Cybersécurité pour les collectivités locales
Les collectivités locales sont devenues l'une des cibles préférées des cybercriminels en France. Mairies, communautés de communes, EHPAD publics, CCAS, syndicats mixtes : aucune catégorie n'est épargnée. À cela s'ajoute un environnement réglementaire qui se durcit, avec la directive NIS2 et la doctrine cloud au centre qui imposent désormais des obligations structurantes au secteur public.
KERIONIS accompagne les collectivités d'Ille-et-Vilaine et de Bretagne dans une démarche de cybersécurité pragmatique pour PME et collectivités, adaptée à vos budgets et à vos contraintes spécifiques, portée par une expérience terrain de l'intérieur.
Vous êtes une collectivité, parlons-nous
Que vous soyez maire d'une commune rurale, DGS d'une communauté de communes, directeur d'EHPAD public ou responsable d'un CCAS, 45 minutes d'échange permettent de qualifier votre situation et d'identifier les priorités concrètes adaptées à votre collectivité.
Sans engagement ni pression commerciale.
Pourquoi les collectivités sont des cibles privilégiées
Le secteur public concentre depuis plusieurs années une part disproportionnée des cyberattaques en France.
Comprendre pourquoi est essentiel pour calibrer la réponse.
Chiffres clés de la cybermenace publique
Selon le Panorama de la cybermenace 2025 de l'ANSSI, les administrations et collectivités territoriales représentent 24 % des événements de sécurité traités par l'agence, ce qui en fait le deuxième secteur le plus touché après l'éducation. Le nombre de rançongiciels ciblant les collectivités a connu une progression continue ces trois dernières années, avec des conséquences souvent paralysantes : interruption des services, perte de données citoyens, blocage des téléservices, parfois pendant plusieurs semaines.
Face à cette exposition, une approche cybersécurité structurée pour PME et collectivités est aujourd'hui indispensable, et plus seulement réservée aux grandes administrations.
Pourquoi les collectivités sont ciblées
Trois facteurs expliquent l'attractivité du secteur public pour les attaquants. D'abord la sensibilité des données : les collectivités hébergent l'état civil, les données fiscales, les dossiers sociaux, parfois les dossiers médicaux des EHPAD. Ensuite la pression à la résolution rapide : une collectivité paralysée ne peut pas se permettre des semaines d'arrêt, ce qui pousse certaines à céder aux demandes de rançon. Enfin le sous-investissement chronique en cybersécurité : les budgets contraints du secteur public ont longtemps relégué la cybersécurité au second plan, créant un vivier de cibles peu protégées.
Les conséquences spécifiques au service public
Une cyberattaque sur une collectivité n'a pas seulement un impact financier. Elle entraîne des conséquences directement opérationnelles : impossibilité d'éditer les actes d'état civil, blocage des paies, arrêt de la cantine scolaire, suspension des aides sociales. Elle expose aussi la collectivité à des mises en demeure de la CNIL si les données citoyens sont compromises. Et elle dégrade durablement la confiance des administrés dans la capacité de leur collectivité à gérer leurs informations sensibles.
La directive NIS2 et son impact sur les collectivités
La directive européenne NIS2 transforme radicalement les obligations de cybersécurité dans le secteur public. Beaucoup de collectivités n'ont pas encore mesuré l'étendue des changements qu'elle impose.
Quelles collectivités sont assujetties à NIS2
NIS2 distingue deux catégories d'entités. Les entités essentielles incluent notamment les administrations publiques centrales, mais aussi certaines collectivités selon leur taille et leur rôle. Les entités importantes englobent un périmètre plus large, qui peut concerner les communautés de communes, les collectivités gérant des services essentiels (eau, déchets, énergie), et les EHPAD publics au titre du secteur santé. Une analyse au cas par cas est nécessaire : la simple lecture de la directive ne suffit pas à déterminer votre statut.
Les obligations concrètes de NIS2
Les collectivités assujetties doivent mettre en place une gouvernance documentée de la cybersécurité, conduire une analyse de risques régulière, déployer des mesures techniques minimales (sauvegarde, MFA, chiffrement, supervision, plan de réponse à incident), former leurs élus et agents, et notifier les incidents significatifs à l'autorité compétente dans les 24 heures. Ces obligations ne sont pas optionnelles.
