La première facture d’une cyberattaque sur une commune se mesure en temps perdu, en équipes mobilisées dans l’urgence, en services ralentis ou inaccessibles… bref, en multiples pertes autres que financières. C’est l’amer constat régulièrement partagé par de nombreuses collectivités. En 2024, 218 incidents ont été déclarés à l’ANSSI, soit 18 par mois. On parle majoritairement de rançongiciels ou de compromissions de messagerie, qui peuvent interrompre l’activité d’un instant à l’autre.
Mais le véritable coût apparaît dans la durée. Une commune touchée par le ransomware Babuk a ainsi dû fonctionner plusieurs semaines en mode dégradé, le temps de rétablir ses services essentiels après s’être coupée d’Internet. Et lorsque plusieurs logiciels métiers sont concernés, ce sont l’état civil, l’action sociale ou la gestion scolaire qui se retrouvent perturbés pendant des jours.
Certaines attaques dépassent même le périmètre d’une seule mairie. Les systèmes d’information étant souvent interconnectés entre structures voisines ou mutualisées, une intrusion peut toucher plusieurs communes en cascade. Le récent épisode ayant affecté Poitiers et Grand Poitiers l’a rappelé : une panne unique peut paralyser un territoire entier, avec un impact immédiat sur l’ensemble des services publics numériques.
Dans toutes ces situations, la conclusion reste la même : une attaque coûte toujours davantage que sa prévention.
Une capacité de réponse limitée, qui amplifie le coût des incidents
Depuis 2025, la CNIL a fait de la cybersécurité des collectivités territoriales l’un des axes majeurs de son plan d’action. Et puisque les attaques impliquant des données sensibles augmentent fortement, l’autorité renforce à la fois ses contrôles et ses actions d’accompagnement. En 2024, elle a ainsi reçu 5 629 notifications de violation, soit 20% de plus qu’en 2023. Un signal clair de la pression croissante exercée sur les communes.
Cette exigence accrue intervient alors que beaucoup de collectivités n’ont pas encore atteint une maturité cyber suffisante pour être bien structurée. Dans ce contexte, les conséquences des cyberattaques peuvent ainsi être majeures, rappelle l’ANSSI. En Bretagne par exemple, une collectivité sur cinq a déjà été touchée ces deux dernières années, signe que l’exposition est bien plus large qu’il n’y paraît.
Cette organisation incomplète a une conséquence directe : plus un incident dure, plus il coûte. Et sans capacité claire pour analyser, décider et coordonner, l’attaque peut s’étendre, plomber le bon rétablissement et aggraver les effets domino. À mesure que la crise se prolonge, c’est la facture opérationnelle comme financière qui augmente.
Quand la cybersécurité devient un choix économique
Pour une commune, le pire moment pour se lancer dans la cybersécurité, c’est juste après avoir été attaqué. Car c’est l’urgence qui impose ses règles. Dans la précipitation, les dépenses s’accumulent, souvent sans cohérence et viennent alourdir un budget déjà mis sous tension par la crise elle-même.
Lorsqu’un dispositif est prévu, les collectivités n’ont plus besoin d’aller chercher dans l’urgence des compétences qu’elles n’ont pas en interne. Mais comment garder un œil sur les alertes lorsque la ville dort ou qu’elle n’a pas les moyens d’embaucher les compétences requises en 24/7 ? Les services de détection et de réponse managée (MDR) reposent sur des équipes déjà formées, disponibles en continu, capables d’assurer la veille, la détection et les premières actions techniques. Pour une commune, cela évite d’avoir à recruter des profils rares ou difficiles à attirer, tout en garantissant un niveau de protection constant. « La rapidité de réponse fait toute la différence. Détection globale et connaissance locale permettent de contenir un incident avant qu’il ne devienne trop coûteux », souligne Benoît Grunemwald, directeur des Affaires Publiques de l’éditeur ESET.
Adossées à des partenaires de proximité, ces solutions offrent un relais opérationnel qui connaît les usages locaux et les logiciels métiers. Lorsque l’incident survient, la collectivité n’a plus à improviser, car la procédure est déjà en place, et la décision est quasi immédiate, ce qui permet de limiter les effets et la portée de l’attaque.
Pour des communes aux ressources comptées, l’enjeu ne relève plus seulement de la sécurité informatique, mais il s’agit bien de protéger l’équilibre financier. Anticiper n’élimine pas le risque, mais c’est ce qui évite que l’incident devienne, à lui seul, la dépense la plus lourde du mandat.
