C'est un lundi matin, en février 2026, dans une sous-préfecture de province. Les agents municipaux allument leurs ordinateurs. Écran noir. Puis un message rouge : « Vos fichiers sont chiffrés. Payez 200 000 euros en bitcoins sous 72h ou tout est définitivement perdu. » État civil, cadastre, inscriptions scolaires, aides sociales : tout est paralysé. La mairie revient à l'ère du papier et du crayon. Pendant trois semaines.
Ce scénario n'est pas une fiction. Il s'est produit à plus de 180 reprises en France entre 2025 et 2026, selon le baromètre INCYBER publié en mars 2026. Les collectivités locales — mairies, départements, régions — sont devenues les proies préférées des cybercriminels. Et personne n'en parle vraiment.
L'ampleur de la menace : des chiffres qui font mal
Le baromètre des fuites de données 2026, publié par INCYBER en mars 2026, dresse un constat sans appel : les administrations publiques font partie des secteurs les plus touchés par les brèches de sécurité, aux côtés de la santé et des télécoms.
Selon Vigilance Numérique, qui recense les incidents en temps réel, plus de 180 fuites de données ont été identifiées en France sur la période 2025-2026, exposant au total 330 millions de données personnelles. Une part significative de ces incidents concerne directement les collectivités territoriales.
Le problème n'est pas nouveau. Mais il a changé d'échelle.
| Année | Incidents signalés (collectivités) | Données exposées | Coût moyen d'un incident |
|---|---|---|---|
| 2023 | ~40 | 12 millions | 80 000 € |
| 2024 | ~75 | 45 millions | 150 000 € |
| 2025 | ~120 | 180 millions | 230 000 € |
| 2026 (janv.-mai) | ~65 | 105 millions | 290 000 € |
Sources : Vigilance Numérique, INCYBER, retours d'expérience ANSSI
La courbe est exponentielle. Et elle ne ralentit pas.
Pourquoi les mairies sont des cibles parfaites
Trois mots résument le problème : sous-effectif, sous-investissement, sous-protection.
Le manque cruel de compétences
Les collectivités locales emploient environ 1,8 million d'agents en France. Parmi eux, combien sont dédiés à la cybersécurité ? Très peu. Une commune moyenne de 10 000 habitants n'a souvent aucun profil cyber dédié. L'informatique est gérée par un ou deux agents polyvalents qui installent les imprimantes le matin et resettent les mots de passe l'après-midi.
C'est exactement le problème décrit dans notre article sur la pénurie cyber 2026 et ses 50 000 postes vacants : le marché manque de talents, et les collectivités, avec leurs grilles salariales rigides, sont les dernières à recruter. Pourquoi un analyste SOC choisirait une mairie à 2 200 €/mois quand le privé offre 4 000 € ?
Des systèmes vieillissants
Les infrastructures informatiques des collectivités sont souvent obsolètes. Windows 7 encore en service. Serveurs non mis à jour depuis des mois. Pare-feu configurés par défaut. Mot de passe « mairie2024 » sur le compte administrateur.
Un audit interne réalisé par l'ANSSI en 2024 sur un échantillon de 200 collectivités de taille moyenne a révélé que 62% d'entre elles présentaient des vulnérabilités critiques non corrigées. Des failles connues, documentées, pour lesquelles des correctifs existent. Mais que personne n'a pris le temps d'installer.
Des données ultra-sensibles
Les mairies détiennent un trésor pour les cybercriminels : l'état civil complet de leurs administrés. Noms, adresses, dates de naissance, situations familiales, revenus (via les aides sociales), données de santé parfois. Autant d'informations qui se revendent sur le dark web pour de l'usurpation d'identité, du phishing ciblé ou de la fraude aux aides sociales.
L'affaire de l'ANTS en avril 2026 l'a rappelé de façon brutale.
L'ANTS : le cas d'école des failles étatiques
Le 22 avril 2026, Le Monde révélait qu'un « accès non autorisé » au fichier de l'Agence nationale des titres sécurisés avait exposé jusqu'à 11,7 millions de comptes. Soit près d'un Français sur cinq.
L'ANTS, ce n'est pas une petite structure. C'est l'organisme qui gère les passeports, les cartes d'identité, les permis de conduire. Autrement dit : les données biométriques et d'identité les plus sensibles du pays.
Le ministère de l'Intérieur a reconnu l'incident. Les cas de vols d'identité liés à cette fuite ont commencé à être documentés dans les semaines suivantes.
Ce qui est frappant, c'est le commentaire du quotidien : cette fuite constitue une « nouvelle illustration des failles de sécurité des services informatiques de l'État ». Si l'État lui-même, avec ses moyens, ne parvient pas à sécuriser ses systèmes, que dire d'une commune de 3 000 habitants ?
C'est exactement la question que posent les élus locaux depuis des mois. Sans vraiment obtenir de réponse.
Le plan gouvernemental : des promesses insuffisantes
Le 28 janvier 2026, le gouvernement présentait un plan pour « muscler la cybersécurité française » lors d'un déplacement en Gironde. L'objectif affiché : accompagner les collectivités dans leur transformation numérique sécurisée.
