Les collectivités territoriales, qu’il s’agisse des communes, départements ou régions, sont des cibles de plus en plus privilégiées des cybercriminels. Leur rôle central dans la gestion des services publics et la masse de données qu’elles traitent en font des proies idéales pour des attaques variées, allant du rançongiciel au sabotage informatique.
L’année 2024 a marqué une recrudescence notable des cyberattaques, comme en témoigne le rapport de l’ANSSI. Entre cybercriminalité opportuniste et offensives plus sophistiquées, l’impact sur ces structures est majeur : services interrompus, fuites de données et tensions budgétaires accrues. Face à cette réalité, la cybersécurité des collectivités devient un enjeu crucial, nécessitant une prise de conscience et des mesures adaptées.
Une montée en puissance des cyberattaques
L’ANSSI a recensé 218 incidents en 2024 touchant les collectivités territoriales, soit une moyenne de 18 attaques par mois. Ces incidents représentent 14 % de l’ensemble des cyberattaques traitées par l’agence, un chiffre révélateur de l’ampleur du problème.
Les communes et les établissements publics de coopération intercommunale (EPCI) sont les plus touchés, ce qui s’explique en partie par leur nombre élevé en France. Cependant, les départements et régions sont eux aussi fortement ciblés, avec des attaques parfois plus structurées et mieux orchestrées.
L’année écoulée a également été marquée par une diversité accrue des modes opératoires. Si les rançongiciels restent une menace omniprésente, d’autres formes d’attaques ont émergé ou se sont intensifiées : exfiltration de données, vente d’accès aux systèmes informatiques, attaques DDoS de grande ampleur et, plus inquiétant encore, des actes de sabotage impliquant des groupes affiliés à des États.
Rançongiciels et exploitation des failles : une mécanique bien rodée
Les attaques par rançongiciels continuent de faire des ravages parmi les collectivités. 25 attaques ont été recensées en 2024, avec des groupes comme LOCKBIT, BABUK et 8BASE en première ligne. Dans de nombreux cas, ces attaques entraînent une interruption totale des services et nécessitent des semaines, voire des mois, pour être résolues.
L’exemple d’une commune française attaquée en avril 2024 illustre bien les conséquences dramatiques de ces intrusions. Après l’infection par LOCKBIT 3.0, la municipalité a dû déconnecter son système d’information d’Internet, empêchant ainsi la délivrance des services essentiels comme l’état civil, la gestion des écoles ou encore la facturation des services publics.
Ces attaques exploitent souvent des failles de sécurité non corrigées sur les systèmes d’information des collectivités. Le rapport de l’ANSSI mentionne plusieurs vulnérabilités critiques exploitées en 2024, notamment celles affectant des équipements de bordure comme des pare-feux et des VPN. L’exploitation de ces failles permet aux attaquants de pénétrer dans les systèmes et de les chiffrer à des fins de rançon.
Par ailleurs, l’effet domino est un autre facteur aggravant : en raison des interconnexions entre les collectivités et certains prestataires de services informatiques, une seule compromission peut rapidement s’étendre à plusieurs entités. Ce fut le cas en Allemagne en octobre 2023, où une attaque contre un fournisseur IT dédié aux collectivités a paralysé les systèmes de 72 municipalités, impactant 1,7 million d’habitants.
Données en danger : l’exfiltration comme nouvel enjeu
Si le chiffrement des données par rançongiciel est une première menace, leur vol et leur revente sur le darknet est une préoccupation croissante. En 2024, plusieurs cas d’exfiltration ont été signalés en France, avec des annuaires municipaux et des registres de facturation diffusés sur des forums cybercriminels.
Les collectivités détiennent des informations précieuses sur leurs administrés : données d’état civil, historiques fiscaux, informations médicales dans certains cas… Une fuite de ces données représente un risque juridique et réputationnel majeur. En plus des amendes potentielles liées au non-respect du RGPD, l’image des collectivités concernées se retrouve ternie.
Les attaquants ne se contentent plus d’exfiltrer des bases de données : ils mettent également en vente des accès aux infrastructures informatiques des collectivités. Certains groupes cybercriminels proposent sur des places de marché du darknet des accès à distance à des réseaux municipaux, permettant ainsi à d’autres acteurs malveillants d’exploiter ces ressources pour d’autres attaques.
Des cyberattaques motivées par la déstabilisation politique
Les cyberattaques ne sont pas toujours motivées par l’appât du gain. Les collectivités territoriales françaises ont été régulièrement ciblées en 2024 dans des contextes géopolitiques sensibles.
Ainsi, les attaques DDoS revendiquées par des groupes hacktivistes pro-russes se sont multipliées, notamment en réaction au soutien de la France à l’Ukraine. En fin d’année, le 31 décembre 2024, une vague de cyberattaques a frappé de nombreuses municipalités et conseils régionaux. Ces attaques n’ont pas entraîné de paralysie durable mais montrent la volonté de certains groupes de perturber le fonctionnement des institutions françaises.
D’autres collectivités ont subi des attaques de sabotage plus élaborées, bien que la France ait pour l’instant été relativement épargnée. Aux États-Unis, une infrastructure de gestion de l’eau a été compromise par un groupe lié à l’Iran, mettant en lumière la vulnérabilité des systèmes critiques municipaux. Si ce type d’attaque ne s’est pas encore produit en France, l’ANSSI alerte sur une hausse des tentatives de reconnaissance sur les infrastructures locales.
Se défendre : vers une cybersécurité renforcée
Face à cette escalade des menaces, la protection des collectivités doit devenir une priorité. L’ANSSI recommande plusieurs actions immédiates :
- Sécuriser les accès en généralisant l’authentification multi-facteurs.
- Renforcer la surveillance des systèmes pour détecter les intrusions au plus tôt.
- Mettre en place des plans de reprise d’activité (PRA) pour assurer la continuité des services en cas d’attaque.
- Former et sensibiliser les agents municipaux aux risques numériques.
Certaines collectivités ont déjà pris des initiatives dans ce sens. Plusieurs communes ont mis en place des exercices de simulation d’attaques pour tester leur résilience. L’enjeu est de taille : il ne s’agit pas seulement de protéger des infrastructures, mais d’assurer la continuité des services essentiels pour les citoyens.
Sécuriser l’avenir numérique des collectivités
L’année 2024 a démontré que les collectivités territoriales sont devenues des cibles de choix pour les cybercriminels et les acteurs malveillants. Les attaques se diversifient, touchant aussi bien la sphère financière que la stabilité politique et institutionnelle. La réponse doit être à la hauteur de l’enjeu : renforcer la sécurité des systèmes, former les agents et anticiper les crises avant qu’elles ne surviennent. Plus qu’une question technique, la cybersécurité des collectivités est devenue un impératif de service public.
Source : ANSSI, Collectivités territoriales – Synthèse de la menace
