Cybersécurité et agents de collectivités territoriales :
Le guide des bonnes pratiques
Introduction – La cybersécurité, un enjeux capital pour les agents des collectivités territoriales
Ces dernières années, les cyberattaques se sont multipliées, touchant indifféremment entreprises privées, hôpitaux, administrations et collectivités territoriales. Longtemps perçues comme des structures à l’abri de telles menaces en raison de leur taille ou de leur activité, les communes, mêmes rurales, sont aujourd’hui dans la ligne de mire de cybercriminels organisés, parfois très bien renseignés. Le manque de moyens humains et financiers, la précarité des systèmes d’information et l’insuffisante sensibilisation des agents rendent ces structures particulièrement vulnérables.
Dans ce contexte, les agents territoriaux sont en première ligne. Ils manipulent chaque jour des données sensibles, traitent des informations personnelles, accèdent à des services en ligne critiques pour le fonctionnement quotidien des communes. Une simple erreur ou un moment d’inattention peut ouvrir la porte à une attaque paralysante. Cet article propose un guide complet des bonnes pratiques de cybersécurité, adapté au contexte spécifique des petites collectivités territoriales. Il vise à sensibiliser, informer et accompagner les agents, secrétaires de mairie et élus locaux pour faire de la sécurité numérique une réalité concrète sur le terrain.
Les agents publics, maillon faible ou première ligne de défense ?
Dans l’imaginaire collectif, la cybersécurité reste souvent associée à des experts en informatique à capuche, cloîtrés dans des salles serveurs. Pourtant, la réalité du terrain est bien différente. Ce sont les agents territoriaux, au guichet, au téléphone, dans les bureaux des services techniques ou administratifs, qui manipulent quotidiennement des informations sensibles et utilisent des outils connectés. Ils deviennent ainsi la première ligne de défense face aux menaces numériques.
Malheureusement, ils sont aussi souvent le maillon faible. Non par manque de volonté ou de compétence, mais par défaut de sensibilisation et de formation. Les erreurs humaines, comme le clic sur un lien frauduleux, l’utilisation d’un mot de passe trop simple ou le partage involontaire d’informations confidentielles, sont à l’origine de la majorité des failles de sécurité. Dans les petites communes, où les agents cumulent les fonctions et où l’on fait souvent « avec les moyens du bord », l’hygiène numérique est rarement une priorité.
Pourtant, ce sont des gestes simples et des réflexes élémentaires qui peuvent faire toute la différence. Une collectivité bien protégée commence par des agents bien formés, conscients de leur rôle essentiel dans la chaîne de sécurité.
Les principales menaces numériques auxquelles sont exposées les collectivités locales
Les cybermenaces auxquelles font face les collectivités territoriales sont diverses, mais certaines se distinguent par leur fréquence et leur gravité. Le phishing, ou hameçonnage, arrive en tête. Il s’agit de courriels frauduleux incitant l’agent à cliquer sur un lien ou à ouvrir une pièce jointe. Ces messages imitent souvent des communications internes ou de fournisseurs connus, ce qui les rend d’autant plus piégeux.
Les ransomwares, ou rançongiciels, sont l’autre grande menace. Ils bloquent l’accès aux données ou aux systèmes de la mairie jusqu’au paiement d’une rançon. Plusieurs petites communes françaises ont dû cesser temporairement leur activité après une telle attaque, incapables d’accéder aux états civils, aux listes électorales ou aux outils comptables.
La perte ou le vol de matériel (ordinateur portable oublié dans un train, clé USB non chiffrée) expose aussi les collectivités à des risques de divulgation d’informations sensibles. Par ailleurs, l’utilisation d’outils en ligne non sécurisés, comme des plateformes de transfert de fichiers grand public, reste fréquente faute de solutions alternatives mises à disposition.
Enfin, l’usurpation d’identité est un risque croissant. Un agent ou un élu reçoit un message soi-disant envoyé par le maire ou le DGS, demandant en urgence un virement bancaire. Pris par le stress ou la routine, il obéit. Le dommage est immédiat et difficilement réversible.
Construire une culture de cybersécurité adaptée aux réalités des petites collectivités
Contrairement aux grandes structures, les petites collectivités n’ont pas de DSI, rarement un référent sécurité formé, et encore moins de budget dédié à la cybersécurité. Pourtant, c’est justement dans ces contextes que la culture du risque doit s’ancrer. Car l’objectif n’est pas d’ériger une forteresse informatique, mais de développer une vigilance collective.