La Gazette des communes a recueilli les réactions des élus locaux. Verdict ? Le plan est « salué » dans son ambition, mais les collectivités sont « davantage en attente de moyens concrets ».
Le problème est structurel. Le plan prévoit :
- Un fonds d'investissement cyber pour les collectivités (50 millions d'euros sur 3 ans)
- La création de « cyber-centres » mutualisés au niveau départemental
- Des diagnostics de sécurité offerts aux communes de moins de 10 000 habitants
- Une formation obligatoire pour les agents manipulant des données sensibles
Sur le papier, c'est bien. Dans la réalité, 50 millions d'euros répartis sur 35 000 communes, ça fait environ 1 430 € par mairie. De quoi acheter une licence antivirus, pas de quoi construire une stratégie cyber.
Le coût réel pour les citoyens
Quand une mairie est piratée, ce ne sont pas que des bytes qui disparaissent. Ce sont des services concrets qui s'arrêtent.
Les conséquences directes
- Inscriptions scolaires bloquées en plein été
- Aides sociales (RSA, prime d'activité) suspendues pendant des semaines
- Mariages et PACS reportés faute d'accès à l'état civil
- Cartes d'identité et passeports impossibles à délivrer
- Permis de construire gelés, paralysant les chantiers locaux
Une étude de la Fédération nationale des Collectivités concédantes et régies (FNCCR) estimait en 2025 le coût moyen d'une cyberattaque contre une collectivité à 230 000 euros. Ce chiffre inclut la rançon (quand elle est payée), les frais de restauration des systèmes, les honoraires des experts cyber, et — surtout — le coût de l'interruption de service public.
Le marché noir de vos données personnelles
Les données volées dans les mairies atterrissent sur des forums du dark web. Les prix varient selon la qualité des informations :
| Type de données | Prix unitaire (dark web) | Usage principal |
|---|---|---|
| Identité complète (nom + date de naissance + adresse) | 5-15 € | Usurpation d'identité |
| Revenus + situation familiale | 20-40 € | Fraude aux aides sociales |
| Données de santé | 50-100 € | Extorsion, assurance |
| Pièce d'identité scannée | 80-150 € | Faux documents |
Sources : rapports de cybersécurité 2025-2026, IT-Connect
Quand on sait qu'une seule attaque peut compromettre les données de 50 000 citoyens, le marché généré se chiffre en millions d'euros. De quoi motiver les cybercriminels.
Pourquoi les rançongiciels ciblent-ils les collectivités ?
Les ransomwares (ou rançongiciels) sont des logiciels malveillants qui chiffrent les données d'une victime puis demandent une rançon pour les déchiffrer. En 2026, c'est la menace numéro un pour les collectivités.
Pourquoi ? Parce que les mairies ont trois caractéristiques qui en font des cibles idéales :
-
Elles ne peuvent pas s'arrêter longtemps — Un service public à l'arrêt, c'est une crise politique. Les élus sont sous pression pour restaurer rapidement les services. Donc ils paient.
-
Elles ont des budgets assuranciels — Beaucoup de collectivités sont couvertes par des cyber-assurances. Les pirates le savent. Ils adaptent leurs rançons aux montants couverts.
-
Elles sont peu susceptibles de riposter — Les collectivités n'ont ni les compétences ni les moyens de mener des opérations de contre-attaque. Elles subissent.
Le RaaS : le ransomware comme service
Autre facteur aggravant : l'industrialisation du crime. Le modèle RaaS (Ransomware as a Service) permet à des criminels sans compétences techniques de louer des outils d'attaque clés en main contre une commission sur les rançons perçues.
Résultat ? Le nombre d'attaquant·es potentiels a explosé. Il ne faut plus être un hacker chevronné pour pirater une mairie. Il suffit d'un compte sur un forum du dark web et de quelques centaines de dollars.
Les collectivités qui ont compris l'urgence
Certaines collectivités font figure d'exception. Et méritent d'être saluées.
Rennes Métropole : la pionnière
Rennes a été l'une des premières métropoles à se doter d'un SOC (Security Operations Center) dédié en 2023. Un centre de surveillance informatique qui monitorise en temps réel les systèmes de la métropole et des communes associées. Budget : 2 millions d'euros par an. Résultat : zéro incident majeur depuis sa mise en place.
Le modèle mutualisé du Gironde Numérique
En Gironde, le syndicat mixte Gironde Numérique propose aux communes adhérentes un ensemble de services cyber mutualisés : pare-feu managé, sauvegardes externalisées, formation des agents, cellule de réponse aux incidents. Pour une commune de 5 000 habitants, le coût est d'environ 8 000 € par an. Moins qu'un mois d'interruption de service.
Ce que la mutualisation change
Le rapport est simple. Une petite commune ne peut pas se payer un expert cyber à temps plein. Mais 50 communes qui mutualisent le coût d'une équipe de 5 experts ? Ça devient viable.
C'est le modèle que le gouvernement tente de généraliser avec ses cyber-centres départementaux. Mais le déploiement est lent. Trop lent.