Les sanctions en cas de non-conformité
NIS2 prévoit des sanctions administratives pouvant atteindre des montants significatifs pour les entités essentielles. Au-delà du volet financier, la non-conformité expose la collectivité et ses dirigeants à une responsabilité personnelle en cas d'incident grave. Pour aller plus loin sur ce volet réglementaire, voir notre page sur les exigences de conformité et de souveraineté numérique.
La doctrine cloud au centre et les collectivités
Au-delà de NIS2, les collectivités sont soumises à une seconde contrainte majeure : la doctrine cloud au centre adoptée par l'État français. Cette doctrine encadre strictement les services cloud que peut utiliser une administration publique.
Ce que dit la doctrine cloud au centre
La doctrine, formalisée par la circulaire du Premier ministre du 5 juillet 2021 puis renforcée depuis, impose aux administrations centrales et déconcentrées une hiérarchie obligatoire : pour les données sensibles, recours à un cloud qualifié SecNumCloud ou hébergé en interne ; pour les données moins critiques, possibilité d'utiliser des clouds commerciaux européens présentant des garanties de protection face au droit extraterritorial. Cette logique s'étend progressivement aux collectivités via les marchés publics et les cahiers des charges des autorités de tutelle.
SecNumCloud et alternatives qualifiées
Le label SecNumCloud délivré par l'ANSSI distingue les fournisseurs cloud répondant aux exigences les plus strictes en matière de souveraineté et de sécurité. Plusieurs acteurs français sont aujourd'hui qualifiés ou en cours de qualification (OVHcloud, Outscale, Cloud Temple notamment). Pour les besoins moins sensibles, les clouds européens présentant des engagements contractuels solides peuvent être envisagés, sous réserve d'une analyse de risque préalable.
Concrètement, quels services cloud sont autorisés
Pour la messagerie professionnelle et la bureautique collaborative, Microsoft 365 et Google Workspace restent largement utilisés dans les collectivités, mais avec une vigilance accrue sur la nature des données traitées. Pour les données les plus sensibles (RH, comptabilité publique, données citoyens), l'usage d'un hébergement souverain ou interne est désormais clairement préférable. Nous accompagnons chaque collectivité dans cet arbitrage, sans dogmatisme mais avec rigueur sur les contraintes réglementaires.
Les enjeux cybersécurité par type de collectivité
Chaque type de collectivité présente des enjeux spécifiques. Les MSP généralistes appliquent souvent une recette unique : notre approche est sectorielle.
Cybersécurité des mairies
Pour les communes, quelle que soit leur taille, les enjeux principaux sont la protection des données d'état civil, la sécurisation de la comptabilité publique, la disponibilité des services à la population (cantine, école, état civil, urbanisme), et la conformité RGPD sur les données administrées. Les communes rurales sont particulièrement vulnérables par manque de moyens dédiés, mais aussi parmi les plus ciblées par les rançongiciels en raison de leur faible niveau de protection.
Cybersécurité des communautés de communes
Pour les EPCI (communautés de communes, agglomérations, métropoles), les enjeux se complexifient avec le multi-sites, la gestion des compétences transférées (eau, déchets, transport, économie), et la coordination informatique entre les communes membres. La cybersécurité doit y être pensée à l'échelle du territoire, pas seulement de l'intercommunalité elle-même.
Cybersécurité des EHPAD publics
Les EHPAD publics cumulent plusieurs facteurs de risque : données médicales des résidents (donc soumises à l'HDS), logiciels métier critiques (souvent type TITAN, Easysoin), équipements connectés au sein de l'établissement, et fonctionnement 24/7 qui rend toute interruption immédiatement problématique. La cybersécurité y est un sujet vital, au sens propre.
Cybersécurité des CCAS et services sociaux
Pour les CCAS et services sociaux communaux, les enjeux portent sur la protection des données sensibles des bénéficiaires (situation familiale, financière, sanitaire), la sécurisation des outils de gestion des aides sociales, et la conformité RGPD renforcée sur des données particulièrement protégées par la loi.
Cybersécurité des syndicats mixtes
Les syndicats mixtes, syndicats d'aménagement et autres établissements publics de coopération gèrent souvent des infrastructures essentielles (réseaux d'eau, d'assainissement, énergie, transport). Leur cybersécurité touche à la continuité d'activités critiques pour les territoires desservis, ce qui les place dans le périmètre direct de NIS2 dans la plupart des cas.
