Sécurité numérique

Cyberattaques sur les communes : comment protéger votre mairie en 2026

Publié le 12 mai 2026 par Thomas Garcia · Lecture 8 min

Une commune de 1 400 habitants dans l'Hérault. Un matin, rien ne fonctionne : messagerie bloquée, serveur de fichiers chiffré, site internet tombé. Les attaquants réclament une rançon de 15 000 € en bitcoin pour restituer les données. La secrétaire de mairie est incapable de traiter les actes d'état civil pendant trois semaines. Ce scénario, encore rare en 2020, est devenu banal en 2025-2026.

Selon l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), les collectivités locales représentent désormais l'une des trois catégories les plus ciblées par les cyberattaquants en France, aux côtés des hôpitaux et des PME. Et les petites communes sont particulièrement vulnérables — non pas parce qu'elles détiennent des données exceptionnellement sensibles, mais précisément parce qu'elles manquent de ressources pour se défendre.

Pourquoi les petites mairies sont des cibles faciles

Un attaquant cherche le rapport effort/gain le plus favorable. Les petites communes cochent plusieurs cases inquiétantes :

Aucun informaticien dédié

Dans une commune de moins de 5 000 habitants, personne ne surveille les systèmes à temps plein. Les mises à jour s'accumulent, les mots de passe ne changent jamais, les sauvegardes ne sont pas testées. L'attaquant a le champ libre.

Des données sensibles sous-estimées

État civil (naissances, mariages, décès), données électorales, dossiers d'urbanisme, données RH des agents communaux — une mairie gère des données personnelles précieuses. En cas de ransomware, la pression est forte pour payer : les actes d'état civil ne peuvent pas attendre des semaines.

Une informatique souvent bricolée

Logiciel de gestion installé en 2014, serveur dans un couloir sans climatisation, sauvegardes sur une clé USB branchée en permanence — les situations à risque sont fréquentes dans les communes rurales faute de budget et d'accompagnement.

Une commune n'est pas trop petite pour être attaquée. Elle est attaquée précisément parce qu'elle est petite et donc moins bien protégée.

Les 5 vecteurs d'attaque principaux

L'ANSSI documente systématiquement les modes d'intrusion dans ses rapports annuels. Pour les communes, les cinq vecteurs récurrents sont :

1. Le phishing par email

Un email imitant la trésorerie, la préfecture ou un fournisseur connu. Un clic sur une pièce jointe ou un lien suffit. C'est le vecteur n° 1, de loin. Les secrétaires de mairie, habituées à recevoir des documents officiels par email, sont des cibles naturelles.

2. Les mots de passe faibles ou réutilisés

"mairie2024", le nom de la commune suivi d'un chiffre — ces mots de passe figurent dans toutes les bases de données compromises que les attaquants achètent ou téléchargent librement. Un mot de passe réutilisé sur plusieurs services multiplie le risque.

3. Les logiciels non mis à jour

WordPress non mis à jour est la principale cause de piratage des sites institutionnels. Un plugin abandonné, une version de PHP obsolète : chaque semaine qui passe sans mise à jour est une fenêtre ouverte. Le problème s'étend aussi aux logiciels métier (gestion des actes, comptabilité) que les éditeurs cessent parfois de maintenir.

4. Les connexions non sécurisées

Accéder au back-office du site ou au logiciel de comptabilité depuis un réseau Wi-Fi public sans VPN, depuis un ordinateur personnel partagé avec des enfants, ou via une connexion sans HTTPS expose les identifiants en clair sur le réseau.

5. Les sauvegardes inexistantes ou non testées

Ce n'est pas un vecteur d'attaque en soi, mais l'absence de sauvegarde fonctionnelle est ce qui transforme un incident récupérable en catastrophe. Une sauvegarde branc hée en permanence sur le serveur sera chiffrée en même temps que tout le reste lors d'un ransomware.

