Depuis quelques années, les cyberattaques se multiplient et touchent désormais tous les acteurs publics. Là où hier encore les assaillants ciblaient surtout des infrastructures critiques d’État, aujourd’hui aucune collectivité n’est à l’abri. Les attaques se diversifient (criminalité, influence) et frappent indistinctement un plus grand nombre de cibles, exploitant des failles non corrigées, paralysant parfois des services essentiels pendant des semaines.
Face à cette réalité, l’Union européenne a adopté en 2023 la directive NIS2 (Network and Information Security 2). Elle vise à élever le niveau de cybersécurité dans tous les États membres, à harmoniser les règles et à mieux protéger les services essentiels des citoyens.
La France est en train de transposer cette directive dans son droit national. Les débats parlementaires en cours annoncent une mise en œuvre progressive d’ici 2027.
Pourquoi les collectivités sont désormais en première ligne
Pour la première fois, la directive NIS2 intègre directement les collectivités territoriales parmi les acteurs concernés. Sont ainsi visés :
- Les régions et départements,
- Les communes de plus de 30 000 habitants,
- Les métropoles et communautés urbaines,
- Les SDIS et certains établissements publics (centres de gestion, opérateurs d’eau potable, etc.).
Ce choix traduit une évidence : les collectivités assurent des missions vitales – approvisionnement en eau, action sociale, secours, gestion administrative, gestion du social – qui les exposent aux cyberattaques au même titre que les grandes entreprises stratégiques.
Ce que prévoit NIS2
La directive impose un socle d’exigences communes en matière de cybersécurité, avec deux niveaux d’obligations selon la taille et la criticité des entités (« essentielles » ou « importantes »).
Parmi les principales obligations :
- Mise en place d’une gouvernance claire de la cybersécurité (rôle des dirigeants, politique de sécurité, formation des équipes),
- Adoption de mesures techniques et organisationnelles (gestion des risques, protection des systèmes, sécurité de la chaîne d’approvisionnement),
- Notification obligatoire des incidents majeurs via un portail national (alerte précoce sous 24h, rapport sous 72h, rapport final ensuite),
- Suivi et évaluation régulière des dispositifs de sécurité.
Pour faciliter la mise en œuvre, l’ANSSI proposera un référentiel de sécurité qui servira de « recette clé en main ». Les collectivités pourront s’y référer ou démontrer par d’autres moyens qu’elles atteignent les objectifs fixés.
Des inquiétudes légitimes
Les associations d’élus, dont Départements de France, soutiennent pleinement l’objectif de renforcer la cybersécurité locale, mais expriment plusieurs réserves :
- Le coût : la mise en conformité nécessitera des investissements significatifs, dans un contexte de budgets contraints.
- Les ressources humaines : le recrutement d’experts cyber reste difficile, particulièrement en dehors des grandes métropoles.
- La progressivité : contrairement à d’autres textes, NIS2 ne prévoit pas d’application graduelle, ce qui risque de fragiliser certaines petites collectivités.
- L’absence de financement dédié : aucune ligne budgétaire spécifique n’a encore été annoncée pour accompagner cette montée en compétences.
Ces préoccupations sont d’autant plus fortes que les sanctions prévues par la directive sont lourdes : jusqu’à 10 millions d’euros ou 2 % du budget pour les entités essentielles en cas de manquement. Meme si à aujourd’hui il ne semble pas que les collectivités feront l’objet de sanctions, la fin des débats parlementaires doit être attendu pour en être sûrs.
Un enjeu national, une responsabilité partagée
La cybersécurité des territoires n’est pas un sujet secondaire : c’est un enjeu de souveraineté et de continuité du service public. Chaque attaque affaiblit la confiance des citoyens et peut mettre en péril des missions vitales.
Pour les élus locaux, NIS2 représente à la fois une contrainte et une opportunité :
- Une contrainte, car elle impose un niveau d’exigence inédit.
- Une opportunité, car elle crée enfin un cadre commun, harmonisé et accompagné, permettant de bâtir une véritable résilience numérique territoriale.
L’État, via l’ANSSI et les préfectures, aura un rôle déterminant à jouer pour accompagner les collectivités, mutualiser les efforts et garantir que personne ne reste au bord du chemin.
NIS2, une colonne vertébrale
NIS2 n’est pas un texte de plus : c’est une colonne vertébrale pour structurer la cybersécurité des services publics locaux.
Les collectivités devront se préparer sans attendre, en engageant dès maintenant :
- Une sensibilisation des élus et des agents,
- Une évaluation de leur niveau de sécurité,
- Et une réflexion sur la mutualisation des moyens à l’échelle intercommunale ou départementale.
Il ne s’agit pas seulement de se conformer à une directive européenne : il s’agit de protéger les habitants, les données et la continuité du service public.