Les sujets de cybersécurité spécifiques au secteur public
Au-delà des problématiques cyber classiques (mots de passe, sauvegardes, antivirus), le secteur public présente des spécificités que les approches généralistes traitent rarement correctement.
Protection des données citoyens et conformité RGPD
Les collectivités traitent une diversité particulière de données personnelles (état civil, données fiscales, données scolaires, données sociales, parfois médicales). La conformité RGPD y est plus exigeante qu'en entreprise, et les sanctions encourues sont identiques (jusqu'à 4 % du chiffre d'affaires ou 20 millions d'euros). La désignation d'un DPO est obligatoire pour la quasi-totalité des collectivités.
Sécuriser les téléservices publics
Les téléservices (paiement en ligne, prise de rendez-vous, déclarations, démarches administratives dématérialisées) sont à la fois un facteur de modernité du service public et une surface d'attaque importante. Leur sécurisation passe par l'authentification forte des usagers, le chiffrement des échanges, la traçabilité des accès, et la protection contre les attaques par déni de service.
Continuité d'activité pour les services essentiels
Une mairie qui ne peut plus délivrer d'actes d'état civil pendant trois semaines crée un préjudice direct à ses administrés. Un EHPAD qui perd l'accès au dossier médical informatisé met ses résidents en danger. La continuité d'activité est un sujet plus critique en collectivité qu'en entreprise privée : nous y appliquons une approche renforcée, intégrée à notre stratégie de continuité de service.
Gestion des accès des élus et agents
Le secteur public connaît une rotation spécifique : mandats électoraux qui changent, agents qui quittent les services, contractuels saisonniers, prestataires multiples. La gestion fine des droits d'accès, leur révision périodique et leur révocation effective au départ d'une personne sont des points souvent négligés et pourtant essentiels.
Pourquoi la supervision est essentielle en collectivité
Beaucoup de collectivités se protègent au moment du problème, pas avant. C'est insuffisant aujourd'hui. Une supervision continue est devenue une condition de survie, particulièrement en secteur public.
Détecter ce qui ne se voit pas
La majorité des attaques se déroulent en plusieurs étapes silencieuses : l'attaquant pénètre via un mail compromis, observe pendant des jours ou des semaines, élève ses privilèges, copie les données sensibles, puis seulement déclenche son rançongiciel. Sans supervision, ces étapes intermédiaires passent inaperçues. Avec supervision, elles génèrent des alertes qui permettent d'intervenir avant le moment critique.
Assurer une surveillance 24/7
Aucune collectivité de taille moyenne ne peut financer une équipe sécurité interne disponible 24 heures sur 24, 7 jours sur 7. La supervision externalisée apporte cette couverture sans le coût d'une équipe dédiée. Les outils que nous déployons (supervision RG System, EDR Bitdefender ou ESET, anti-phishing Mailinblack) génèrent des alertes traitées par KERIONIS, avec une procédure d'escalade vers vos référents internes en cas d'incident.
La supervision au cœur de l'infogérance
Dans la pratique, la supervision cybersécurité s'inscrit le plus souvent dans une démarche d'infogérance globale : la cybersécurité n'est pas un module séparé, c'est une couche transverse qui irrigue l'ensemble du maintien en condition opérationnelle de votre système d'information. Pour découvrir notre approche de l'infogérance pour PME et collectivités, voir notre page infogérance pour PME et collectivités.
Plusieurs portes d'entrée selon vos priorités
Selon que votre priorité immédiate concerne la protection ciblée contre les cybermenaces ou la gestion continue et globale de votre informatique, deux portes d'entrée s'offrent à vous chez KERIONIS.
Vous pouvez aussi combiner les deux, c'est même souvent la combinaison la plus pertinente pour une collectivité.
Notre approche cybersécurité pour le secteur public
KERIONIS n'aborde pas une collectivité comme un client comme les autres. Quatre éléments structurent notre démarche spécifique au secteur public.
Notre fondateur Maxime Vannier a été référent opérationnel du système d'information d'une collectivité territoriale en Ille-et-Vilaine avant de créer KERIONIS. Planification, déploiement, infrastructure, parc, sécurité, gouvernance, plan de continuité, cyber : il a porté tous ces sujets en interne.
Cette expérience irrigue chaque dossier collectivité que nous traitons aujourd'hui.