Ce que dit l'ANSSI pour les communes

L'ANSSI publie depuis 2021 un guide spécifique aux collectivités locales, disponible gratuitement sur cyber.gouv.fr. Les mesures prioritaires pour une commune sans informaticien dédié se résument à six actions concrètes :

  1. Activer la double authentification (MFA) sur toutes les messageries et back-offices. Gmail, Outlook, et tous les CMS modernes le proposent. C'est la mesure la plus efficace contre le vol de compte.
  2. Utiliser un gestionnaire de mots de passe (Bitwarden, gratuitement) pour générer des mots de passe uniques et forts sur chaque service. Plus de "mairie2024" réutilisé partout.
  3. Sauvegarder régulièrement hors ligne : une copie chiffrée sur un disque externe débranché après la sauvegarde, ou sur un service cloud différent du serveur principal. Tester la restauration au moins deux fois par an.
  4. Mettre à jour systématiquement : système d'exploitation, logiciels métier, navigateur, site internet. Sur un site WordPress, chaque mise à jour reportée est un risque supplémentaire.
  5. Former le secrétariat au phishing : apprendre à reconnaître un email suspect (expéditeur inhabituel, urgence artificielle, pièce jointe non sollicitée) prend une heure et évite 80 % des incidents.
  6. Préparer un plan de continuité minimal : que fait-on si l'informatique tombe un lundi matin ? Qui appelle-t-on ? Où sont les données critiques sur papier ? Ce plan doit tenir sur une page A4.

Le site internet, premier point de contact — et premier risque

Le site de la mairie est souvent le maillon le plus exposé, car il est par définition accessible depuis internet. Un site WordPress non maintenu est une cible particulièrement facile : des outils automatisés scannent en permanence le web pour identifier les installations vulnérables.

Conséquences d'un site piraté : déface (le site affiche du contenu malveillant), injection de liens commerciaux ou pornographiques dans le code, vol des formulaires de contact, utilisation comme relai pour d'autres attaques. Au-delà de l'image désastreuse pour la commune, un site piraté peut être mis sur liste noire par Google — et ne plus apparaître dans les résultats de recherche.

La différence entre un site WordPress et un SaaS hébergé

Avec WordPress, la commune est responsable des mises à jour, du renouvellement du certificat SSL, de la surveillance des plugins. Sur un SaaS hébergé (comme MairieConnect), c'est l'éditeur qui gère l'infrastructure, les mises à jour de sécurité, la surveillance. La commune n'a aucune surface d'attaque côté hébergement.

En cas d'attaque : les bons réflexes immédiats

Si vous suspectez une attaque en cours :

  1. Débranchez immédiatement les appareils suspects du réseau (câble ethernet à retirer, Wi-Fi à désactiver) pour stopper la propagation.
  2. N'éteignez pas les machines sauf si on vous le demande explicitement — les traces de l'attaque sont en mémoire vive et peuvent aider à l'analyse.
  3. Appelez le 3018 (numéro national pour les cyberattaques) ou contactez directement le CERT-FR (cert.ssi.gouv.fr). La réponse est gratuite et rapide.
  4. Déposez plainte à la gendarmerie dans les 72 heures. C'est une obligation RGPD en cas de violation de données personnelles, et c'est nécessaire pour toute demande d'aide financière.
  5. Ne payez pas la rançon : le paiement ne garantit pas la restitution des données et finance les prochaines attaques. L'ANSSI le déconseille formellement.

Un site mairie sécurisé sans maintenance

MairieConnect héberge votre site sur une infrastructure dédiée, avec mises à jour automatiques et surveillance continue. Aucune surface d'attaque WordPress, aucune plugin à maintenir.

Demander une démo →

En résumé

Les cyberattaques contre les communes ne sont plus des cas isolés : elles sont devenues un risque structurel pour toute collectivité connectée. La bonne nouvelle est que les mesures les plus efficaces (MFA, mots de passe uniques, sauvegardes hors ligne, formation au phishing) sont accessibles sans budget dédié. Elles demandent surtout de la méthode.

Pour ce qui est du site internet, le choix de la technologie sous-jacente a un impact direct sur l'exposition au risque. Un site maintenu et hébergé par un tiers professionnel transfère la charge de sécurité là où elle peut être gérée efficacement.