Cybersécurité & RGPD

Cybersécurité du site internet d’une mairie : 7 risques et leurs parades

Les 7 risques majeurs qui exposent un site de commune et les parades concrètes — avec les ressources ANSSI et cybermalveillance.gouv.fr.

Publié le Mis à jour le 9 min de lecture
Sommaire4

Les communes sont devenues une cible privilégiée des cybercriminels. Données nominatives sensibles, parc informatique souvent vieillissant, budgets contraints, équipes techniques rares : tous les ingrédients sont réunis pour que les attaquants tentent leur chance. Pourtant, sept risques majeurs concentrent l’essentiel des incidents constatés, et chacun peut être traité concrètement. Voici l’état des lieux, les parades, et les ressources officielles à mobiliser.

État des lieux : les cyberattaques visant les mairies

La liste des collectivités françaises victimes d’attaques majeures s’allonge chaque année. Le rapport d’activité annuel de Cybermalveillance.gouv.fr et le panorama de la cybermenace du CERT-FR (ANSSI) documentent chaque année des incidents touchant des collectivités de toutes tailles, des grandes métropoles aux plus petites communes rurales. Les modes opératoires varient — rançongiciel, exfiltration de données, défiguration de site, hameçonnage ciblé — mais les conséquences se ressemblent : services paralysés pendant plusieurs jours à plusieurs semaines, données d’administrés potentiellement exposées, coûts directs et indirects qui se chiffrent en dizaines voire centaines de milliers d’euros.

Selon les rapports annuels de Cybermalveillance.gouv.fr, les collectivités territoriales représentent un volume croissant des demandes d’assistance enregistrées sur la plateforme. L’ANSSI, dans son panorama de la cybermenace, relève également une exposition particulière des collectivités de taille moyenne, suffisamment riches en données et en services pour intéresser les attaquants, mais rarement dotées d’équipes de sécurité dédiées.

Il faut être prudent avec les chiffres globaux : une partie significative des incidents n’est pas signalée publiquement, soit parce que la commune ignore avoir été ciblée, soit par choix politique. Mais le sens du mouvement est clair, et toutes les administrations spécialisées (ANSSI, DINUM, Cour des comptes) tirent la même sonnette d’alarme depuis 2021.

Le site internet officiel de la commune est l’un des vecteurs d’exposition les plus fréquents, parce qu’il est public, parce qu’il interagit avec les administrés (formulaires, comptes), et parce qu’il est souvent l’élément le plus négligé du système d’information.

Les 7 risques majeurs et leurs parades

Ces sept risques ne sont pas exhaustifs, mais ils concentrent la majorité des incidents constatés sur les sites web de collectivités. Pour chacun : le scénario type, la parade, et la manière dont une plateforme spécialisée comme Mairie.app le traite.

1. Un CMS non maintenu (WordPress ou Joomla vieilli)

Scénario. Le site tourne sur une version de CMS obsolète, dont les failles de sécurité sont publiquement documentées. Un attaquant scanne le web à la recherche de versions vulnérables et compromet le site en quelques minutes, sans même cibler la commune spécifiquement.

Parade. Mises à jour automatisées du cœur du CMS dans les jours qui suivent leur publication. Un contrat de maintenance doit nommer explicitement la responsabilité de la mise à jour, ses délais, et inclure les tests post-déploiement. Sur une plateforme SaaS spécialisée, la maintenance est mutualisée et invisible : la commune ne gère pas de version. Voir notre approche sécurité et maintenance.

2. Plugins et extensions vulnérables

Scénario. Le CMS est à jour, mais l’un des plugins installés (formulaire, galerie, calendrier) ne l’est pas. Ces composants tiers, souvent développés par des éditeurs indépendants, sont la première porte d’entrée des attaquants sur les sites WordPress.