Une démarche adaptée aux budgets publics
Les collectivités n'ont ni les budgets ni la flexibilité d'une PME privée. Notre approche est progressive : nous commençons par sécuriser ce qui est critique (sauvegardes, comptes administrateurs, messagerie), puis nous étendons par paliers en fonction du budget mobilisable chaque année. Pas de big bang inutile, pas de devis disproportionné par rapport aux moyens réels.
Des partenaires adaptés au secteur public
Nous travaillons avec des éditeurs européens quand c'est possible et pertinent : Mailinblack (France), Terra (Allemagne), ESET et Bitdefender (Union européenne), Zyxel pour le réseau, Tailscale pour les accès distants. Cette stack est cohérente avec la doctrine cloud et facilite la justification des choix techniques face aux autorités de tutelle.
Un accompagnement à la conformité documentée
Pour les collectivités assujetties à NIS2, au RGPD renforcé ou à la doctrine cloud, nous produisons une documentation exploitable par votre DPO, votre référent sécurité ou votre conseil d'administration. La conformité ne se résume pas à des actions techniques : elle doit pouvoir être démontrée à un régulateur, un inspecteur ou un élu.
Démarche type d'un projet cybersécurité collectivité
Comment se déroule concrètement un accompagnement KERIONIS pour une collectivité ? La démarche se structure en trois phases.
Phase 1 : diagnostic et état des lieux
Nous commençons par un audit de votre situation actuelle : cartographie technique, niveau de conformité réglementaire, pratiques organisationnelles, points faibles identifiés. Cette phase prend 2 à 4 semaines selon la taille de la collectivité et débouche sur un rapport écrit avec un score de maturité et un plan d'action priorisé. Notre page dédiée à l'audit cybersécurité PME et collectivités détaille la méthodologie complète.
Phase 2 : mise en conformité prioritaire
À partir du plan d'action, nous traitons en priorité les risques critiques identifiés : sauvegardes externalisées et testées, déploiement du MFA sur les comptes critiques, mise à niveau des protections endpoints, sensibilisation des élus et agents, sécurisation des accès distants. Cette phase s'étale typiquement sur 3 à 6 mois.
Phase 3 : sécurisation continue et supervision
Une fois les fondations posées, la cybersécurité entre dans un régime continu de supervision, maintenance, mise à jour et adaptation aux nouvelles menaces. C'est le cœur de notre offre d'infogérance pour collectivités, qui transforme un projet ponctuel en une protection durable.
Audit cybersécurité pour collectivité
Avant toute action structurante, un audit cybersécurité dédié au contexte des collectivités locales permet d'objectiver la situation et de hiérarchiser les priorités.
Pourquoi réaliser un audit cyber
Sans audit, une collectivité avance à l'aveugle. Les élus et la direction générale ont rarement les compétences techniques pour évaluer leur exposition réelle, et les agents en place ne sont pas toujours en mesure d'objectiver les failles. Un audit cybersécurité externe apporte un regard neutre, structuré et chiffré, indispensable pour prendre des décisions budgétaires éclairées et justifier les arbitrages auprès des élus.
Spécificités d'un audit en secteur public
Notre audit cybersécurité adapté au secteur public intègre plusieurs spécificités : vérification de la conformité NIS2 selon votre statut, évaluation du respect de la doctrine cloud, analyse des téléservices, contrôle du registre des traitements et de la conformité RGPD renforcée, examen des marchés publics IT en cours. Tous les détails de notre méthodologie d'audit se trouvent sur notre page audit cybersécurité PME et collectivités.
Nos engagements envers les collectivités
Au-delà de la prestation technique, nous prenons quatre engagements opérationnels spécifiques au secteur public.
Transparence sur la commande publique
Nous connaissons les règles de la commande publique et nous les respectons sans détour : devis détaillés et explicites, périmètre clarifié dès le départ, conditions de paiement adaptées à la trésorerie des collectivités, facturation conforme aux exigences comptables publiques. Notre démarche est conçue pour s'intégrer naturellement dans vos procédures internes, sans complication artificielle ni zone d'ombre.
Confidentialité des données administrées
Toutes les informations auxquelles nous avons accès dans le cadre de notre mission (données citoyens, données agents, données financières, dossiers sociaux) sont protégées par une clause de confidentialité stricte, conservées de manière chiffrée pendant la durée de la prestation, et supprimées de nos systèmes à votre demande en fin de relation. Aucune donnée ne quitte l'Union européenne.