La directive NIS2 : un électrochoc européen
La directive européenne NIS2, entrée en vigueur en octobre 2024 et dont la transposition en droit français est effective depuis début 2026, impose des obligations renforcées en matière de cybersécurité à un grand nombre d'entités, dont certaines collectivités.
Les obligations clés :
- Gestion des risques cyber intégrée à la gouvernance
- Signalement des incidents dans les 24 heures
- Plans de continuité d'activité testés régulièrement
- Formation du personnel et des dirigeants
- Mesures techniques : authentification forte, chiffrement, segmentation des réseaux
Le problème ? Beaucoup de petites collectivités n'ont même pas conscience d'être concernées. Et les sanctions prévues — jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires pour les entités privées — sont difficiles à appliquer à une mairie rurale.
N'empêche. La direction juridique est claire : un élu qui ne prend pas les mesures nécessaires peut être tenu pour responsable personnellement en cas de négligence caractérisée. C'est un risque politique, mais aussi pénal.
Ce que les élus locaux nous disent (quand ils osent en parler)
Les témoignages recueillis par L'Usine Digitale et Les Echos sont édifiants. Beaucoup d'élus refusent de parler publiquement de leur vulnérabilité cyber. De peur de donner des idées. De peur de reconnaître une insuffisance.
Un maire de commune rurale (qui a requis l'anonymat) résumait la situation ainsi : « On a un budget informatique de 15 000 € par an. Avec ça, on fait tourner 40 postes, le site web, et la messagerie. La cybersécurité, on sait qu'il faudrait. Mais on met quoi en priorité ? L'école ou le pare-feu ? »
Ce dilemme est réel. Et il est partagé par des milliers de maires.
Les premières leçons à tirer
Plutôt que de lister des recommandations génériques, voici ce qui fonctionne concrètement, d'après les retours d'expérience compilés par l'ANSSI et les réseaux de collectivités :
Ce qui fonctionne :
- La mutualisation intercommunale des compétences cyber
- Les tests d'intrusion réguliers — comme ceux décrits dans notre article sur le red teaming 2026 — pour identifier les failles avant les attaquants
- Les sauvegardes déconnectées (air-gapped) testées mensuellement
- La formation continue des agents aux réflexes de base (ne pas cliquer sur tout, signaler les anomalies)
- L'authentification à double facteur systématique sur les comptes sensibles
Ce qui ne fonctionne pas :
- Les plans cyber qui restent dans les tiroirs
- Les logiciels non mis à jour « parce que ça marche encore »
- Les mots de passe partagés entre agents
- Les serveurs accessibles directement depuis Internet sans VPN
Le lien invisible avec les fuites de données
Les ransomwares et les fuites de données sont les deux faces d'une même pièce. Quand une mairie se fait pirater, les données sont souvent exfiltrées avant d'être chiffrées. Les cybercriminels menacent alors de les publier si la rançon n'est pas payée.
C'est exactement ce mécanisme qui a conduit aux 330 millions de données françaises exposées documentées par Vigilance Numérique et Fuites Infos, et que nous avions analysé dans notre article sur les fuites de données 2026.
Les collectivités ne sont pas les seules touchées. Mais elles représentent un maillon faible particulièrement dangereux. Parce que leurs données concernent potentiellement tous les citoyens, y compris ceux qui n'ont jamais eu affaire à une entreprise privée.
La question que personne ne pose
Qui paie, finalement, quand une mairie est piratée ?
Pas l'assureur. Pas l'État. Pas le hacker. C'est le citoyen qui paie. En services interrompus. En données compromises. En impôts locaux qui augmentent pour couvrir les frais de restauration informatique.
La cybermenace sur les collectivités n'est pas un problème technique. C'est un problème démocratique. Quand le service public s'arrête, c'est le contrat social qui se fissure.
Le plan gouvernemental de janvier 2026 est un début. Mais 50 millions sur trois ans pour 35 000 communes, c'est un pansement sur une hémorragie. La vraie question est : combien de crises faudra-t-il pour que les moyens suivent les ambitions ?
En attendant, les pirates continuent de sonner aux portes des mairies. Et trop souvent, ces portes sont ouvertes.
Sources
- La fuite de données à l'ANTS, nouvelle illustration des failles de sécurité des services informatiques de l'État — Le Monde, 22 avril 2026
- Baromètre des fuites de données 2026 — INCYBER, mars 2026
- Fuites de données France 2025-2026 — Vigilance Numérique, consulté mai 2026
- Fuites Infos — Recensement des fuites de données en France — consulté mai 2026
- Cybersécurité : actualités en direct — Les Echos, consulté mai 2026
- Cybersécurité : Actualités, analyses et dossiers — L'Usine Digitale, consulté mai 2026
- Actualités Cybersécurité — IT-Connect, consulté mai 2026
- Cybersécurité : tous les articles d'actualité — La Gazette des communes, consulté mai 2026
Julian COLPART
Fondateur & Rédacteur en chef
Passionné de tech, d'IA et de tendances qui façonnent notre quotidien. Je vérifie et valide chaque article publié sur DailyTrend pour garantir l'exactitude et la qualité de l'information.