Cybersécurité du secteur public : l'urgence est déjà là

Nicolas Guilloux
Almond

Une cyberattaque ne bloque pas seulement des serveurs : elle peut bloquer des services publics essentiels. Face à cette menace, la résilience cyber doit devenir un réflexe de gouvernance territoriale.

En quarante ans, la décentralisation a fait des collectivités un pilier de l’action publique dans les territoires. Transports, eau, déchets, action sociale, éducation, sécurité, relation… Le champ des services essentiels pilotés à cette échelle s’est élargi et leur numérisation s’est accélérée. Résultat : la surface d’attaque grandit au même rythme que les usages.

Or la menace ne fait plus de distinction. Le rançongiciel qui paralyse une commune n’est pas qu’un « incident informatique » : il bloque les services publics et fissure la confiance citoyenne. Et une compromission locale peut désormais déborder l’organisation touchée et perturber un territoire entier.

NIS2 : l’obligation de faire

La directive NIS2 élargit le périmètre des acteurs concernés et renforce les obligations de gestion du risque, de déclaration d’incident et de gouvernance. Même si la transposition nationale avance par étapes, le signal est limpide : la cybersécurité est devenue un sujet stratégique et non plus un dossier de technicien.

Le défi, lui, est bien connu : les compétences sont rares, le temps est contraint, les budgets de plus en plus sous pression. La cybersécurité reste trop souvent vécue comme un centre de coût, face à des priorités visibles et immédiates. Pourtant, elle protège précisément ce qui est le plus visible : la continuité de service.

La bonne nouvelle, c’est que des trajectoires réalistes existent — y compris pour des organisations sans équipes dédiées. Elles ne commencent pas par une « usine à gaz », mais par quelques fondamentaux : sauvegardes, authentification, gestion stricte des accès, sensibilisation des agents publics et des élus, préparation à la crise. Ensuite viennent les chantiers de détection et de supervision, l’externalisation maîtrisée, et l’amélioration continue.

La commande publique comme levier

Reste une question très opérationnelle, souvent sous-estimée : comment aller vite sans fragiliser le cadre juridique de la commande publique ? Dans de nombreuses collectivités, la complexité des achats, le manque de moyens financiers et de professionnels IT retardent des décisions pourtant urgentes. Dans ce contexte, les dispositifs de mutualisation et les cadres d’achat spécialisés peuvent jouer un rôle d’accélérateur : prix lisibles, mise en concurrence déjà conduite, exigences de sécurité cadrées, périmètres clarifiés, et surtout délais considérablement réduits entre l’expression du besoin et le déploiement.

Certaines centrales d’achat dédiées au numérique et aux télécoms – comme la CANUT, le RESAH, la CAIH et GIGALIS, illustrent cette approche et proposent des référencements dédiés à la cybersécurité pour les collectivités et le secteur sanitaire et médico-social. Leur intérêt est concret : permettre aux collectivités, y compris les plus petites, d’accéder à des accords-cadres « sur étagère », construits par des acheteurs spécialisés et adossés à une gouvernance issue du secteur public. Elles apportent aussi une transparence accrue sur les grilles tarifaires et une capacité de négociation renforcée avec les fournisseurs, tout en sécurisant l’exécution contractuelle. Autrement dit : gagner en vitesse et en robustesse, sans réinventer chaque procédure, ni exposer les équipes à des risques juridiques inutiles.

Le message est d’autant plus clair que l’État veut désormais doubler, d’ici 2027, le volume d’achats publics réalisés auprès des start-up françaises. Un signal politique clair, qui rappelle que la commande publique peut devenir un levier de souveraineté autant qu’un outil d’efficacité.

La cybersécurité des collectivités n’est pas une affaire de taille, mais d’organisation. Face à une menace industrialisée, la réponse doit l’être aussi : standards clairs, partenaires qualifiés, mutualisations intelligentes, et pilotage assumé au plus haut niveau. Autrement dit, sortir de l’isolement et entrer dans la résilience.