Aucune dépendance technologique imposée
Nous ne déployons pas de solutions propriétaires fermées qui vous rendraient captifs. Les outils mis en place (Microsoft 365, Mailinblack, Bitdefender, Terra, Zyxel, Tailscale) sont gérables par tout autre prestataire en cas de changement. La collectivité reste propriétaire de ses configurations, ses sauvegardes, sa documentation et ses accès.
Documentation et propriété des livrables
Chaque intervention génère une documentation à jour, remise à votre référent IT ou directement à la direction générale. Cette documentation reste votre propriété et vous permet de continuer à exploiter votre infrastructure, ou de la transférer à un autre prestataire, sans rétention technique de notre part.
Questions fréquentes sur la cybersécurité en collectivité
Une petite mairie est-elle concernée par NIS2 ?
Pas nécessairement directement. Les petites communes rurales ne sont pas toujours dans le périmètre direct de NIS2 en tant qu'entité essentielle ou importante. Mais elles peuvent l'être indirectement si elles dépendent d'un EPCI ou d'un syndicat mixte assujetti. Et surtout, les attendus de cybersécurité de bon sens (sauvegarde, MFA, sensibilisation) s'imposent à toute collectivité au titre du RGPD et de la responsabilité du maire en cas d'incident grave.
Quel budget pour une commune de 5 000 habitants ?
Le budget cybersécurité d'une commune de cette taille se situe typiquement entre 3 000 et 12 000 € HT par an selon le périmètre couvert (supervision, EDR, sauvegarde externalisée, sensibilisation, conformité RGPD). Ce coût peut s'inscrire dans un contrat d'infogérance plus large qui mutualise la cybersécurité avec la maintenance générale. Un audit initial gratuit permet de qualifier précisément le besoin avant tout chiffrage.
Un marché public est-il nécessaire ?
Cela dépend du montant de la prestation. En dessous de 60 000 € HT (seuil de gré à gré relevé au 1er avril 2026), la collectivité peut nous solliciter directement sans procédure de mise en concurrence formalisée, en respectant les principes de la commande publique. Au-delà, une procédure adaptée ou un appel d'offres est nécessaire. Pour une démarche progressive sur plusieurs années, nous pouvons aussi répondre à un accord-cadre.
Que faire en cas de cyberattaque ?
Immédiatement : déconnecter les machines compromises sans les éteindre, préserver les preuves, contacter votre prestataire IT ou KERIONIS directement, notifier l'ANSSI via cyber.gouv.fr si l'incident est significatif, déclarer la violation à la CNIL dans les 72 heures si des données personnelles sont concernées. KERIONIS est référencé sur Cybermalveillance.gouv.fr comme prestataire d'assistance aux victimes : nous traitons les demandes liées à un incident en priorité.
Peut-on bénéficier d'aides pour la cybersécurité ?
Plusieurs dispositifs publics existent pour les collectivités, notamment le programme CaRE de l'ANSSI pour le secteur santé (incluant les EHPAD publics), et différents financements régionaux ou départementaux selon votre territoire. Ces dispositifs évoluent régulièrement : nous vous orientons vers votre CCI, votre conseil départemental ou votre préfecture pour identifier les aides applicables à votre situation. KERIONIS ne monte pas les dossiers de financement, mais peut fournir les éléments techniques nécessaires à leur constitution.
Aller plus loin avec KERIONIS
La cybersécurité d'une collectivité ne se construit pas en un jour, mais elle peut commencer dès aujourd'hui. Selon votre point d'entrée prioritaire, plusieurs ressources peuvent vous être utiles.
Pour une vue globale de notre offre, consultez notre page dédiée à la cybersécurité pour PME et collectivités à Rennes. Pour un premier diagnostic objectivé de votre situation, notre audit cybersécurité est le bon point de départ. Pour comprendre les enjeux réglementaires NIS2 et de souveraineté numérique en profondeur, voir notre page enjeu sur les exigences de conformité et de souveraineté numérique. Pour structurer durablement la gestion de votre informatique au-delà de la cybersécurité, notre page infogérance pour PME et collectivités détaille notre approche.
Dans tous les cas, un premier échange permet de qualifier votre situation et d'orienter vers la démarche la plus pertinente pour votre collectivité, sans engagement ni pression commerciale.