Quand on évoque la cybersécurité, on imagine des attaques contre des ministères, des banques centrales ou des opérateurs d'importance vitale. Les communes, elles, restent largement en dehors du champ de vision des stratégies nationales. Pourtant, elles gèrent des données sensibles — état civil, informations fiscales, données cadastrales — et sont de plus en plus interconnectées. Une mairie compromise peut devenir le point d'entrée vers des réseaux plus larges.
En octobre 2020, la commune londonienne de Hackney a subi une cyberattaque qui a paralysé ses services sociaux et fonciers pendant des mois. Plusieurs villes sud-africaines, dont Johannesburg, ont été frappées par des rançongiciels, interrompant la facturation de l'eau et de l'électricité. Ces incidents ne relèvent pas de l'anecdote ; ils signalent une vulnérabilité systémique.
Les collectivités partagent des fragilités spécifiques. L'absence de personnel dédié à la sécurité informatique est la règle, même dans les communes de taille moyenne. La sous-traitance est rarement encadrée par des clauses de sécurité exigeantes : le prestataire qui a développé le SI fiscal conserve souvent un accès permanent aux serveurs, sans audit externe. Les pratiques quotidiennes aggravent l'exposition : mots de passe partagés, postes non verrouillés, sauvegardes irrégulières, systèmes d'exploitation obsolètes faute de maintenance.
Les conséquences d'un incident vont bien au-delà du coût direct. Les services aux citoyens s'arrêtent. La confiance dans les actes administratifs s'effrite : un avis d'imposition émis par un système compromis est-il juridiquement opposable ? La reconstruction des bases de données, quand elle est possible, prend des semaines. La crédibilité de l'institution communale est durablement touchée.
La question de la sous-traitance touche au cœur de la souveraineté numérique. Avant de signer, la commune doit poser trois questions : où les données sont-elles hébergées, et sous quelle juridiction ? Le code source est-il accessible et peut-il être audité par un tiers ? Le contrat garantit-il la réversibilité totale des données et leur restitution sous format exploitable ? Le National Cyber Security Centre britannique recommande aux collectivités d'intégrer systématiquement ces clauses dans leurs marchés informatiques.
Sans expert interne, des mesures de base réduisent déjà considérablement les risques : politique de mots de passe robustes, mises à jour régulières, sauvegardes automatiques hors ligne, segmentation du réseau pour isoler les systèmes les plus sensibles. À l'échelle intercommunale, la mutualisation d'un centre de réponse aux incidents, sur le modèle de certaines régions françaises, offrirait une surveillance partagée pour un coût modique.
La sécurité des SI communaux n'est pas la seule responsabilité du maire. L'État doit intégrer les collectivités dans son périmètre de cybersécurité. Les bailleurs doivent conditionner leurs financements à un volet cyber minimal. Quant aux citoyens, ils sont en droit d'exiger que leurs données confiées à la mairie soient protégées avec autant de rigueur que les fonds publics.