CYBERSÉCURITÉ : LES MÉTROPOLES ET GRANDES VILLES, CES « ENTITÉS ESSENTIELLES »

Une menace croissante et de plus en plus sophistiquée 

Gilles Pirman, chargé de mission Stratégie des territoires à l’Agence nationale de la sécurité et des systèmes d’informations (ANSSI), a dressé un état des lieux sans détour : en 2024, l’agence a recensé 218 attaques majeures visant des collectivités territoriales, soit près de 18 par mois. Si le volume global a légèrement diminué, les modes opératoires se sont complexifiés. Les attaquants recourent davantage à des intrusions en plusieurs étapes – infiltrations discrètes, maintien silencieux dans les systèmes, déclenchements différés – qui leur permettent de préparer des actions plus ciblées et potentiellement plus impactantes pour les services publics. 

Les rançongiciels demeurent largement majoritaires (près de 60 % des cas), mais, dans ce contexte de sophistication croissante, l’ANSSI observe aussi l’essor d’attaques « activistes » et des signaux laissant penser à des opérations coordonnées par des acteurs étatiques. Cette évolution rappelle que la première ligne de défense reste la gouvernance interne : comme le souligne Gilles Pirman, « 70 % des attaques réussies proviennent de ce qui se trouve entre la chaise et le clavier ». 

La transposition de la directive européenne NIS 2 renforcera cette exigence en imposant une montée en compétence des élus, cadres et agents, articulée autour d’une vingtaine d’objectifs touchant à l’organisation interne, la gestion de crise, la protection des données ou encore la continuité d’activité. L’enjeu n’est donc plus d’éviter l’attaque, mais d’être prêt lorsqu’elle surviendra. 

 

Une architecture et une vision européennes 

 Cette exigence de préparation dépasse toutefois le seul registre technique. Le général Marc Watin-Augouard, fondateur du Forum InCyber, a insisté sur le fait qu’aucune collectivité ne pourrait relever le défi de la cybersécurité sans une réflexion plus large sur le sens et la place du numérique dans nos sociétés. Et de décrire une protection en strates, s’emboîtant telles des poupées russes – du citoyen à l’organisation, de l’organisation à l’État, puis à l’Union européenne – chacun de ces niveaux enveloppant et soutenant les autres. 

Au-delà de l’architecture de défense, il s’agit selon lui d’une question de valeurs. L’Europe doit offrir une voie originale entre « le tout-business américain » et « le tout-contrôle chinois », une voie qui conjugue innovation, humanisme et souveraineté. « Tant que le numérique reste au service de l’humain, il nous élève. Dès qu’il l’asservit, il nous abaisse », a-t-il résumé, appelant à « donner du sens à la cybersécurité » et à la replacer dans une vision politique européenne. 

NIS 2 : une opportunité de montée en compétence et de mouvement collectif 

Pour Céline Colucci, déléguée générale des Interconnectés, cette exigence de sens et de gouvernance trouve un écho direct dans la transposition de NIS 2. La directive, souligne-t-elle, ne doit pas être perçue comme une charge supplémentaire, mais comme un véritable levier qui « offre une trajectoire, un repère pour agir ».  

La logique retenue par le législateur se veut proportionnée : les grandes métropoles seront qualifiées d’« entités essentielles », les intercommunalités de taille moyenne d’« entités importantes », avec des obligations adaptées à leur taille et à leurs ressources. Le délai de trois ans laissé pour atteindre la maturité minimale exigée doit permettre à chacun d’avancer à son rythme.  

Mais, prévient Céline Colucci, aucune collectivité ne pourra y parvenir si la cybersécurité reste cantonnée à une fonction technique. « Elle doit être portée au plus haut niveau politique », insiste-t-elle, rappelant également le rôle déterminant de la mutualisation : les métropoles peuvent constituer de véritables boucliers collectifs pour les communes membres. 

Cette montée en compétence s’appuie désormais sur un arsenal d’outils mis à disposition par l’ANSSI et ses partenaires : auto-évaluations de maturité, exercices de crise, et bientôt un portail unifié « Mes services cyber ». Pensé comme un guichet unique comparable aux services en ligne des impôts, il regroupera guides, documents de référence, MOOC, procédures d’enregistrement et outils de suivi de la maturité NIS 2. Mais ces dispositifs ne produiront leurs effets que si les agents, comme les prestataires, montent eux aussi en compétences. Les Interconnectés multiplient en conséquence les groupes de travail et les sessions d’accompagnement pour partager des pratiques concrètes. « Trois ans, c’est court, mais c’est une opportunité de créer un mouvement collectif », résume Céline Colucci. 

 Des outils et une offre de services au service d’une approche pragmatique 

 Dans cette dynamique, les opérateurs et industriels jouent également un rôle déterminant. Matthieu Hennebo, directeur cybersécurité d’Altice France, a ainsi défendu une approche résolument pragmatique, structurée autour des quatre actions « identifier, protéger, détecter, réagir » pour rendre les démarches accessibles, y compris aux plus petites collectivités. « La proportionnalité, insiste-t-il, doit rester le fil conducteur : sécuriser sans complexifier, et renforcer les défenses sans compromettre la continuité du service public ». 

 Yvan Roche, chargé d’affaires spécialisé informatique de l’Union des groupements d’achats publics (UGAP), a rappelé le rôle d’appui important de la centrale, qui en mettant à disposition des collectivités des marchés mobilisables immédiatement, couvrant aussi bien les solutions techniques que les prestations d’expertise, permet une forte réactivité, tout en garantissant un niveau d’exigence homogène en matière de cybersécurité : en cas d’incident, les collectivités peuvent activer immédiatement des prestations de diagnostic, de confinement ou de remédiation, sans attendre l’élaboration d’un nouveau marché. 

Les échanges ont montré qu’aucune collectivité ne pouvait affronter seule la complexité du risque cyber. C’est dans l’articulation entre État, territoires, opérateurs et écosystèmes locaux que se jouera la robustesse des services publics numériques. En devenant « entités essentielles », les villes et métropoles héritent d’une responsabilité nouvelle, qui est aussi un pouvoir d’entraînement pour l’ensemble du territoire.