Une formation ponctuelle ne suffit pas. Il faut penser en termes de pédagogie continue, de rappels réguliers, de mises en situation. Un simple message mensuel rappelant les bons réflexes peut déjà entretenir la mémoire du risque. Désigner un agent volontaire comme “référent cybersécurité”, même sans compétence technique poussée, permet de créer un point d’appui local et reconnu.
Quelques mesures simples peuvent être mises en place rapidement : l’obligation de changer de mot de passe tous les trois mois, l’interdiction d’utiliser sa boîte mail personnelle à des fins professionnelles, l’affichage d’une fiche de réflexes à côté de chaque poste. Le soutien du maire et du DGS est ici déterminant : une collectivité ne peut pas se prémunir seule contre les cybermenaces sans impulsion politique.
Les bonnes pratiques essentielles à appliquer au quotidien
Le socle d’une bonne cybersécurité repose sur des habitudes simples. La première concerne les mots de passe : ils doivent être longs, complexes, et changés régulièrement. L’utilisation d’un gestionnaire de mots de passe sécurisé est recommandée pour éviter les oublis. Les post-it collés sous le clavier ou les mots de passe partagés entre collègues doivent être proscrits.
Ensuite, il faut être extrêmement vigilant face aux e-mails. Tout message comportant un lien, une pièce jointe inattendue ou un ton pressant doit être considéré avec suspicion. Il est préférable de vérifier l’identité de l’expéditeur avant toute action. Même si le nom affiché semble familier, le domaine de l’adresse peut révéler une tentative de fraude.
Les mises à jour des logiciels et systèmes d’exploitation doivent être faites dès qu’elles sont disponibles. Elles corrigent souvent des failles de sécurité connues et exploitées par les pirates. De même, les clés USB doivent être scannées avant utilisation, et leur usage limité aux cas nécessaires.
Les connexions à distance (télétravail, interventions hors mairie) doivent passer par un réseau sécurisé ou un VPN. Il ne faut jamais utiliser un Wi-Fi public pour accéder aux données professionnelles. Les sauvegardes doivent être régulières, vérifiées et, si possible, externalisées. Enfin, tout incident, même mineur, doit être immédiatement signalé pour éviter une propagation ou une aggravation.
Encadrer les usages numériques personnels dans un cadre professionnel
Dans les petites collectivités, où les moyens matériels sont souvent limités et où les fonctions sont mutualisées, il n’est pas rare que les agents territoriaux utilisent leur propre matériel ou leurs outils personnels pour exercer leurs missions. Cette pratique, bien que parfois nécessaire ou perçue comme une solution de facilité, représente un risque majeur en matière de cybersécurité.
1. Une porosité préoccupante entre vie privée et usage professionnel
L’utilisation de la messagerie personnelle pour envoyer des documents liés à la gestion communale, le transfert de fichiers sur des clés USB personnelles non chiffrées, ou encore l’accès à des applications métier via un ordinateur familial sont des situations fréquentes. Ces usages hybrides — entre sphères privée et professionnelle — brouillent les responsabilités, contournent les dispositifs de protection mis en place par la collectivité (pare-feu, antivirus, journalisation) et exposent les données sensibles à des fuites, pertes ou compromissions.
Les risques sont nombreux : infection par un virus depuis un appareil non protégé, interception de données via un Wi-Fi non sécurisé, stockage de documents professionnels dans un cloud personnel, etc. Ces pratiques peuvent aussi générer des conflits juridiques en cas d’incident (vol de données, plainte CNIL, etc.), notamment en matière de protection des données personnelles.
2. Encadrer sans punir : trouver un équilibre réaliste
Il ne s’agit pas de culpabiliser les agents, mais d’encadrer les usages pour limiter les risques. La première étape est de reconnaître officiellement l’existence de ces pratiques, puis d’y apporter des règles claires et simples, compatibles avec les réalités de terrain.
Quelques principes de base à adopter :
- Proscrire l’usage des messageries personnelles pour l’envoi ou la réception de données professionnelles. En contrepartie, la collectivité doit veiller à fournir à chaque agent une adresse e-mail professionnelle.
- Interdire le stockage de documents professionnels sur des supports non chiffrés, en particulier les clés USB ou disques durs personnels. Il est préférable d’utiliser des solutions cloud professionnelles sécurisées (avec authentification forte) mises à disposition par la collectivité.
- Sensibiliser les agents aux risques du télétravail depuis un poste personnel, et recommander, a minima, l’installation d’un antivirus à jour, l’utilisation d’un VPN, et la création d’un compte utilisateur dédié à l’usage professionnel sur l’ordinateur personnel.
