Aller au contenu principal
CollectivitésAuditBonnes pratiquesDébutant

Cybersécurité dans les petites mairies : par où commencer en 2026 ?

Guide pratique pour les communes de moins de 10 000 habitants qui souhaitent structurer leur cybersécurité sans expertise interne ni budget DSI. Étapes prioritaires, ressources gratuites.

Par Jean-Christophe Bork
Façade d'une mairie de village, symbole des collectivités locales

Les petites mairies ont tout autant besoin de cybersécurité que les grandes collectivités — mais elles n’ont ni le budget, ni les ressources humaines pour s’y consacrer pleinement. La bonne nouvelle : il existe des mesures accessibles, souvent gratuites ou peu coûteuses, qui permettent de réduire significativement le risque. Voici par où commencer.

Pourquoi les petites communes sont ciblées

Il existe un mythe tenace : “on est trop petits pour être intéressants”. Ce n’est plus vrai depuis plusieurs années. Les attaques par rançongiciel sont devenues largement automatisées. Les cybercriminels ne ciblent pas une mairie spécifique — ils envoient des milliers de mails de phishing ou scannent des millions d’adresses IP à la recherche de vulnérabilités connues. Si votre système est accessible et présente des failles, vous serez touchés, quelle que soit votre taille.

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) l’a documenté dans ses panoramas de la cybermenace successifs : les collectivités locales, y compris les petites communes, figurent parmi les catégories les plus touchées en France.

Les conséquences d’une attaque réussie pour une commune de 3 000 habitants peuvent être sévères :

  • Services à l’arrêt : état civil, urbanisme, comptabilité publique, gestion des cantines
  • Perte de données : données citoyens, délibérations, marchés publics
  • Obligation de notification à la CNIL si des données personnelles sont impliquées
  • Durée de remise en service : souvent plusieurs semaines, parfois plusieurs mois pour retrouver un fonctionnement normal

L’état des lieux de la plupart des petites communes

Avant de proposer des solutions, il faut nommer ce que l’on observe fréquemment dans les communes de moins de 10 000 habitants :

  • Un ou deux prestataires informatiques qui gèrent le parc, sans mission explicite de sécurité
  • Des mots de passe simples ou partagés entre agents
  • Pas de sauvegardes testées (ou des sauvegardes dont personne ne sait si elles fonctionnent)
  • Des postes avec des systèmes d’exploitation non mis à jour
  • Des agents qui utilisent leur adresse mail personnelle pour des échanges professionnels
  • Pas de procédure en cas d’incident cyber

Ce n’est pas une critique — c’est la réalité d’organisations dont le cœur de métier n’est pas l’informatique, et qui font avec les ressources disponibles.

Les mesures prioritaires : le socle minimal

1. Les sauvegardes — votre filet de sécurité ultime

Si votre commune ne fait qu’une seule chose en matière de cybersécurité, ce doit être de vérifier que ses sauvegardes fonctionnent.

La règle 3-2-1 est le standard :

  • 3 copies des données
  • sur 2 types de supports différents
  • dont 1 hors site (cloud ou support physique stocké ailleurs)

Mais la sauvegarde ne vaut rien si elle n’est jamais testée. Il faut régulièrement (au minimum trimestriellement) vérifier qu’on peut bien restaurer les données depuis la sauvegarde. C’est cette vérification qui fait souvent défaut.

2. Les mises à jour — la protection la plus simple et la plus négligée

La majorité des attaques exploitent des vulnérabilités déjà connues et corrigées. Les éditeurs de logiciels publient régulièrement des mises à jour de sécurité. Si vos systèmes ne sont pas à jour, vous restez exposé à des failles pour lesquelles il existe pourtant un correctif.

Actions concrètes :

  • Activer les mises à jour automatiques sur les postes Windows (via Windows Update)
  • Vérifier que votre prestataire intègre les mises à jour dans son contrat de maintenance
  • Mettre à jour les routeurs et NAS régulièrement (souvent négligés)

3. Mots de passe et authentification à deux facteurs (MFA)

Des mots de passe robustes et uniques pour chaque service critique, combinés à l’authentification à deux facteurs (MFA) sur les comptes les plus sensibles (messagerie, accès à distance, logiciels de comptabilité).

Le MFA est l’une des mesures les plus efficaces contre la compromission de comptes. Même si un mot de passe est volé ou deviné, l’attaquant ne peut pas se connecter sans le second facteur (SMS, application d’authentification).

4. La sensibilisation des agents

90 % des incidents cyber impliquent un facteur humain. Un agent qui clique sur un lien de phishing, qui utilise le même mot de passe partout, ou qui branche une clé USB trouvée dans le parking — ce sont des vecteurs d’attaque réels.

Une demi-journée de sensibilisation collective par an permet de faire passer les messages essentiels et de donner aux agents les réflexes pour identifier les situations à risque.

Ressources gratuites disponibles

L’écosystème public français propose des ressources spécifiquement adaptées aux collectivités :

Cybermalveillance.gouv.fr

Le portail officiel de sensibilisation cyber du gouvernement. En cas d’incident, c’est la première ressource à consulter — le site propose un assistant de diagnostic et une liste de prestataires qualifiés par zone géographique.

MonAideCyber (ANSSI)

L’ANSSI a lancé le programme MonAideCyber, qui permet aux collectivités de bénéficier d’un diagnostic cyber gratuit réalisé par des aidants formés. Un outil d’auto-évaluation est également disponible sur leur site.

Le guide de l’ANSSI pour les collectivités

L’ANSSI publie des guides sectoriels gratuits, dont un spécifiquement dédié aux collectivités territoriales. Ces guides fournissent des recommandations concrètes et hiérarchisées.

Seine-Yvelines Numérique (pour les communes du 78)

Pour les collectivités des Yvelines, le syndicat mixte Seine-Yvelines Numérique propose des accompagnements dans la transformation numérique des communes membres. N’hésitez pas à les contacter pour connaître les dispositifs disponibles sur votre territoire.

Et les financements ?

La cybersécurité a un coût. Pour les petites communes, plusieurs dispositifs de financement existent :

  • DETR (Dotation d’Équipement des Territoires Ruraux) : peut financer des projets de sécurisation informatique. À instruire auprès de la préfecture des Yvelines.
  • DSIL (Dotation de Soutien à l’Investissement Local) : pour les projets plus importants.
  • Banque des Territoires : propose des financements spécifiques pour la transformation numérique et la sécurité des collectivités.
  • Dispositifs régionaux Île-de-France : la Région Île-de-France dispose de programmes d’aide à la modernisation numérique des collectivités.

Par où commencer concrètement ?

Si vous deviez prendre trois décisions cette semaine :

  1. Demandez à votre prestataire informatique : “Nos sauvegardes sont-elles testées ? Quand avons-nous vérifié pour la dernière fois qu’on peut restaurer nos données ?” Si la réponse est vague, c’est une priorité.

  2. Activez le MFA sur la messagerie des agents qui ont accès aux données sensibles ou aux systèmes financiers. Sur Microsoft 365, c’est activable en quelques clics dans le centre d’administration.

  3. Consultez cybermalveillance.gouv.fr pour obtenir un premier état des lieux gratuit de votre exposition.

Vous êtes une commune des Yvelines et vous souhaitez faire le point sur votre situation ? Je propose un premier échange de 30 minutes, gratuit et sans engagement, pour cadrer votre besoin et vous orienter vers les bonnes ressources.

Sources : ANSSI, Panorama de la cybermenace 2023 ; Cybermalveillance.gouv.fr, Rapport d’activité 2023.