Jérôme Notin : « Les collectivités, cibles 47 fois plus touchées que les entreprises »
Rencontré hier dans les allées du FIC à Lille, Jérôme Notin, Directeur Général du GIP ACYMA qui pilote cybermalveillance.gouv.fr, désormais rebaptisé 17 Cyber, nous a dressé un état des lieux de la menace cyber qui pèse sur les collectivités territoriales. Entre chiffres alarmants, idées reçues tenaces et outils concrets pour agir, il livre à Paroles d’Élus une analyse précieuse pour tout élu soucieux de protéger sa commune.
Paroles d’élus : Les collectivités sont-elles davantage exposées aux cyberattaques que les autres acteurs ?
Jérôme Notin : Clairement, oui. Depuis notre création en 2017, nous observons une surreprésentation constante des collectivités parmi les victimes qui nous sollicitent. L’an dernier, nous avons ainsi aidé 141 collectivités pour 1 000. À titre de comparaison, ce ratio tombe à 3 pour 1 000 entreprises, et à 7 pour 1 000 particuliers. C’est donc un écart considérable, qui justifie d’ailleurs que nous ayons développé, au sein de notre portail, un espace entièrement dédié aux collectivités.
Paroles d’élus : Pourtant, certains élus estiment encore ne pas être des cibles prioritaires…
Jérôme Notin : Effectivement, on entend encore, notamment au Congrès des maires, des élus dire : « Je n’ai pas d’argent, donc je ne serai pas attaqué. » C’est une idée reçue persistante. Aujourd’hui, la motivation des cybercriminels n’est plus uniquement financière au sens direct. Ce qui les intéresse avant tout, c’est la donnée personnelle des administrés. Avec cette donnée, ils construisent ensuite des attaques ciblées et personnalisées. Les grands éditeurs américains l’ont bien compris : l’or noir du XXIe siècle, c’est la donnée. Les cybercriminels, eux aussi, en sont parfaitement conscients.
Paroles d’élus : Quels types d’attaques touchent concrètement les collectivités en ce moment ?
Jérôme Notin : Contrairement à ce que l’on pourrait croire, le rançongiciel est plutôt en légère baisse. Il n’y a plus l’explosion que nous avions connue il y a quelques années. Aujourd’hui, la menace principale pour les collectivités qui nous contactent, c’est le piratage de comptes. Vient ensuite l’hameçonnage, puis en troisième position les arnaques au faux virement. Ce sont donc des attaques souvent plus discrètes, mais tout aussi dévastatrices pour les agents et les administrations.
Paroles d’élus : Quelles sont, selon vous, les principales failles récurrentes dans les collectivités ?
Jérôme Notin : Même si nous ne faisons pas d’audits d’infrastructure, les retours du terrain sont assez éloquents. D’abord, les mises à jour sont trop souvent repoussées, alors qu’elles contiennent justement les correctifs de sécurité indispensables. Ensuite, les pratiques de sauvegarde restent insuffisantes. Or, une sauvegarde déconnectée permet, en cas de rançongiciel, de récupérer les données et de repartir sur des bases saines. Enfin, les mots de passe : le post-it collé sur un poste partagé entre plusieurs agents, cela existe encore. Il ne faudrait vraiment plus que ce soit le cas.
Paroles d’élus : Peut-on vous solliciter avant d’être attaqué, pour se préparer ?
Jérôme Notin : Absolument, et c’est même là que réside l’essentiel. Nous avons développé et mis en ligne un MOOC de sensibilisation destiné aux agents des collectivités, articulé en trois modules : comprendre la menace, agir et transmettre. Chaque module demande environ 35 à 40 minutes. À l’issue du parcours, une attestation est délivrée. Mon rêve serait qu’a minima, tout nouvel agent arrivant dans une collectivité suive ce module, au même titre que la lecture de la charte informatique. C’est une formation sur les bases : mots de passe, bons réflexes, hygiène numérique.
Paroles d’élus : Et si l’attaque a déjà eu lieu, vers qui se tourner ?
Jérôme Notin : Vers nous également, via 17cyber.gouv.fr. La plateforme propose d’abord un parcours de qualification de la menace, puis une mise en relation avec un prestataire de proximité sur le plan technique. Par ailleurs, depuis le 17 décembre 2024, le 17 Cyber offre un accès direct, 24h/24, à un policier ou un gendarme par messagerie instantanée, pour accompagner la judiciarisation. Ce point est fondamental. Plus les victimes déposent plainte, plus les pouvoirs publics prennent conscience du coût réel des cyberattaques — coût économique, coût social, coût psychologique. Sans plainte, la menace reste invisible.