Parade. Inventaire régulier des plugins installés, suppression des plugins non utilisés, surveillance des bulletins de sécurité éditeurs. Sur une plateforme intégrée, il n’y a pas de marketplace de plugins tiers — chaque fonctionnalité est maintenue dans le cœur de la solution, ce qui réduit drastiquement la surface d’attaque.

3. Identifiants faibles et absence d’authentification à deux facteurs

Scénario. Le compte administrateur du site est protégé par un mot de passe simple, partagé entre plusieurs agents, jamais changé depuis trois ans. Un courriel d’hameçonnage cible le secrétariat de mairie, capture les identifiants, et l’attaquant se connecte.

Parade. Mots de passe robustes (gérés via un gestionnaire de mots de passe), pas de partage de comptes (chaque agent a le sien), et activation systématique de l’authentification à deux facteurs (TOTP via application ou code par e-mail). L’ANSSI recommande le MFA pour tous les comptes à privilèges. Cybermalveillance.gouv.fr propose un guide complet sur les mots de passe.

4. Hébergement mutualisé non isolé

Scénario. Le site est hébergé sur un serveur mutualisé chez un hébergeur grand public à très bas coût. Une faille sur un autre site hébergé sur la même machine permet à l’attaquant d’accéder aux données du site de la commune.

Parade. Hébergement isolé en France, idéalement chez un hébergeur qualifié SecNumCloud ou conforme aux exigences de l’ANSSI pour le secteur public. Voir notre souveraineté de l’hébergement (hébergement Scalingo en France, données chiffrées au repos et en transit).

5. Absence ou défaut de sauvegarde

Scénario. Le site est attaqué par un rançongiciel qui chiffre la base de données et les fichiers. La commune découvre alors que la dernière sauvegarde date de six mois, ou que la sauvegarde n’a jamais été testée et qu’elle est inutilisable.

Parade. Sauvegardes quotidiennes automatisées, externalisées (hors de la machine hôte), chiffrées, et testées périodiquement. Politique de rétention sur au moins 30 jours pour absorber les attaques différées. Une sauvegarde non testée est une sauvegarde fictive.

6. Formulaires de contact non protégés (spam, injection, exfiltration)

Scénario. Le formulaire de contact reçoit des centaines de messages frauduleux par jour, certains contenant des tentatives d’injection SQL ou de scripts. Les boîtes mail des agents sont noyées, les vrais messages se perdent, et la moindre erreur de filtrage peut compromettre le serveur.

Parade. Protection anti-bot (hCaptcha ou équivalent), validation rigoureuse des entrées côté serveur, taux limite (rate limiting), et stockage chiffré des messages. Aucun email d’administré ne doit transiter en clair.

7. RGPD ignoré et fuite de données d’administrés

Scénario. La commune collecte des données personnelles via son site (inscriptions, formulaires, newsletter) sans respect des principes RGPD (minimisation, finalité, durée de conservation). En cas de fuite, l’incident devient un double problème : sécurité et conformité légale, avec obligation de notification CNIL sous 72 heures.

Parade. Registre des traitements à jour, politique de confidentialité claire, minimisation des données collectées, durées de conservation paramétrées et appliquées techniquement. Voir notre guide RGPD pratique pour les communes et notre approche conformité RGPD.

À retenir : sur les sept risques ci-dessus, six relèvent d’hygiène de sécurité de base — pas de technologie avancée. La plupart des incidents constatés sur les sites de mairie auraient été évités par l’application stricte de pratiques recommandées par l’ANSSI depuis dix ans.

Que faire en cas d’attaque ?

Aucune commune n’est à l’abri. Préparer la réaction est aussi important que prévenir. Une procédure d’incident écrite, connue de l’équipe, fait la différence entre 48 heures de gestion maîtrisée et trois semaines de chaos.

Étape 1 — Isoler

Déconnecter immédiatement le serveur compromis du réseau (ou demander à l’hébergeur de le faire). Ne pas éteindre le serveur : la mémoire vive contient des indices précieux pour l’analyse forensique ultérieure. Couper les accès distants des comptes potentiellement compromis.