- Limiter l’usage des téléphones personnels pour accéder à des outils ou applications professionnelles. En cas de nécessité absolue (ex. astreinte, urgences), privilégier l’installation d’applications dans un “espace sécurisé” ou le recours à des outils officiels de l’administration (comme une application métier protégée).
3. Vers une politique “BYOD” adaptée aux collectivités
La mise en place d’une politique de BYOD (Bring Your Own Device) n’est pas réservée aux grandes entreprises. Une version simplifiée et adaptée au contexte communal peut être envisagée. Cette politique permet de formaliser les règles d’utilisation des appareils personnels, de définir les responsabilités (ex : qui est responsable en cas de fuite ?), et de proposer des solutions concrètes (accès VPN, applications sécurisées, protocole de chiffrement).
Un tel document, rédigé en langage clair et validé par les élus ou le DGS, contribue à responsabiliser les agents sans les stigmatiser. Il permet aussi à la collectivité de se prémunir juridiquement en cas d’incident.
4. Fournir des alternatives concrètes
Enfin, toute restriction doit s’accompagner d’une mise à disposition de moyens adéquats. Cela ne signifie pas forcément équiper chaque agent d’un ordinateur portable dernier cri. Mais des solutions simples existent : installation d’un Webmail sécurisé accessible depuis n’importe quel poste, prêt ponctuel de matériel de la collectivité, outils collaboratifs open source sécurisés, ou même sessions de formation sur les bonnes pratiques en télétravail.
Un agent bien équipé est un agent mieux protégé. La cybersécurité passe aussi par une reconnaissance des besoins matériels de base pour exercer sereinement ses missions, même en dehors des murs de la mairie.
En cas d’incident : comment réagir efficacement
Lorsqu’une attaque survient, le temps devient un facteur déterminant. Une collectivité qui a anticipé le risque sera toujours plus résiliente. Il est donc essentiel de disposer, même sommairement, d’un plan de gestion de crise numérique. Ce plan prévoit qui alerter (préfet, prestataire informatique, ANSSI), comment isoler les machines compromises, quelles données restaurer en priorité.
Dans certains cas, une notification à la CNIL est obligatoire, notamment si des données personnelles ont été compromises. Cette notification doit intervenir dans les 72 heures. Il peut aussi être nécessaire de porter plainte, surtout si l’attaque a entraîné un préjudice financier ou la paralysie d’un service public.
La communication est un aspect trop souvent négligé. Les administrés ont le droit d’être informés de façon transparente, sans panique. Enfin, il est capital de tirer les leçons de l’incident : audit, retour d’expérience, mise à jour des procédures. L’incident ne doit pas rester lettre morte.
Pourquoi se faire accompagner : le rôle clé d’un DPO externalisé en cybersécurité
La cybersécurité ne peut plus être abordée sous l’angle du bricolage ou de l’évitement. Les collectivités, même modestes, ont des obligations réglementaires (notamment au titre de l’article 32 du RGPD) et une responsabilité envers leurs administrés. Le DPO externalisé apparaît alors comme une ressource précieuse : il connaît les contraintes juridiques, maîtrise les enjeux de sécurité, et sait s’adapter aux réalités de terrain.
Un accompagnement sur mesure permet d’éviter les erreurs classiques, d’appliquer des solutions réalistes, et de construire une véritable politique de sécurité. Le cabinet Etatys propose un suivi spécifique pour les communes et intercommunalités : diagnostic, plan d’action, formation, documentation. Loin des discours technocratiques, l’approche est concrète, humaine et ancrée dans les enjeux quotidiens des agents.
Faire appel à un DPO externalisé comme Etatys, c’est faire le choix de la prévention, de la sérénité et de la conformité.
Conclusion
Les cybermenaces ne sont plus une hypothèse abstraite : elles frappent régulièrement les collectivités locales, avec des conséquences parfois dramatiques. Pourtant, il est possible d’agir, même avec peu de moyens. Chaque agent peut adopter les bons réflexes, chaque secrétaire de mairie peut devenir acteur de la sécurité, chaque élu peut porter une culture de prévention. Il ne s’agit pas d’être parfait, mais de réduire les risques et d’être prêt.
Etatys vous accompagne dans cette démarche avec rigueur, simplicité et proximité. Pour mettre en place des bonnes pratiques adaptées à votre collectivité, bénéficier d’un regard expert, ou anticiper les prochaines obligations en matière de sécurité, prenez contact avec Etatys dès aujourd’hui.
Contactez-nous dès aujourd’hui et faisons ensemble de la cybersécurité un atout pour votre collectivité.
Avec Etatys, soyez sûr d’être prêts.
Page mise à jour : Mars/2026