Les petites communes sont aujourd'hui en première ligne face aux cybermenaces : attaques par phishing visant les agents municipaux, rançongiciels paralysant les services, compromission de boîtes mail du maire ou vol de données citoyennes. J'entends souvent, lors de mes échanges avec des élu·es de territoires ruraux, une même inquiétude : « Nous n'avons pas les compétences ni les moyens pour prendre la mesure du risque. » Former les élu·es locaux aux enjeux cyber n'est pas un luxe : c'est une nécessité pour protéger la vie quotidienne des administrés et garantir la continuité des services publics.
Pourquoi former les élu·es ?
En tant que responsable politique local, on porte la responsabilité stratégique : orientations budgétaires, choix de prestataires, décisions sur la politique numérique municipale. Cela implique de comprendre a minima les risques techniques, mais surtout leurs conséquences opérationnelles et juridiques. Une formation permet :
- d'identifier les priorités de protection (salles des serveurs, outils de paie, portails citoyens) ;
- d'évaluer et de superviser la sécurité des prestataires informatiques ;
- d'adopter des comportements quotidiens sûrs (mots de passe, messagerie, Wi‑Fi public) ;
- d'organiser la gestion de crise en cas d'incident, en évitant les décisions impulsives qui aggravent la situation.
Quels objectifs pédagogiques ?
Je propose de structurer la formation autour de quatre objectifs concrets :
- Comprendre les menaces et les impacts : rançongiciels, phishing, compromission des comptes, désinformation locale.
- Savoir évaluer la sécurité d'une mairie et prioriser les investissements (sauvegarde, segmentation des réseaux, mises à jour).
- Adopter des gestes simples et efficaces au quotidien (authentification à deux facteurs, utilisation d'une messagerie sécurisée, gestion des mots de passe).
- Être capable de déclencher et piloter une réponse à incident (alerter la préfecture, contacter l'ANSSI/CERT, communiquer avec les administrés).
Formats et durée : s'adapter aux contraintes des élu·es
Les élu·es de petites communes disposent de peu de temps. J'ai constaté que les formats suivants fonctionnent bien :
- Ateliers courts (2 heures) en présentiel dans les intercommunalités, axés sur le concret et les cas locaux.
- Modules en ligne asynchrones (3 à 4 vidéos de 20 minutes) pour la formation de base, complétés par quiz interactifs.
- Exercices pratiques en demi-journée : simulation de phishing, mise en place d'un plan de sauvegarde, atelier de communication de crise.
- Séances annuelles de remise à niveau et d'actualisation, intégrées au calendrier des formations des élus.
Contenu proposé (programme type)
| Module | Durée | Objectifs |
|---|---|---|
| Introduction aux cybermenaces | 1h | Connaître les types d'attaques et impacts locaux |
| Gestes simples de prévention | 1h | Mots de passe, MFA, messagerie, Wi‑Fi |
| Gouvernance et pilotage | 1h | Rôle de l'élu, fiche de poste du DSI / prestataire |
| Exercice pratique — phishing | 2h | Reconnaître, signaler, mesurer le risque |
| Plan de continuité et communication | 1h30 | Scénarios de crise et message aux administrés |
Partenaires à mobiliser
Pour être crédible et efficace, une formation doit s'appuyer sur des acteurs reconnus :
- L'ANSSI (Agence nationale de la sécurité des systèmes d'information) pour les bonnes pratiques et la documentation. Le guide "Ma commune, mon cyber" ou les fiches de l'ANSSI sont des ressources précieuses.
- La CNIL pour les questions de protection des données personnelles et l'obligation de notification en cas de violation.
- Les services de l'État (préfectures, directions départementales) pour la coordination et l'alerte en cas d'incident majeur.
- Des acteurs privés ou associatifs : fournisseurs d'antivirus (ESET, Bitdefender), éditeurs de solutions de sauvegarde, ou des cabinets spécialisés en cybersécurité locaux pour des ateliers pratiques.
- Les intercommunalités et les réseaux de communes pour mutualiser coûts et compétences.
Exemples d'outils et de bonnes pratiques opérationnelles
Voici des mesures simples que je recommande et que j'explique systématiquement pendant mes formations :
- Activer l'authentification à deux facteurs (MFA) sur toutes les boîtes mail et comptes d'administration (Gmail/Google Workspace, Microsoft 365) ;
- Installer et maintenir un antivirus réputé et un EDR sur les postes critiques ;
- Mettre en place une politique de sauvegarde 3-2-1 : trois copies, sur deux supports différents, dont une hors site (ex : sauvegarde chiffrée sur cloud ou NAS externe) ;
- Utiliser des certificats TLS valides (Let's Encrypt) pour les sites et portails citoyens ;
- Limiter les privilèges administratifs : un agent n'a pas besoin de droits d'admin par défaut ;
- Documenter un plan de réaction avec contacts clés : prestataire IT, préfecture, assurance, ANSSI/CERT-FR ;
- Réaliser des simulations de phishing annuelles et des exercices de reprise d'activité.
Organisation et modèle de financement
Former les élu·es peut se faire à coût raisonnable si l'on mutualise. J'ai vu des modèles efficaces :
- Regroupement intercommunal : la communauté de communes finance une journée de formation pour tous les élu·es (coût partagé) ;
- Appel aux dispositifs régionaux ou aux fonds européens pour la résilience numérique ;
- Partenariats publics‑privés : fournisseurs locaux assurant la formation en échange d'un marché cadre pour le maintien en condition opérationnelle ;
- Intégration dans le plan local de formation des élu·es, comme le prévoit certains dispositifs ministériels.
Cas pratiques à travailler en formation
Les exercices rendent la formation mémorable. Voici trois mises en situation que j'anime souvent :
- Simulation de phishing : une campagne test envoyée aux élu·es, suivi d'un débriefing collectif avec statistiques et recommandations ;
- Incident de rançongiciel : déroulé chronologique et prise de décision (ne pas payer, contacter ANSSI, isoler les postes, restaurer à partir des sauvegardes) ;
- Crise communicationnelle : comment informer les citoyens sans provoquer de panique, quelles mentions légales et notifications prévoir.
Former les élu·es locaux, ce n'est pas leur demander de devenir des spécialistes techniques, mais de leur donner les clés pour poser les bonnes questions, arbitrer les priorités et protéger leurs concitoyens. J'encourage chaque collectivité à transformer la formation en acte politique : inscrire la cybersécurité dans l'agenda municipal, budgétiser des mesures simples et s'appuyer sur les ressources nationales et territoriales pour avancer de façon pragmatique et durable.