Étape 2 — Alerter

Informer le maire, le directeur général des services, le référent informatique (interne, intercommunal ou prestataire). Constituer une cellule de crise restreinte qui centralise les décisions et la communication. Conserver les traces (captures d’écran, journaux) — elles seront nécessaires pour le dépôt de plainte et l’analyse.

Étape 3 — Déclarer

Plusieurs déclarations en parallèle :

  • Dépôt de plainte au commissariat ou à la gendarmerie. Obligatoire pour engager des poursuites pénales.
  • Notification CNIL sous 72 heures si des données personnelles ont été ou pourraient avoir été exposées (article 33 RGPD). Téléservice disponible sur cnil.fr.
  • Signalement à Cybermalveillance.gouv.fr via cybermalveillance.gouv.fr. Permet d’obtenir une assistance gratuite et la mise en relation avec un prestataire local référencé.
  • Saisine ANSSI pour les incidents les plus graves affectant la continuité du service public.

Étape 4 — Communiquer

Communiquer aux administrés est obligatoire si le risque pour leurs données est élevé (article 34 RGPD), et politiquement nécessaire dans tous les cas pour maintenir la confiance. Un message factuel, sans dramatisation ni minimisation, qui explique ce qui s’est passé, ce qui a été fait, ce qui est attendu d’eux. Cybermalveillance.gouv.fr fournit des modèles de communication.

Rôle du RSSI / DSI mutualisé

Pour une commune sans expertise interne, le centre de gestion ou l’intercommunalité dispose souvent d’un RSSI ou DSI mutualisé. Identifier ce contact avant l’incident fait gagner des heures critiques le jour J. Si aucune structure mutualisée n’est disponible, Cybermalveillance.gouv.fr référence des prestataires de proximité agréés.

Ressources officielles pour aller plus loin

Quatre sources officielles à mobiliser, gratuites et adaptées au secteur public local.

  • ANSSI — Agence nationale de la sécurité des systèmes d’information. Guides techniques, recommandations, panorama annuel de la menace. Voir le guide d’hygiène informatique et les publications de l’ANSSI.
  • Cybermalveillance.gouv.fr. Plateforme gouvernementale d’assistance aux victimes, kits de sensibilisation libres de droits, diagnostic en ligne, annuaire de prestataires labellisés ExpertCyber. cybermalveillance.gouv.fr.
  • DINUM — Direction interministérielle du numérique. Référentiels, outils et recommandations pour les services numériques publics, dont le RGAA et le socle interministériel de logiciels libres. numerique.gouv.fr.
  • Référentiel SecNumCloud. Qualification ANSSI des offres cloud répondant aux exigences les plus élevées en matière de sécurité et de souveraineté. La liste des hébergeurs qualifiés est publiée sur cyber.gouv.fr.
  • CNIL — Commission nationale de l’informatique et des libertés. Guides sectoriels collectivités, modèles de registre, fiches pratiques sur les traitements municipaux courants. cnil.fr/fr/collectivites-locales.

Note de transparence. Mairie.app n’est pas un hébergeur qualifié SecNumCloud à ce stade. Notre infrastructure est hébergée chez Scalingo (Strasbourg, France) avec chiffrement au repos et en transit, isolation des données par commune, sauvegardes quotidiennes externalisées. Pour les communes soumises à des exigences spécifiques (données sensibles, secret défense partiel), un hébergement qualifié SecNumCloud peut être nécessaire — discutons-en au contact.

Questions fréquentes — Cybersécurité du site internet d’une mairie

Vous pourriez aussi consulter

Passez à l’action

Lancez le site officiel
de votre commune, aujourd’hui.

Essai 30 jours sans carte. Prix publics, accessibilité RGAA visée, hébergement souverain en France. Vous conservez votre site existant en parallèle si la solution ne vous convient pas.