuster en permanence le programme et de démontrer son efficacité aux décideurs.
Pour accompagner ces démarches internes, les collectivités peuvent s’appuyer sur des ressources et des dispositifs d’aide spécifiquement conçus pour le secteur public.
Ressources destinées aux collectivités
Les dispositifs nationaux d’accompagnement
En France, plusieurs organismes proposent un accompagnement gratuit ou subventionné aux collectivités territoriales en matière de cybersécurité :
- L’ANSSI (Agence nationale de la sécurité des systèmes d’information) publie des guides pratiques, des référentiels et propose un dispositif de soutien aux victimes d’attaques
- Le dispositif cybermalveillance.gouv.fr permet aux collectivités de trouver des prestataires qualifiés et d’accéder à des ressources pédagogiques
- Les centres régionaux de réponse aux incidents cyber (CSIRT régionaux) offrent un premier niveau d’assistance aux collectivités victimes d’attaques
Les aides financières disponibles
Le financement de la cybersécurité dans les petites collectivités reste un défi majeur. Plusieurs leviers existent pour alléger la charge budgétaire :
- Les dotations de l’État intégrées dans certains programmes d’investissement
- Les fonds européens (FEDER, programmes spécifiques) mobilisables pour des projets de sécurisation numérique
- Les groupements de commandes entre collectivités pour mutualiser les achats de solutions de sécurité
Les outils pratiques et guides téléchargeables
L’ANSSI met à disposition un ensemble de ressources opérationnelles directement exploitables par les équipes IT des collectivités, notamment le guide d’hygiène informatique, les fiches réflexes en cas d’incident et les recommandations sectorielles pour les hôpitaux, les mairies et les établissements scolaires. Ces documents constituent un point de départ précieux pour les structures qui ne disposent pas encore de politique de sécurité formalisée.
Au-delà des contraintes et des risques, la cybersécurité représente également un terrain d’opportunités pour le secteur public, tant sur le plan de la modernisation que du développement des compétences.
Les opportunités de la cybersécurité dans le secteur public
Moderniser les systèmes d’information par la contrainte
Paradoxalement, les exigences croissantes en matière de cybersécurité constituent un levier puissant de modernisation pour les administrations. La nécessité de sécuriser les systèmes pousse à remplacer les infrastructures obsolètes, à adopter des architectures cloud sécurisées et à repenser les processus métiers sous l’angle de la sécurité dès la conception (security by design). Cette dynamique profite à l’ensemble de la transformation numérique du service public.
Développer les compétences internes et créer des emplois
La montée en puissance de la cybersécurité dans le secteur public génère des besoins en recrutement significatifs. Les collectivités et administrations qui investissent dans la formation de leurs agents et dans le recrutement de profils spécialisés se dotent d’un avantage concurrentiel durable. Cette dynamique contribue également à l’attractivité du secteur public auprès des jeunes diplômés en informatique et en sécurité.
Renforcer la coopération public-privé
Les défis de cybersécurité du secteur public ouvrent la voie à une collaboration renforcée avec le secteur privé. Les partenariats avec des entreprises spécialisées, les programmes de partage de renseignements sur les menaces et les initiatives de co-développement de solutions permettent aux administrations de bénéficier de l’innovation privée tout en apportant leur connaissance des contraintes réglementaires et opérationnelles spécifiques au secteur public.
Renforcer la confiance numérique des citoyens
Une administration qui démontre son engagement en matière de cybersécurité envoie un signal fort à ses administrés. La confiance numérique est devenue un actif stratégique pour les institutions publiques : elle conditionne l’adoption des services en ligne, la qualité des données déclarées par les citoyens et, plus largement, le consentement à la transformation numérique de l’État. Investir dans la cybersécurité, c’est donc aussi investir dans la relation entre l’institution et le citoyen.
La cybersécurité du secteur public n’est plus une option technique réservée aux spécialistes : c’est un enjeu de gouvernance, de souveraineté et de service aux citoyens. Face à des attaques toujours plus sophistiquées et fréquentes, les administrations doivent conjuguer investissements technologiques, formation des agents, respect des cadres réglementaires comme NIS2 et le RGS, et coopération avec les acteurs privés. Les ressources existent, les bonnes pratiques sont documentées, et les opportunités offertes par cette transformation sont réelles. La question n’est plus de savoir si une cyberattaque surviendra, mais d’être prêt à y faire face avec efficacité et résilience.
